Реверс-инжиниринг популярного античита BattlEye
Шелл-код
BattlEye предположительно выполняет потоковую передачу шелл-кода со своего сервера в службу Windows под названием BEService. Эта служба обменивается данными с модулем BEClient, расположенным внутри процесса игры. Обмен данными выполняется через конвейер \.namedpipeBattleye и до 2018 года был незашифрованным. Теперь все передаваемые данные шифруются xor-шифровальщиком с очень маленькими ключами, из-за чего чрезвычайно просто выполнять известные атаки на основе открытых текстов (plaintext attacks). Когда шелл-код передаётся клиенту, он располагается и выполняется за пределами всех известных модулей, из-за чего его легко определить. Для создания дампа шелл-кода можно или обрабатывать стандартные функции Windows API типа CreateFile, ReadFile и т.п., и выполнять дамп соответствующей области памяти всех вызывающих модулей (запрашивая информацию о памяти по возвращаемому адресу), находящихся за пределами всех известных модулей, или периодически сканировать пространство виртуальной памяти игры в поисках исполняемой памяти за пределами всех известных модулей, и дампить её на диск. При этом нужно отслеживать, дамп каких областей уже был выполнен, чтобы в результате не получилось множество одинаковых дампов.
Объяснение
Представленные в статье фрагменты псевдокода сильно модифицированы ради красоты. Вы не сможете сдампить шелл-код BattlEye и сразу же узнать эти части; шелл-код не содержит вызовов функций, а многие алгоритмы в статье развёрнуты. Но на самом деле это не важно, потому что когда вы закончите читать об этом ужасном античите, вам представится возможность обойти его (:
Перебирание памяти
Самый распространённый механизм обнаружения в античитах — это перебирание (memory enumeration) и сканирование памяти для поиска известных образов читов. Он легко реализуем и, как показало прошлое, при правильном подходе достаточно эффективен, если вы не забыли основы ассемблера и занесли в чёрный список пролог общей функции.
Battleye перебирает всё адресное пространство процесса игры (текущего процесса в данном контексте) и выполняет различные проверки на предмет исполняемости страницы и нахождения за пределами соответствующего пространства памяти шелл-кода.
Вот как это реализовано в Battleye:
Аномалии памяти
BattlEye помечает все аномалии в адресном пространстве памяти, в основном памяти исполняемых модулей, не соответствующей загруженному образу:
Сканирование в поисках паттернов
Как говорилось выше, BattlEye также сканирует память локальных процессов на наличие различных чётко прописанных паттернов, как это видно из показанной ниже реализации.
При чтении этого псевдокода вы можете догадаться, что эти проверки можно обойти переписыванием области кода каждого загруженного модуля, так как они не будут выполнять сканирования в поисках паттернов в известных образах. Чтобы не попасть на проверки целостности, нужно загружать все упакованные и помещённые в белый список области и переписывать области кода, помеченные как RWX, потому что мы не можем выполнять проверки целостности без эмуляции упаковщика. В текущей версии шелл-кода BattlEye эти паттерны памяти жёстко прописаны:
Эти паттерны памяти также содержат двухбайтный заголовок, а именно неизвестное статическое значение 05 и уникальный идентификатор.
Чего мы не увидим, так это того, что BattlEye также динамически выполняет потоковую передачу паттернов из BEServer и отправляет их в BEClient, но в статье мы рассматривать это не будем.
Они итеративно сканируются следующим алгоритмом:
Проверка конкретных модулей (Microsoft)
Проверки модулей сообщают о наличии конкретных модулей, загруженных в процесс игры:
Проверка конкретных модулей (неизвестных)
В систему добавлена проверка конкретных модулей, сигнализирующая серверу о том, что у вас загружены модули, удовлетворяющие любому из этих критериев:
Мы не знаем, какие модули удовлетворяют этим критериям, но подозреваем, что это попытка обнаружения очень ограниченного набора конкретных чит-модулей.
Дополнение: @how02 сообщил нам, что модуль action_x64.dll имеет метку времени 0x5B12C900 и содержит область кода, в которую можно выполнять запись; как и говорилось ранее, это можно использовать для эксплойта.
Защита памяти
В BattlEye также внедрена очень сомнительная процедура обнаружения, которая, по нашему мнению, ищет память с установленным флагом PAGE_GUARD, не проверяя на самом деле, установлен ли флаг PAGE_GUARD:
Перебирание окон
Аномалия при перебирании
Если проверено меньше, чем два окна, серверу отправляется уведомление. Вероятно, это сделано для того, чтобы предотвратить патчинг соответствующих функций, не позволяющих шелл-коду BattlEye исследовать ни одно окно:
Перебирание процессов
При помощи вызова CreateToolhelp32Snapshot BattlEye перебирает все запущенные процессы, но не обрабатывает никакие ошибки, благодаря чему очень легко пропатчить и избежать выполнения следующих процедур обнаружения:
Проверка пути
Если образ находится внутри как минимум двух подкаталогов (считая от корня диска), то система пометит процессы флагом, если путь к соответствующему образу содержит хотя бы одну из этих строк:
Если путь к исполняемому файлу соответствует одной из этих строк, то сервер получает уведомление о пути к исполняемому файлу, а также информацию о том, является ли родительский процесс одним из следующих (содержит соответствующий бит флага, отправляемый серверу):
Если родительским процессом является steam, то пользователю мгновенно устанавливается флаг и об этом сообщается серверу с id уведомления 0x40
Имя образа
Если процесс соответствует любому из множества представленных ниже критериев, то вам мгновенно устанавливается флаг и об этом сообщается серверу с id уведомления 0x38
Оверлей игр Steam
BattlEye отслеживает процесс оверлея игр Steam, отвечающий за внутриигровой оверлей, известный большинству пользователей Steam. Полное имя хоста оверлея игр Steam — gameoverlayui.exe ; известно, что его часто используют для эксплойтов рендеринга, потому что довольно легко взломать и выполнять незаконную отрисовку в окне игры. Проверка имеет следующее условие:
Дальнейшие проверки, специфичные для оверлея игр Steam, практически аналогичны процедурам, выполняемым для самого процесса игры, поэтому в псевдокоде пропущены.
Сканирование памяти оверлея игр Steam
Процесс оверлея игр Steam сканируется на наличие паттернов и аномалий. Нам не удалось пробраться глубже в кроличью нору, и узнать, для чего эти паттерны, потому что они очень обобщённые и скорее всего связаны с модулями читов.
Процедура сканирования также ищет любые аномалии в виде исполняемого кода за пределами загруженных изображений, предполагая, что взломщики инъектировали код в процесс оверлея:
Защита процесса оверлея игр Steam
Если процесс оверлея игр Steam защищён какой-нибудь защитой процессов Windows наподобие Light (WinTcb), то сервер получит об этом уведомление.
Перебирание модулей
Для модуля vgui2_s.dll тоже выполняется специфическая процедура проверки:
Затем процедура проверяет наличие очень специфического и кажущегося мусорным изменения:
Нам не удалось найти копию vgui2_s.dll, не соответствующую первой из двух вышеприведённых проверок, поэтому не можем узнать, какую vtable она проверяет.
Потоки оверлея игр Steam
Потоки в процессе оверлея игр Steam тоже перебираются:
LSASS
Адресное пространство памяти процесса Windows lsass.exe, также известного как процесс Local Security Authority, тоже перебирается и о всех аномалиях сообщается серверу, как и в случае двух предыдущих проверок:
Различные уведомления
NoEye
Наличие драйверов
Проверяется наличие устройств Beep и Null; в случае их наличия создаётся уведомление. В обычном состоянии эти два устройства не доступны в системе, и это может говорить о том, что кто-то вручную включил устройство. Такая техника называется driver device hijacking. Это делается для того, чтобы обеспечить обмен данными IOCTL с зловредным драйвером без необходимости отдельного объекта драйвера для этого драйвера.
Sleep delta
Кроме того, BattlEye может запрашивать у текущего потока одну секунду бездействия и измеряет разность количества циклов до и после бездействия (sleep):
В BattlEye добавлена очень ленивая проверка целостности, чтобы пользователи не могли загружать библиотеку 7zip в процессы игры и перезаписывать области. Это делалось пользователями, чтобы снизить серьёзность описанных ранее сканирований паттернов и обнаружения аномалий. В BattlEye просто решили добавить проверки целостности для этой конкретной библиотеки 7zip.
Уровень аппаратных абстракций
BattlEye проверяет наличие динамически подключаемой библиотеки уровня аппаратных абстракций Windows (hal.dll), и сообщает серверу, загружена ли она внутри процесса игры.
Проверки образов
Также BattlEye проверяет различные образы, загруженные в процесс игры. Эти модули предположительно являются подписанными образами, которыми каким-то образом манипулируют, изменяя их поведение на зловредное, но подробнее мы ничего сказать о них не можем, только об их обнаружении:
Удаление, установка, переустановка BattlEye вручную. Запуск игры.
Вопрос
-[SF]- DevastaTOR 448
Данный гайд посвящён установке и удалению Battleye, а также запуску игры без античита.
Решения проблем с падением FPS у пользователей W8 вы можете найти по ссылкам в конце гайда!
Установка:
1. Устанавливаем BE через установщик STEAM\SteamApps\common\arma 2 operation arrowhead\BEsetup\Setup_BattlEyeARMA2OA.exe;
2. Качаем с сайта BE три файла: раз, два, три (если ваша OC 32-bit, третий файл качать ЭТОТ) ВНИМАНИЕ! ВОЗМОЖНО ПАДЕНИЕ FPS У ПОЛЬЗОВАТЕЛЕЙ WINDOWS X64 БЕЗ СКАЧКИ BESERVICE.EXE ДЛЯ 32BIT СИСТЕМ! КАЧАЙТЕ ВСЕ 4 ФАЙЛА.
3. Кидаем 3 файла в папку STEAM\SteamApps\common\arma 2 operation arrowhead\Expansion\BattlEye с заменой;
4. Запускаем игру с BE (см. инструкцию ниже);
5. Смотрим в консольку. Консолька ошибок выдовать не должна. Установка может занять пару минут;
6. Заходим на сервер с BE. Игра может закрыться при заходе в игру, и открыться консоль для доустановки недостающих файлов, это нормально!
Не забывайте про защитник Windows и ваши антивирусы! Убедитесь, что права администратора прописаны для исполняемых файлов BattlEye и его установщиков!
Удаление:
1. Удаляем BE через программу STEAM\SteamApps\common\arma 2 operation arrowhead\Expansion\BattlEye\UnInstallBE.exe;
2. Чистим папку C:\Program Files (x86)\Common Files\BattlEye;
3. Чистим папку C:\Users\*username*\AppData\Local\ArmA 2 OA\BattlEye.
4. Желательна перезагрузка.
Проверить удаление BattlEye можно в диспетчере задач. BEservice должен отсутствовать во вкладке «службы». Если ничего не получилось, попытайтесь избавиться от BEservice другими способами (спасибо killer0K и KpacTu), например консольной командой sc delete BEService *** (для вызова консоли нажмите на рабочем столе кнопку «Пуск»+R и введите в открывшееся окно команду cmd ). Впрочем, у некоторых проблемы с BE решаются без убивания службы.
ВНИМАНИЕ! ИНСТРУКЦИИ ПО ЗАПУСКУ ПРИВЕДЕНЫ ДЛЯ ВАНИЛЬНОЙ АРМЫ!
Запуск игры без BE, при установленном античите:
Через стим
При запуске игры выбираем «Launch without BattlEye»;
Ручками:
Запускаем через экзешник STEAM\SteamApps\common\arma 2 operation arrowhead\Arma2OA.exe; *
Запуск игры С BE:
Через стим
Просто запускаем игру;
Ручками:
Запускаем через батник STEAM\SteamApps\common\arma 2 operation arrowhead\Arma2OA.bat
Battle yea что это
1. Тыкаем на Arma 3 ПКМ (правая кнопка мыши) в самом низу находим «Свойства» нажимаем.
2. Переходим в «Локальные файлы»
3. Нажимаем «Просмотреть локальные файлы» и вот мы в папке с армой.
4. Находим папку «BattlEye» заходим в неё
5. Находим «Uninstall_BattlEye.bat» нажимаем
6. Вылезет такое вот, нажимаем да. Нечего не случится с ПК это лишь удалит быдло ай
7. Нажимаем «Install_BattlEye.bat»
После немного подождем и пытаемся запустить арму т.е вылезет небольшое окно нажимаем ОК, ибо это соглашение на то что быдло ай будет работать и т.д.
Если и тогда не работает арма.
1. Так же переходим в папку с армой и ищем файл «arma3battleye.exe» запускаем.
2. Видим такое вот окошко
Если у вас как на данном скрине написано «Windows Kernel modification detected. Please repair or reinstall your system.
Failed to launch game.»
Это значит то что у вас паленая винда поздравляю вы обладатель пиратской винды, и так что пишет быдло ай вам
«У вас обнаружено модифицированное ядро, Пожалуйста почините или переустановите вашу систему»
Если у вас другая ошибка то можете юзать инет (барузер) я лишь опишу самую частую проблему с быдло ай.
Переходим к устранению «Windows Kernel modification detected. Please repair or reinstall your system.»
1. Можно снести активатор к х*рам
Делаем так как написано ниже
DEL «%windir%\system32\drivers\oem-drv64.sys»
DEL «%windir%\system32\xNtKrnl.exe»
DEL «%windir%\system32\xOsLoad.exe»
DEL «%windir%\System32\ru-RU\xOsLoad.exe.mui»
DEL «%windir%\System32\en-US\xOsLoad.exe.mui»
%windir%\System32\BCDEDIT.exe /set
%windir%\System32\BCDEDIT.exe /deletevalue
%windir%\System32\BCDEDIT.exe /deletevalue
%windir%\System32\BCDEDIT.exe /deletevalue
REG DELETE HKLM\SYSTEM\CurrentControlSet\services\oem-drv64 /va /f
ЭТО СНОСИТ ВАШ АКТИВАТОР Я НЕ ДАЮ ГАРАНТИЙ ЧТО ВИНДА МОЖЕТ ПОТОМ РАБОТАТЬ НОРМАЛЬНО ТУТ 1 НА 100000000 И ВАША ВИНДА СТАНОВИТСЯ ПРОБНОЙ НА 30 ДНЕЙ ПОСЛЕ НУЖНО АКТИВИРОВАТЬ ЕЁ ЛИБО КЛЮЧОМ ЛИБО АКТИВАТОРОМ
2. Можно купить лицензию (но если твоя пиратская жадность не дает это сделать)
То ставим новый активатор дам два названия это «KMS» и «windows loader by daz»
3. Можно поставит чистую винду новую либо Windows 10 (как известно на 10 даже на пиратках вроде как нету этой проблемы но это не 100%)
4. Что бы наш активатор не слетел нужно удалить и скрыть обновление «KB971033»
1) Заходим в «Панель управления»
2) Находим «Центр обновления Windows»
3) Заходим в «Установленные обновления» (оно в самом низу) там ищем «KB971033» что бы было проще можно ввести в «Поиск»
4) Нажимаем по «KB971033» ПКМ (правая кнопка мыши) и нажимаем «Удалить»
5) Потом переходим обратно к «Центр обновления Windows» нажимаем «Поиск обновлений» после этого появится Доступные обновления, нажимаем «Важных обновлений: (их сколько там) доступно. Находим «KB971033» нажимаем ПКМ по «KB971033» и «Скрыть обновления»
И да по желанию можно отключить обновления вообще
1) Заходим в «Настройка параметров» там будет под «Важные обновления» выбираем из 4 перечисленных вариантов «Не проверять наличие обновлений»
2) Отключаем все галки чуть ниже.
3) Нажимаем ОК
P.S Это на ваше усмотрение от того что винда будет обновляться с активатором не должно ни чего случиться именно «KB971033» это проблема из за чего может слететь активатор
P.S.S Сорян что нету скринов просто стим не хочет их загружать /:
Там вы уже должны разобраться мои юные пираты 😉
Я опишу только основу.
И так разрабы шиндовс и быдло ай решили совместно бороться с пиратством таким вот образом (да это жестка)
Вроде как с 29 июня, я честно не знаю на*ера вот таким вот образом но как мы видим это работает и не в пользу нас обычных пиратов. это пи*дец как обидно..
Вообщем как это работает и в чем проблема быдло ай (античит) работает по такой схеме что если он находит измененные файлы шиндовс т.е тот же активатор тобиш «модифицированное ядро» а из за чего это же спросишь ты меня, это из за того что ху*вый активатор сделанный дядей петей под градусом изменяет это самое «ядро» и делает ваш шиндовс пиратской т.е это «НЕ ЛЕГАЛЬНО» так думают разрабы шиндовс, но мы не ищем легких путей)
Ну и вообще когда быдло ай находит так сказать «модифицированное ядро» он попросту не запускает либо запускается и сразу же вырубается. К примеру у меня, в самом лаунчере запускается все нормально как и должно быть, но на сервера с быдло ай не пускает и пишет вот так вот.
Это значит что быдло ай не работает т.е не запущен, вообще он должен запускаться с игрой и висеть в диспетчере и работать по закрытию игры.
Вы даже можете посмотреть это в диспетчере, должен быть процесс «BEService.exe» если его нет, то как не странно он не работает.
Я вас не заставляю удалять ваш активатор, я лишь даю решение данной проблемы просто ибо нету другого решения. Можете конечно посидеть позалипать во что-то другое и мб выйдет фикс или какие либо ребята умельцы рукадельцы найдут другое более оптимальное для вас решение данной проблемы.
И да это решение так же действует на другие игры с быдло ай
Failed to install BattlEye Service 4.5 что делать?
Каждую онлайн-игру пытаются взломать читеры. Путь к игровым серверам преграждает защита, которую называют анти-читом. Одним из популярных является BattlEye Service 4.5. Что делать, если при запуске он выдаёт ошибку «Failed to install», об этом читайте ниже. 
Удаление файла в папке Battleye
Иногда проблемой выступают сами файлы программы. При загрузке файла пользователи могут выбрать не ту версию ПО или в момент установки происходят какие-либо сбои. Всё это сказывается на работе анти-чита, что в будущем создаёт проблемы с запуском BattlEye. Следующим способом мы сможем избавиться от сбоев при запуске. После удаления части данных приложения, в папке Battleye появятся новые файлы, которые система будет вынуждена загрузить автоматически для исправления ошибки Failed to install с запуском.
Папку следует удалить также и из корзины. Есть другой вариант – при её удалении, через клавишу DEL, нужно нажать в этот момент SHIFT. В таком случае папка будет удалена мимо корзины навсегда. Теперь нужно на рабочем столе компьютера найти лаунчер Epic Games и запустить его. Некоторое время он будет выполнять загрузку необходимых файлов для работы (которые мы удалили). И сразу же запустится, когда их скачает. С новыми данными лаунчер должен работать без сбоев и ошибок.
Командный файл для исправления ошибки Failed to install
На рабочем столе появится файл, на иконке которого будет изображена шестерёнка. Его нужно запустить, кликнув мышью 2 раза. Несколько секунд на экране будет видна командная строка. Её работа завершится также быстро, как и началась. Затем можно попытаться запустить анти-чит BattlEye Service 4.5. Если ошибки Failed to Install не будет, значит вам удалось справится с ней. Для пользователей, у которых всё равно появляется окно с ошибкой, будут рассмотрены другие варианты её исправления далее.
Отключение антивируса может помочь устранить ошибку в игре
Антивирус является важной частью операционной системы. Он способствует защите данных пользователя и предотвращает атаки из сети. А также бывает полезен для идентификации вредных файлов, которые могут быть скачаны из Интернета. Эти утилиты иногда защищают от действий других программ, которым может доверять пользователь. Антивирус может блокировать некоторые действия BattlEye и не давать ему запускаться. Нужно попытаться отключить защиту на компьютере.
Для антивирусов от разных производителей инструкция по отключению отличается. Эта функция и вовсе может отсутствовать. В таком случае его можно на время удалить, чтобы запустить анти-чит. Для продуктов Malwarebytes приложения можно вносить в фильтр. И он не будет их блокировать во время работы.
В этом окне можно добавлять другие приложения, которые не должны быть подвержены проверке антивирусом. После добавления файла анти-чита закройте настройку антивируса и откройте лаунчер. Большинство антивирусов позволяют отключать их действие на некоторое время или до перезагрузки компьютера из трея. 
Иконку можно найти в нижней части рабочего стола в списке программ, которые работают в фоновом режиме.
Полная переустановка BattlEye
Если проблему не удалось решить этими способами, то нужно обязательно попробовать переустановить анти-чит. Это может помочь в нескольких случаях: если в системе произошли изменения и повлияли на приложение, а также если были нарушены файлы самого анти-чита. Определить настоящую причину того, что лаунчер не запускается довольно трудно. Если после переустановки он снова будет работать, значит причина была именно в этом. Переустановку можно сделать через Steam.
Устанавливается он традиционным способом, подобно другому ПО. Можно предоставить это Стиму, выбрав в параметрах «Проверить целостность файлов». Система автоматически проверит папки компьютера и попытается найти недостающие файлы для запуска игры. Когда будет обнаружено, что недостаёт определённых файлов, они будут скачаны и установлены.
Простые способы устранить ошибку BattlEye Service 4.5
В некоторых ситуациях достаточно выполнить перезагрузку лаунчера, чтобы он запустился без проблем. Перед тем, как запускать его снова, удалите процесс, который он создал в системе. Откройте диспетчер задач и найдите в списке процесс с названием Battleye. 
Затем избавьтесь от него и запустите лаунчер. Или перезагрузите компьютер, что также удалит лаунчер из оперативной памяти ПК. В списке приложений, которые запускаются с системой нужно также удалить лишнее.
Это освободит память ПК и не позволит приложениям конфликтовать между собой в запущенном состоянии. Может понадобится переустановка лаунчера вместе с анти-читом, если другие способы оказались бесполезными.
Видеоинструкция
Один из способов решение проблемы «Failed to Install», которая возникает с анти-читом Battleye Service 4.5 можно посмотреть в этом видео.
Battle yea что это
Официальные руководства по данной ошибке будут уверять вас в том, что проблема на вашей стороне и нужно переустановить игру, драйверы, планки DDR, Windows и прочий бред. В этом нет смысла, т.к., условно, вчера у вас все работало, а сегодня уже нет. Я почти уверен, что проблема связана с вайпом персонажей, т.е. когда вы запускаете игру, то она пытается загрузить информацию о ваших персонажах из облачной базы, но происходит какая ошибка и игра закрывается. Одним из решений на данный момент может быть удаление папки DayZ в моих документах (предварительно сделайте бекап), но лично мне это не помогло.
Сейчас люди делятся на две группы:
1. Те, кто могут зайти в игру, но их персонажи удалены
2. Те, кто не могу запустить игру
Я был во второй группе, но нашел решение как все-таки можно запустить игру. Решение не очень хорошее, но рабочее. Если у вас есть друг, который относится к группе 1 и который вам доверяем,а вы доверяете ему, то нужно будет зайти под его учетной записью Steam. Далее удаляете папку DayZ в моих документах (предварительно сделав бекап) и запускаете игру. Можете не удивляться, но игра действительно запускается. Потом перезаходите на свою учетную запись Steam и теперь игра запускается и у вас, но персонажи буду удалены.
UPD: Разработчики ответили в твиттере и я думаю, что проблема решится сама собой в ближайшее время https://twitter.com/DayZ/status/1184752155757965313
Официальные руководства по данной ошибке будут уверять вас в том, что проблема на вашей стороне и нужно переустановить игру, драйверы, планки DDR, Windows и прочий бред. В этом нет смысла, т.к., условно, вчера у вас все работало, а сегодня уже нет. Я почти уверен, что проблема связана с вайпом персонажей, т.е. когда вы запускаете игру, то она пытается загрузить информацию о ваших персонажах из облачной базы, но происходит какая ошибка и игра закрывается. Одним из решений на данный момент может быть удаление папки DayZ в моих документах (предварительно сделайте бекап), но лично мне это не помогло.
Сейчас люди делятся на две группы:
1. Те, кто могут зайти в игру, но их персонажи удалены
2. Те, кто не могу запустить игру
Я был во второй группе, но нашел решение как все-таки можно запустить игру. Решение не очень хорошее, но рабочее. Если у вас есть друг, который относится к группе 1 и который вам доверяем,а вы доверяете ему, то нужно будет зайти под его учетной записью Steam. Далее удаляете папку DayZ в моих документах (предварительно сделав бекап) и запускаете игру. Можете не удивляться, но игра действительно запускается. Потом перезаходите на свою учетную запись Steam и теперь игра запускается и у вас, но персонажи буду удалены.
UPD: Разработчики ответили в твиттере и я думаю, что проблема решится сама собой в ближайшее время https://twitter.com/DayZ/status/1184752155757965313
