Tutoral ensinando como criar um "ce"

[baianoigor 0]

Oi.Voi encinar hj como criar um "CE" vamos lá.

Requerimentos:

 

Source CheatEngine 5.3

 

Microsoft Dkk

 

ASR

 

1º Certifique-se que tenha feito todos os Downloads necessarios

2º locaize e abra o arquivo Drive .dat

2.1 -> Voce ira renomear as variaveis para algo de sua escolha

(Obs: Eu tenho mudado todas as variaveis para a palavra "Whatever" com um numero, começando por 1 e assim por diante)CEDRIVER53 ---> Whatever1

DBKProcList53 ---> Whatever2

DBKThreadList53 ---> Whatever3

dbk32.sys ---> Whatever.sys

 

2.2 -> Abra o "DBKKernel", então abra o DBKDrvr.c com o bloco de notas.

Use a função persquisar,e localize "hideme",sem aspas. Ignore o 1º resultado e o segundo resultado que aparecer deverá dizer: //hideme (driverobject) , delete as // barras da frente do hideme.

 

* Isto pode causar a famosa tela azul para alguns usuarios.

 

2.3 -> Abra os arquivos "Sources" e "Sources.ce" com o bloco de notas no DBKKernel Folder e substitua eles.

targetname = DBK32 para targetname = Whatever

2.4 -> Usando o ASR:

coloque em Patch: (o caminho da pasta principal do CE)

coloque em Mask: (memscan.c;DBKrvr.c)

Va em options e inclua subfolders depois procure e substitua os seguntes:KeStackAttachProcess((PKPROCESS)selectedp rocess,&apc_state); para KeAttachProcess((PEPROCESS)selectedprocess);

KeUnstackDetachProcess(&apc_state); para KeDetachProcess();2.5 -> Agora nós montaremos o Whatever.sys ( o arquivo DBK32.sys que você havia mudado).

 

Va para o diretorio DBKKernel e copie o endereço:

*OBS: O meu é ("c:\cheat engine delphi\cheat engine delphi\DBKKernel") você deve ter salvo o seu em algum lugar.

Agora abra o Windows XP Free Build, ou Windows 2000 Free Build ou qualquer versão do Windows que esteja usando

Iniciar>Todos os programas> Development Kits > Windows DDK > Build Environment > Windows XP > Windows XP Free Build Environment

Ira aparecer uma tela identica ao DOS Prompt (o comando que sera utilizado aqui é do tipo cd)

 

ta tela do "DOS Prompt" digite cd "deixe um espaço" e cole o caminho da pasta que você copiou na parte anterior e pressione ENTER

Depois então digite "ce" "sem aspas" e pressione ENTER novamente, ira aparecer um monte de texto, feito isso você devera ver 7 arquivos compilados.feche-o!

 

Substituindo as Strings Detectadas

 

1-> Abra a pasta dbk32 e o arquivo "dbk32.dpr" com Delphi.

Vá em >Project Manager and expand "dbk32.dll".De dois cliques em "DBJ32functions"para abrir.

Agora substitua o seguinte:

CEDRIVER52 ---> Whatever1

DBKProcList51 ---> Whatever2

DBKThreadList51 ---> Whatever3

 

Uma vez terminado salve tudo e feche.

Agora abra o ASR:Va em File > Settings > Editor. Encontre o "delphi32.exe", então pressione OK.Se preferir pode encontrar em C:\arquivos de programas\borland\Delphi7\bin\delphi32.exe

 

No ASR va em options e marque a opção "include subfolders" OBS: lembre onde esta essa caixa pois vc ira utilizar varias vezes a opção "include subfolders"

Em "mask" coloque (newKernelhandler.pas;DBK32funcionts.pas;DBK32.dpr )

(esteja certo que você colocou ponto e virgula( depois de cada um)

Em "Patch" coloque o caminho da pasta principal do seu Cheat Engine.

 

E por fim marque a opção "whole words" que se encontra embaixo de "mask" Lembre-se que quando você pressionar para substituir você estara modificando um arquivo e não uma linha <~

 

Aqui esta a lista de Strings que você irá renomear, (eu fui a frente e renomiei toddas elas,mantendo o tema "Whatever").VQE ---> Whatever4

OP ---> Whatever5

OT ---> Whatever6

NOP ---> Whatever7

RPM ---> Whatever8

WPM ---> Whatever9

VAE ---> Whatever10

CreateRemoteAPC ---> Whatever11

ReadPhysicalMemory ---> Whatever12

WritePhysicalMemory ---> Whatever13

GetPhysicalAddress ---> Whatever14

GetPEProcess ---> Whatever15

GetPEThread ---> Whatever16

ProtectMe ---> Whatever17

UnprotectMe ---> Whatever18

 

IsValidHandle ---> Whatever19

GetCR4 ---> Whatever20

GetCR3 ---> Whatever21

SetCR3 ---> Whatever22

GetSDT ---> Whatever23

GetSDTShadow ---> Whatever24

setAlternateDebugMethod ---> Whatever25

getAlternateDebugMethod ---> Whatever26

DebugProcess ---> Whatever27

StopDebugging ---> Whatever28

StopRegisterChange ---> Whatever29

RetrieveDebugData ---> Whatever30

GetThreadsProcessOffset ---> Whatever31

GetThreadListEntryOffset ---> Whatever32

GetDebugportOffset ---> Whatever33

GetProcessnameOffset ---> Whatever34

StartProcessWatch ---> Whatever35

WaitForProcessListData ---> Whatever36

GetProcessNameFromID ---> Whatever37

GetProcessNameFromPEProcess ---> Whatever38

GetIDTCurrentThread ---> Whatever39

GetIDTs ---> Whatever40

MakeWritable ---> Whatever41

GetLoadedState ---> Whatever42

ChangeRegOnBP ---> Whatever43

DBKSuspendThread ---> Whatever44

DBKResumeThread ---> Whatever45

DBKSuspendProcess ---> Whatever46

DBKResumeProcess ---> Whatever47

KernelAlloc ---> Whatever48

GetKProcAddress ---> Whatever49

Protect2 ---> Whatever50

test ---> Whatever51

useIOCTL ---> Whatever52

DBKGetDC ---> Whatever53

Bom feito isso esta na hora de salvar (NewKernelhandler.pas, DHK32functions.pas, e DBK32.dpr) com novos nomes.

 

Abra os 3 arquivos mencionados acima (NewKernelhandler.pas) é encontrado no diretorio principal.Os outros dois arquivos estão localizados na pasta (DBK32), depois de abir eles vá em File > Save As (DBK32.dpr ---> Whatever.dpr(salve em DBK32)), você vera que a "bliblioteca DBK32" mudou para "biblioteca Whatever" Agora, procure e substitua o seguinte em todos os arquivos.(coloque em "mask" como *.* (selecione o Include subfolders):

dbk32.sys ---> Whatever.sys

dbk32.dll ---> Whaterver.dll

 

Fazendo CEHooK

 

Abra o ASR,no campo Patch deixa a pasta principal do CE e no campo Mask coloque (myhook) Inclua o Subfolders.

 

Renomeie somente nos arquivos (CEhook.dpr e hypermode.pas)

myHook---> Whatever54

 

Abra o CEhook.dpr com o Delphi, localizada na pasta CEhook

 

Localize o "System" abaixo de "uses"

Coloque duas barras (//) antes do "syst

 

Criando Procedimento

 

á na pasta Stealth e abra o arquivo stealth.dpr e compile.

Renomeando NewKernelhandler e CEfuncProc

Abra o Cheatengine.dpr da pata principal do CE

Vá para Project Manager e abra 'NewKernelHandler.pas' e 'CeFuncProc.pas'.

Vá para Save As. e salve na pasta principal do CE com o seguinte nome:

NewKernelHandler.pas ---> WhateverHandler.pas

Se ele perguntar:"Deseja Substituir"Aperte sim

CeFuncProc.pas ---> Whatever55.pas

Salve e feche

 

Mudando os valores das Strings (Valores Hex)

 

Os valores que iremos mudar são : 00400000 , 7FFFFFFF , 80000000.

 

Ps:Nós iremos mudar eles para valores diferentes, não em letras/nomes.

Abra a calculadora do Windows

 

Vá em Iniciar>Todos os programas>Acessorios>calculadora

Ao Abrir Clique em exibir/cientifica/HEX

 

Agora,primeiro entre com um dos valores (ex 00400000)

Então clique no botão "Dec" e adicione um numero (ex xxxxx5, não subtraia, isto pode levar a erros no futuro)

 

Depois que você adicionou um numero, clique no botão "Hex" novamente e você tera um novo valor

Use o ASR e substitua os valores antigos pelos novos (use "include subfolder" e em mask *.*).

 

Abaixo estão os exemplos que eu estou usando, nos quais eu adicionei 5 para todos. 00400000 ---> 00400005

7FFFFFFF ---> 80000004

80000000 ---> 80000005

 

Mudando Palavras com o CheatEngine GUI

 

Agora pesquise (não inclua subfolder) e mude: nextscanbutton ---> Whatever56

scanvalue ---> Whatever57

scanvalue2 ---> Whatever58

ScanType ---> Whatever59

VarType ---> Whatever60

newscan ---> Whatever61

ScanText ---> Whatever62

syndic.com/ce ---> live.com (mude para qualquer site que você quiser)

 

Abra o mainunit.pas com Delphi e localize o seguinte: if messagedlg('Do you want to try out the tutorial?',mtconfirmation,[mbyes,mbno],0)=mryes then shellexecute(0,'open','Tutorial.exe','','',sw_show );

 

Substitua o "tutorial.exe" para "Project1" de mode que fique assim:</B> if messagedlg('Do you want to try out the tutorial?',mtconfirmation,[mbyes,mbno],0)=mryes then shellexecute(0,'open','Project1.exe','','',sw_show );

 

Agora salve e feche

Abra o OpenSave.pas com o Delphi e localize o seguinte:

("Tutorial.exe":Application processname) mude o "Tutorial.exe para "Project1.exe"

Ainda no opensave.pas localize o seguinte: (este é somente para o CE 5.3, ao fazer isso você terá licensa para abrir outras cheats tables (.CT))

 

if x<>'WhateverEngine'then raise exception.Create('This is not a valid Whatever Engine table');

Now comment it out like so:

Deixe assim :

//if x<>'WhateverEngine' then

//raise exception.Create('This is not a valid Whatever Engine table');

Agora salve e feche

 

Abra o ASR e na mask utilize *.pas e mude o seguinte:

CheatEngine ---> WhateverEngine

cheat engine ---> Whatever Engine

 

Agora pesquise (não inclua subfolder) e mude: nextscanbutton ---> Whatever56

scanvalue ---> Whatever57

scanvalue2 ---> Whatever58

ScanType ---> Whatever59

VarType ---> Whatever60

newscan ---> Whatever61

ScanText ---> Whatever62

syndic.com/ce ---> live.com (mude para qualquer site que você quiser)

 

Abra o mainunit.pas com Delphi e localize o seguinte: if messagedlg('Do you want to try out the tutorial?',mtconfirmation,[mbyes,mbno],0)=mryes then shellexecute(0,'open','Tutorial.exe','','',sw_show );

 

Substitua o "tutorial.exe" para "Project1" de mode que fique assim:</B> if messagedlg('Do you want to try out the tutorial?',mtconfirmation,[mbyes,mbno],0)=mryes then shellexecute(0,'open','Project1.exe','','',sw_show );

 

Agora salve e feche

Abra o OpenSave.pas com o Delphi e localize o seguinte:

("Tutorial.exe":Application processname) mude o "Tutorial.exe para "Project1.exe"

Ainda no opensave.pas localize o seguinte: (este é somente para o CE 5.3, ao fazer isso você terá licensa para abrir outras cheats tables (.CT))

 

if x<>'WhateverEngine'then raise exception.Create('This is not a valid Whatever Engine table');

Now comment it out like so:

Deixe assim :

//if x<>'WhateverEngine' then

//raise exception.Create('This is not a valid Whatever Engine table');

Agora salve e feche

 

Abra o ASR e na mask utilize *.pas e mude o seguinte:

CheatEngine ---> WhateverEngine

cheat engine ---> Whatever Engine

 

Agora pesquise (não inclua subfolder) e mude: nextscanbutton ---> Whatever56

scanvalue ---> Whatever57

scanvalue2 ---> Whatever58

ScanType ---> Whatever59

VarType ---> Whatever60

newscan ---> Whatever61

ScanText ---> Whatever62

syndic.com/ce ---> live.com (mude para qualquer site que você quiser)

 

Abra o mainunit.pas com Delphi e localize o seguinte: if messagedlg('Do you want to try out the tutorial?',mtconfirmation,[mbyes,mbno],0)=mryes then shellexecute(0,'open','Tutorial.exe','','',sw_show );

 

Substitua o "tutorial.exe" para "Project1" de mode que fique assim:</B> if messagedlg('Do you want to try out the tutorial?',mtconfirmation,[mbyes,mbno],0)=mryes then shellexecute(0,'open','Project1.exe','','',sw_show );

 

Agora salve e feche

Abra o OpenSave.pas com o Delphi e localize o seguinte:

("Tutorial.exe":Application processname) mude o "Tutorial.exe para "Project1.exe"

Ainda no opensave.pas localize o seguinte: (este é somente para o CE 5.3, ao fazer isso você terá licensa para abrir outras cheats tables (.CT))

 

if x<>'WhateverEngine'then raise exception.Create('This is not a valid Whatever Engine table');

Now comment it out like so:

Deixe assim :

//if x<>'WhateverEngine' then

//raise exception.Create('This is not a valid Whatever Engine table');

Agora salve e feche

 

Abra o ASR e na mask utilize *.pas e mude o seguinte:

CheatEngine ---> WhateverEngine

cheat engine ---> Whatever Engine

 

Criado Por Dark Byte( Em Inglês)

 

Undectando CE 100%

 

 

Criado Originalmente por ShaK3

 

Requerimentos:

 

PassComent

 

ActualSR

 

Source Cheat Engine 5.3

 

Dephi 7

 

Dev C++

 

WDK/DDK

 

Decompiler]

 

Metas:

 

Form : ( )

Unit : ( )

Kernel Library ( )

Driver ( )

 

O que deve ser trocado antes de começar:

 

Abra o cheatengine.dpr e vá em View/Project Mananger

Clique com o botão em cima do cheatengine.exe e vá em view source e então vá em File/Salve as...

Salve com o nome que você dejesar (EX: ShaK3.dpr)

Agora abra esse novo projeto que você salvou (ShaK3.dpr) então vá em View/Project Mananger

Clique com o botão direito em cima do ShaK3.exe e vá em Options

Vá na aba Aplication

Troque Cheat Engine 5.4 (Source do CE 5.4) para ShaK3 5.4 e então clique em Load Icon e troque e o Icone do CE por outro qualquer

(Muita gente não faz isso e concerteza irá dar hack detectado em menos de 5 segundos caso não fizer isto)

 

GUI (Graphical Unit Iterface)Parte 1 (Form): Nivel Novato

 

Abra o Decompiler e selecione o seu engine (ShaK3.exe) e clique em Decompile (Ele irá criar um pasta Rescued com o seu projeto)

Abra o ShaK3.dpr da pasta Rescued e então compile-o

Abra o jogo (GunBound, GrandChase, MapleStory, de preferencia com o GameGuard)

 

* Hack Detectado *

 

Caso esteja detectado (se você usa a source original isso irá acontecer) você precisará abrir o seu projeto e deixar nele somente um form por vez e então após deixar um form (EX: MainUnit) compile-o caso de hack detectado novamente isto é que seu arquivo está detectado então você pode modificar nomes (Captions,Hints,Procedures,Uses,etc...), tamanhos (Width,Height), nome do form etc...

Faça isso até ficar undetectado (sem hack detectado) e então vá para o outro form e assim por diante até achar tudo que é detectado nos forms para poder passar para os códigos...

Pronto Form Undetectado

 

Metas:

Form : (X)

Unit : ( )

Kernel Library ( )

Driver ( )

 

GUI (Graphical Unit Iterface)Parte 2 (Unit): Nivel Novato/Mediano

 

Coloque o PasComment na pasta da sua source

Abra-o e então irá aparecer o nome de todos os .pas que sua source contem naquela pasta

Selecione todos os .pas e marque a opção "Auto overwrite source file"

Então clique em Batch Comment (ele irá comentar toda sua source adicionando após o Begin (* e *) antes do end

Fixando o primeiro erro: Abra o CeFuncProc, procure por initialization (encontra-se no final da source) comente até end; (Caso você não faça isso quando o esse pas for chamado em algum local da tua source como uses ele irá inicializar as funções que ali contem e como você comentou tudo ele irá dar erro).

 

Abra o seu Projeto (ShaK3.dpr) deixe somente uma Unit (EX: MainUnit) e então vá retirando desta unit os comments (* *) sempre anotando o que você tirou e testando para ver se deu hack detectado

 

* Hack Detectado *

 

Caso isso aconteça verifique onde isto está acontecendo recolocando os comentarios manualmente (* *) e retirando testando no jogo após descobrir o que é detectado você deve ver como pode ser feito para arrumar (Aqui necessita um pouco de conhecimento em delphi para saber o que fazer de verdade sem estragar de mais sua source)

 

Dicas:

1° Quando for descobrir o que é detectado comece por Units que contenham forms e não somente o .pas

2° Comece por Units menores e deixe CeFuncProc, MainUnit, MemoryBrowserUnit que são provavelmente as que são detectadas que contem mais código.

3° Quando for verificar o que foi detectado no seu código primeiro comecendo descobrindo qual a procedure/functions que é detectada e então após isso descubra que parte dela é detectado e como pode ser arrumada

4° Se achar o que foi detectado dentro da procedure não utilize comentarios // {} (**) para undetectar tente realmente arrumar o código se for preciso reescrevendo o mesmo...

5° Esta provavelmente será a parte mais difícil que você encontrará para criar um UCE e também a parte que você irá desistir .

 

Metas:

Form : (X)

Unit : (X)

Kernel Library ( )

Driver ( )

 

Kernel Library (dbk32.dll): Nivel Novato/Mediano

 

Antes de começar isso você deve ter certeza de que seu Form/Unit estejam undetectados

Abra o DBK32.dpr e então salve esse projeto com outro nome (EX: ShaK3DLL.dpr)

Abra o DBK32Functions.pas e salve-o com outro nome (EX: ShaK3Func.pas)

No seu ShaK3DLL.dpr irá ter uma lista de exports comente todos eles, após isso você abre o jogo e verifica se dará hack detectado caso não então retire um export e vá fazendo isso até descobrir quais funções exportadas estão sendo detectadas

* Hack Detectado *

O Principal a se fazer aqui é trocar o nome (EX: WPM -> WritePM)

Caso ainda de hack detectado (Difícilmente trocando o nome dará hack detectado) verifique a função que esse export detectado chama.

Troque DBK32.sys para o driver que você irá utilizar (EX: ShaK3Driver.sys)

Fixando Erros: Este problema é conhecido de todos desde de a Rev 839 do GameGuard na qual detectado o tamanho do Buffer de entrada no deviceiocontrol, troque-o no WPM, RPM e o primeiro fix na memória será feito...

Este segundo problema é conhecido de todos desde de a rev 1012 (se não me engane) o primeiro fix era feito somente trocando o ProcessID para xxxxx1 mas GameGuard detectou isso e outro fix foi feito novamente, agora você deve trocar o ProcessID da sua DLL para -1 e então fazer com que ele obtenha outro processid no seu driver fazendo isso mais tarde...

Pronto DLL Arrumada

 

Metas:

Form : (X)

Unit : (X)

Kernel Library (X)

Driver ( )

 

Driver (dbk32.sys): Nivel Novato/Mediano

 

Vá em sources.ce e troque DBK32 para o driver que você vai utilizar (Mesmo nome que você utilizou na sua dll)

Troque o nome da pasta do seu Driver de DBKKernel para outro nome (EX: ShaK3Kernel)

Troque o nome de alguns arquivos em .c/.h

Vá em DBKDrvr.c e comente todos os cases exceto o GETVERSION e o INITIALIZE

Comente os outros .c e vá descomentando e vendo se está detectado ou não mesmo passo da Unit

 

Dicas:

1° Entenda um pouco de C# para não dar BSOD

2° Não utilize a função do Process Watcher abilitada

3° Utilize o KernelUnloader para cada vez que você abrir o CE com o Driver você possa recompilar o mesmo sem ficar o driver no sistema

AJUDEI? AGRADEÇA!NÃO IRAR LHE CUSTA NADA MUITO MENOS CASH.

MAS CLARO AGRADEÇA SE FUCONAR:D

[shenow 7]

cara esse tuto é old tem erros e nao dexa o c.e. indetectavel..

.