En esta guía vamos a abordar diversa variedad de conceptos y métodos para realizar y comprender bien lo que es una ss.
Lo que buscamos no es que se aprendan de memoria los métodos, sino que aprendan cómo es que estos funcionan para poder aplicarlos cuando la situación lo requiera.
Quiero remarcar que el documento en sí va a contar con hipervínculos para aquellos staff que no conozcan o tengan alguna duda respecto a cierto término. En el mencionado hipervínculo se va a encontrar una explicación fácil de comprender, acorde a los conocimientos requeridos para una ss (nada técnico) del concepto o programa resaltado.
índice de navegación
Aclaraciones, créditos y condiciones
Esta guía es propiedad de MineLatino Network y nos reservamos el derecho sobre cualquier modificación.
Esta guía puede ser utilizada por cualquier servidor; siempre y cuando se use este enlace. La guía no debe ser copiada y pegada en otro lugar.
Constantemente intentamos actualizar la guía y si quieres contribuir con ella, envía un correo a [email protected], con los cambios que deseas realizar o lo que deseas añadir.
Créditos:
- David León#2753, quien ha liberado la guía y la ha modificado para su adaptación web. CEO de MineLatino Network.
- Incognitqhh#1524, quien ha hecho parte de la base de la guía (ACLARACIÓN: Esta persona ya no forma parte del staff de MineLatino Network y se ha visto involucrada en situaciones irregulares; por favor, no relacionar a esta persona con MineLatino).
- Astrelizy#6669, quien nos ha hecho diversas aportaciones y ha colaborado con los vídeos. (ACLARACIÓN: Esta persona ya no forma parte del staff de MineLatino Network y se ha visto involucrada en situaciones irregulares; por favor, no relacionar a esta persona con MineLatino).
Proteger tu IP en AnyDesk
Este punto es algo muy importante, ya que cualquier usuario (solo cuando ustedes entran a su anydesk) pueden sacarles la IP de una manera muy fácil (y si lo hacen, los pueden DDosear o saber su ubicación no exacta).
Para evitar esto tienen que seguir los siguientes pasos:
1. En AnyDesk le damos click a las 3 rayitas
2. De ahí vamos a “configuración”
3. Luego buscan la opción “Conexión”
4. Y le dan click a “Liberar ajustes de conexión…”
5. Y por último, desmarcar la opción que dice “Permitir conexiones directas”
Y listo, con eso ya no pueden sacarles la ip cuando entren al AnyDesk del usuario.
DATO: Un programa muy frecuente usado para esto es el “LiveTcpUdpWatch”
Si un usuario lo tiene instalado o lo abrió cuando fue freezeado está más que claro cuáles fueron sus intenciones.
También se usan programas como “NetLimiter”, “Wireshark” y Anydesk IP resolver”.
Si el usuario posee alguno de estos programas, se procede a una sanción inmediata; bajo el concepto de «intentar robar la IP del staff».
Evitar que te graben la SS
Es indispensable que antes de comenzar con cualquier procedimiento se revise minuciosamente que el usuario que están por revisar NO esté grabando su pantalla mientras le realizan la SS (esto para evitar videos “bypasseando” o videos que se usan para que los developers de los cheats parcheen ciertos métodos).
Ahora que está esto explicado, empecemos con los métodos.
Nvidia Gforce Experience
Este es un programa que viene con los drivers de las tarjeta gráfica “NVIDIA”, y permite grabar la pantalla consumiendo pocos recursos del procesador.
Para asegurarse que el usuario NO esté usando este programa, lo primero que deben hacer es ir a su escritorio y dar click derecho.
Si sale algo como lo que se ve en la captura de arriba, significa que el usuario tiene una tarjeta gráfica nvidia.
Tengo entendido que puede llegar a no salir (aunque el usuario tenga una gráfica nvidia) si es que se bugea. Si no sale, puede significar que no tenga los drivers correctamente instalados.
Después, tienen que buscar “Nvidia Gforce Experience” en la barra de búsqueda de Windows
En esta ventana tienen que ir al símbolo del engranaje
Y una vez que estén ahí, desactiven la opción “Superposición dentro de juegos”
Revisiones Generales
Además del método anterior, recomiendo revisar los procesos que el usuario tiene abiertos (en el administrador de tareas *click derecho a la barra de tareas y seleccionan “administrador de tareas”*)
Y en el administrador de tareas, tienen que revisar que no tenga programas (Como OBS, Action, Camtasia Studio, Hypercam, entre otros) ejecutándose.
Evitar grabaciones por AnyDesk
El AnyDesk tiene dentro de sus opciones la de grabar una sesión, y esto es bastante fácil de detectar.
Cuando un usuario esté grabando la sesión en la que están AnyDesk les va a salir de la siguiente manera.
En cambio, cuando un usuario NO está grabando, sale así.
Cómo evitar que graben / compartan pantalla en Dicord
Para asegurarte de que Discord no esté grabando ninguna SS, debes ver si el jugador que está siendo testeado está usando Discord o no, y también si se encuentra en una llamada o no. No hay forma directa de saber si el jugador está enviando su pantalla a través de un canal de voz a menos que entremos dentro del programa.
Método para revisar si Discord se encuentra activo y cómo cerrarlo:
1. Abrir el Administrador de Tareas con click derecho en la barra de tareas:
2. Una vez dentro del Administrador de Tareas, bajaremos hasta encontrar los procesos de Dicord:
3. Una vez localizados, podemos cerrarlos haciendo click derecho en ellos y seleccionando “Finalizar tarea”:
4. Otra forma de encontrarlo en caso de que el usuario intente ocultar los procesos del Administrador de Tareas es usando el comando “tasklist” en CMD con permisos de administrador:
5. Para cerrar el proceso, deberán usar el comando “taskkill /IM” y el nombre del proceso, tal y como se muestra en pantalla:
Método para revisar si el jugador en ss está en llamada (y posiblemente retransmitiendo pantalla)
1. Una manera muy sencilla es ir a los iconos directos de Windows en la barra de tareas, y ver si el símbolo de que se está usando el micrófono está activo:
2. Si el usuario oculta el micrófono desde la barra de tareas, se puede revisar los Iconos de Windows pegando esta ruta en Windows + R: shell:::{05d7b0f4-2121-4eff-bf6b-ed3f69b894d9}
3. Una vez sabemos que el usuario se encuentra en un canal de voz, procedemos a cerrar el Discord.
Vídeo explicativo para evitar que te graben una SS
Primeros pasos para realizar una SS
Una vez que se encuentren dentro de la computadora del usuario que va a ser revisado, es recomendable que empiecen revisando los directorios más frecuentes (Los dejaré luego en ss tools):
Carpeta de Minecraft: Windows + R > Colocan “%appdata%” > Carpeta .minecraft
Una vez que se encuentren dentro de esta carpeta van a tener todos los archivos del juego.
Lo primero que deben de hacer es revisar de forma general toda la carpeta. Esto para evitar que el usuario esté usando algún tipo de Ghost Client bastante desactualizado o cualquier tipo de cliente que deje rastros visibles en esta carpeta.
¿Qué es un Ghost Client?
Un ghost client es un cliente, mod, o archivo externo que tiene la finalidad de brindarle ventajas al usuario que lo utilice.
Por lo general las ventajas son para pvp, pero también se pueden aplicar para temas de pve.
Lo que diferencia a un hacked client de un ghost client es, principalmente, que estos últimos se crean con la finalidad de ser lo menos detectables posible frente a una SS (y algunos, para bypassear consolas).
Ejemplos de carpetas .minecraft
Este es un ejemplo de la carpeta .minecraft sin ningún tipo de modificación ilegal:
Este es un ejemplo de la carpeta .minecraft con modificaciones ilegales:
- Rastros de Hacked Client.
- Rastros de Ghost Client.
Los Hacked Client que vemos arriba, no deberían ser explicados ya que al ser staff deben contar con un nivel mínimo de SS (si deseas saber más sobre estos clientes; te recomendamos leer: ¿Qué clientes son legales en MineLatino?).
Pero el rastro de ghost client que se aprecia en la captura lo dejan muchos gc desactualizados (aquellos que pueden llegar a ser una versión de algún mod modificado y que, por lo general, abrían su GUI con RSHIFT)
¿Qué es una GUI?
La GUI de un ghost client o de un hacked client es la interfaz gráfica del cheat.
Puede ser tanto interna (dentro del minecraft) como externa (en una ventana a parte).
Revisión de las demás carpetas
Luego de hacer esta revisión deben proceder a buscar algo sospechoso en las carpetas “mods” (esta carpeta puede o no estar), “resourcepacks”, “screenshots” y “versions”. Básicamente, lo que se debe buscar en estas carpetas, es algo de lo especificado en los clientes que no son permitidos o alguna anormalidad.
Carpeta Mods
En esta carpeta van a encontrar todos los mods (.jar) que el usuario tenga instalados. Lo primero que tienen que ver es el nombre de los mods, más que nada para ver que el usuario no tenga algún ghost client sin renombrar
Después, se tienen que fijar en el peso de los mods (el cual pueden ver a la izquierda de todo).
Este proceso se realiza ya que hay ciertos mods que modifican sus .class para cumplir con una función distinta a la que cumplía el mod original (por lo general se les agrega autoclick, reach o velocity),
Pero, ¿Cómo se dan cuenta si un mod está modificado solo con el peso?
Esta respuesta es fácil: La mayoría de los mods tienen cierto tamaño en relación a la versión que se esté utilizando; y, al agregar .class dentro de los mods con la finalidad de agregar un módulo de cheat el peso del mismo aumenta (a veces de forma muy significativa, y otras de una forma más sutil).
Entonces, lo que debes es ver los mods que el jugador posea y determinar si el peso es correcto o no (un mod bastante modificado es el Optifine; en el listado de clientes que son ilegales en MineLatino, se aclara el peso promedio de algunos mods, que dependiendo de la versión, también pueden variar; ten cuidado con eso).
¿Qué son las .class?
Son los archivos que se encuentran dentro de los .jar (creo que en la guía se menciona cuando hablamos de mods modificados).
Prácticamente, al agregar o modificar un .class se está modificando el código del mod, y por ende, su funcionamiento.
NOTA: Yo estaré dejando pesos de los mods que estarán junto a la guía; aunque también hay una información inicial en el tema sobre clientes que hemos recomendado más arriba.
Carpeta Resourcepacks
En esta carpeta van a buscar principalmente algún tipo de xray.
Generalmente, estos texture packs, no se renombran (por lo que deberían poder detectarlo a simple vista), pero en caso de que esté renombrado se recomienda revisar los nombres de todos los textures packs y, aquel que tenga un nombre raro, lo aplican dentro del minecraft. (Yo sinceramente no me fijo directo, no soy mucho de revisar mucho texture pack).
Carpeta Screenshots
Esta carpeta se revisa para detectar algún descuido del usuario.
Los ghost client suelen tener muchos módulos, y algunos de estos pueden ser detectados a simple vista (como el nametags o tracers).
Por esa razón recomiendo revisar, por lo menos, las últimas fotos que tenga guardadas. Ya que muchas veces se puede apretar “F2” por error.
Carpeta Versions
En esta carpeta tienen que revisar las versiones que el usuario tenga instaladas.
En este punto es raro encontrar algún hacked client (como huzuni) renombrado. Pero, para estar seguros, es recomendable revisar el tamaño de las carpetas y compararlas con algún punto de referencia (para esto pueden ayudarse de Google o simplemente abrirlas con winrar y buscar las .class como kill aura, criticals, xray, nuker, etc).
Carpeta Prefetch: Windows + R > Colocan “prefetch” (si sale un mensaje notificando que no tienen permiso de entrar, solo denle a continuar)
En esta carpeta van a encontrar archivos con extensión .pf
Estos archivos solo se guardan en esta carpeta cuando se ejecutan ciertos .exe (no funciona con ninguna otra extensión).
La idea es que busquen los nombres de los .exe ejecutados para ver que no tenga nada raro.
Aunque, personalmente, recomiendo dar un vistazo general porque, si bien funciona con .exe, hay otros métodos que cumplen con la misma función e incluyen a todos los archivos ejecutados.
Así se ve la carpeta prefetch:
Ejemplo de un .exe ilegal dentro del prefetch:
Recycle Bin: Windows + R > Colocan “C:\$Recycle.Bin”
Es probable que, si el usuario no tiene la visualización de los archivos de la carpeta modificada, les diga que este directorio se encuentra vacío.
Para poder ver las carpetas tenemos que hacer lo siguiente:
1. Abrir cualquier carpeta > Clickear en “vista”
2. Clickeamos la casilla “Elementos ocultos”
3. Hecho esto, damos click al ícono “Opciones” (Solo al ícono, NO A LA FLECHITA)
4. En la ventana que se nos va a abrir, cambiamos de pestaña a la que se llama “ver”
5. Bajamos hasta la opción “Ocultar archivos protegidos por el sistema operativo (recomendado)”
Y desmarcamos esa opción.
Seguro al desmarcar les sale el siguiente mensaje
6. Solo denle a “Sí” y después a “Aplicar” y “Aceptar”. Y con esto ya deberían poder ver las carpetas dentro del directorio.
Ahora que pueden ver las carpetas, nos vamos a centrar en la que se llama “Papelera de reciclaje”, más específicamente en su fecha de modificación. Nos fijamos en esto porque es probable que, si el usuario estaba usando algo o tenía algún tipo de programa ilegal, lo haya eliminado cuando fue freezeado.
IMPORTANTE: Si bien en este caso nos basamos en las fechas de modificación, las mismas no son seguras por dos motivos. Primero, porque apretando SHIFT + DEL se puede eliminar un archivo sin que se modifique la papelera. Y, lo más importante, porque las fechas de modificación de cualquier archivo en windows puede modificarse como quieras.
Para esto es tan simple como cambiar la fecha y la hora de tu pc, después modificar el archivo y, por último, volver a la fecha y hora actual.
Ejemplo de que la papelera puede modificarse a gusto:
Utilización de programas
Una vez que terminan con todos los pasos iniciales, y no encontraron nada, pueden empezar a usar programas externos a Windows para hacer la ss.
Quiero hacer hincapié nuevamente en la introducción de la guía, ya que no vamos a hablar de ningún concepto de forma técnica, sino que van a ser explicados para que puedan usarlos para una SS.
Dicho esto, empezamos.
Everything
Link: https://www.voidtools.com/Everything-1.4.1.1000.x64-Setup.exe
Interfaz: https://prnt.sc/vxz0rt
Este programa funciona como un buscador de archivos para Windows, simplemente eso.
Tienen que colocar alguna palabra como “XRay” o “Autoclick”, ya que muchas veces los usuarios se pueden olvidar de borrar sus cheats o algún directorio.
ACLARACIÓN: Si el usuario renombra un archivo, por lógica, NO va a salir en los resultados de búsqueda del everything.
Video tutorial sobre como utilizar Everything
RegScanner (Solo usar como referencia)
Link: https://www.nirsoft.net/utils/regscanner.zip
Interfaz: https://prnt.sc/vxz2t7
IMPORTANTE: Los registros que sean encontrados mediante este programa NO tienen que considerarse como 100% válidos para sancionar a un usuario. Esto debido a que los residuos que se encuentren analizando el regedit refieren a toda la actividad que el usuario realizó desde que instaló sus sistema operativo.
Este programa tiene una función muy similar a la del Everything solo que funciona con los registros de windows (Regedit).
En este programa podemos buscar palabras clave en el apartado de “Find String” y seleccionar los “HKEY” en los que se van a buscar dichas palabras clave.
Yo recomiendo el siguiente procedimiento para este programa:
1. Seleccionar todos los 5 “HKEY”, porque siempre es mejor asegurarse de buscar en todos los registros *Se selecciona solo con 1 click*
2. Y después buscar “Vape” y “Autoclick” en este apartado
Pueden buscar más palabras pero lo considero una pérdida de tiempo.
3. Una vez que escriban la palabra clave, tienen que darle a “scan”
4. Y les va a salir algo como esto:
5. Tienen que esperar a que la parte inferior cambie a lo siguiente:
IMPORTANTE: Al buscar “vape”, por ejemplo, el scaner puede llegar a detectar cosas que no hagan referencia al cheat (Como archivos con el nombre “JavaPermissions”).
La mayoría de registros de vape son “REG_DWORD” (icono azul) y tienen por nombre algún número (“0”, “12”, “019”).
IMPORTANTE 2: Los archivos encontrados no necesariamente tienen que tener un nombre definido, sino que pueden ser directorios dentro del regedit.
Dejo un ejemplo visual en el que detectó la palabra “autoclick” en la “Store” del regedit (también puede llamarse “Persisted”)
Para comprobar que realmente sea un registro válido, tenemos que darle doble click al registro, los que nos va a llevar al directorio con el archivo del regedit marcado.
Como se ve en la captura de arriba, lo que detectó fue un directorio dentro de la PC en el que había un autoclick (carpeta de descargas)
IMPORTANTE 3: No banear por lo que te salga, es una guía ya que son registros de la pc, puede que alguna vez haya usado un autoclick y salga, no banear por lo que salga solo guiarse; para saber que haya usado el usuario.
UserAssistView
Link: https://www.nirsoft.net/utils/userassistview.zip
Interfaz:
Este es de los programas más útiles a la hora de hacer SS, ya que lo que se encarga de hacer es de recopilar una lista de los .exe que se ejecutaron en la PC y colocar su directorio.
Este programa, a diferencia del prefetch, incluye a todos los .exe.
Aunque tiene un “bypass”, y es que desde el mismo programa pueden eliminarse los registros.
Ejemplo de autoclick encontrado en UserAssistView
ExecutedProgramList
Link: https://www.nirsoft.net/utils/executedprogramslist.zip
Interfaz:
Este programa funciona igual que el UserAssistView, pero con dos particularidades.
- Primero: Hay algunos (aunque pocos) . exe que no incluye
- Segundo: Desde el programa no se pueden eliminar los registros.
Ejemplo de autoclick encontrado con ExecutedProgramList
LasAcvtivityView
Link: (próximamente).
Interfaz: (próximamente).
Este programa sigue la misma regla que los dos anteriores con dos variantes:
- Primero: Hay muchos archivos que no se incluyen en su lista.
- Segundo: A diferencia del “UserAssistView” y el “ExecutedProgramList”, este programa permite ver .jar, .rar, .exe, entre otras extensiones.
Ejemplo de autoclick encontrado con LastActivityView
Process Hacker
Link: https://github.com/processhacker/processhacker/releases/download/v2.39/processhacker-2.39-setup.exe
Interfaz: https://prnt.sc/vydbf9
Este programa es de los más complicados de entender al principio, pero es muy práctico.
Lo que hace principalmente es mostrar la lista de procesos que se están ejecutando en ese momento en Windows.
A su vez, nos permite filtrar, en cada proceso, ciertas “Strings” con las que se pueden encontrar algunos cheats (por lo general que cuentan con self destruct) o memory hacks.
También, permite ver el tiempo que un proceso lleva activo. Esto sirve ya que ciertos self destruct lo que hacen es reiniciar los procesos activos (vamos a tratar esto un poco más adelante).
Acá solo voy a explicar procedimientos generales para que sepan moverse por el process hacker. Y tampoco voy a mostrar ninguna string (Por el momento).
¿Qué es strings?
Las strings son una especie de “Logs” que guardan los procesos. Y el PH2 funciona como un filtro que se aplica a esas strings.
Las strings no son necesariamente una combinación rara de números y letras, sino que también, palabras como: “Autoclick”, “Hack”, “Vape”, se consideran strings.
¿Qué es Self Destruct?
El self destruct es una opción de vital importancia en un ghost client, ya que en ella recae el hecho de que tan indetectable es un cheat.
El self destruct se aplica, generalmente, de forma manual o cuando se cierra el ghost client.
Y la función que cumple es la de eliminar la mayor cantidad de archivos residuales posibles con el fin de que, en una ss, no se le encuentre nada.
¿Qué es Memory Hacks?
Estos son un tipo de ghost client que, por lo que tengo entendido, tienen limitados los módulos que pueden tener debido a que funcionan por memoria.
Desconozco la parte técnica de los memory hack pero son conocidos por ser los ghost client más difíciles de encontrar.
Ejemplo de estos cheats:
- Koid.
- Cucklord.
- Icetea (aunque este está crackeado).
- Whiteout.
Dicho esto, sigamos…
Método general para usar Process Hacker 2
Este método aplica a cualquier proceso. Es lo que se utiliza como norma general para buscar cualquier string.
Lo primero que debemos hacer es buscar el proceso en el que queremos filtrar la strings.
(Voy a tomar el explorer.exe como ejemplo)
Para buscar un proceso basta con ir a la esquina superior derecho y colocar el nombre del proceso.
Le damos clic derecho y seleccionamos «Properties»
Se nos va a abrir esta ventana
Hago un paréntesis. La casilla donde dice “Started” se refiere al tiempo que lleva el proceso activo (el explorer.exe debería coincidir con el tiempo de encendido de la pc, si es que el usuario no lo reinicio (se reinicia si se bugea la barra de tareas).
Si el “Started dice 10 minutos, y se frezeo al usuario hace 12 minutos (por ejemplo) sería un indicio muy fuerte de que usó algún tipo de self destruct o manualmente reinició el explorer antes de pasar anydesk.
Sigo con el método general:
Después de que se les abra esa ventana, tienen que ir a la pestaña “Memory”
Una vez ahí, desmarquen la opción “Hide free regions”
Y, una vez hecho esto, le dan click a “strings…”
Cuando le dan a “Strings…” se les debería abrir lo siguiente
En esa ventana se pone, “Minimum length” el valor 4
Y se marcan las casillas “image” y “Mapped”
Quedando algo así
Cuando tengan la ventana así, pueden darle click a “OK”.
Y el programa va a empezar a escanear el proceso.
Cuando termine el scan (depende de la pc la velocidad del mismo) se va a abrir otra ventana.
En esta ventana, para buscar una string tienen que darle click a “Filter”, lo que les dará las siguientes opciones
Y SIEMPRE se utiliza la que se llama “Contains (case-insensitive)”
Cuando le den click va a salir una barra en la que van a poder colocar la string correspondiente.
Ejemplo de autoclick encontrado con Process Hacker 2 (PH2)
Método para detectar .dll inyectados con Process Hacker 2
El PH2 puede usarse también para inyectar archivos .dll a distintos procesos. Cuando se trata de Minecraft casi siempre se inyectan directamente en el proceso del juego (javaw.exe)
Para detectar estos .dll basta con dar click a la opción “Find handles or DLLs”
Y buscar el nombre del .dll en la barra de búsqueda
Para intentar detectar un .dll tienen que tener indicios de alguno que les haya parecido sospechoso. Y el mismo debe tener una repercusión directa en el proceso javaw.exe
(importante para no sancionar por cualquier cosa). Además de que hay .jar por defecto en las librerías de minecraft (por esta razón hay que ser muy cuidadosos con este apartado).
Método para detectar archivos recientes
Este método es bastante conocido, y se lo llama “PcaClient” (respetando mayúsculas y minúsculas).
Lo que tienen que hacer es seguir los pasos del método general en el proceso explorer.exe y utilizar “PcaClient” (sin comillas) como string.
A lo que deberían salir dos resultados. Siempre se usa el que tenga menos “Length”
Lo tienen que seleccionar y darle click a “Save” (se encuentra en la parte de abajo de los resultados)
Una vez que den click ahí, tienen que elegir un directorio accesible en la PC del usuario (recomiendo el escritorio)
*CUANDO GUARDEN EL ARCHIVO, EL PH2 SE VA A LAGEAR UNOS SEGUNDOS*
Y lo que se va a guardar en un .txt (archivo de texto), el cual puede abrir con el block de notas.
Y ahí van a tener una lista con .exe ejecutados hace relativamente poco.
*MI AUTOCLICK NO SALE AHÍ PORQUE EDITÉ LA FECHA DE MI PC PARA EXPLICAR EL RECYCLE BIN*
Método específico para cualquier cheat (Se irán actualizando)
Antes que nada, recomiendo leer completamente este método ya que voy a abordar un tema dentro del process hacker que nunca está de más saber.
Bueno, antes de empezar con esto tienen que saber cómo ejecutar el process hacker como administrador. Para esto lo tienen que abrir y darle click a “Hacker” (esquina superior izquierda).
Y después clickear la opción “Show details of all processes”
Cuando lo clickeen, se les debería cerrar y abrir el programa.
Cuando pase eso significa que ya están como administrador.
Ahora, antes de empezar a mover el process hacker, tienen que copiar el directorio del escritorio del usuario. Como esto puede ser un poco complicado, recomiendo usar la siguiente “plantilla” – “C:\Users\<Usuario>\Desktop”. En esta plantilla, tienen que cambiar lo que dice “<Usuario>” por el nombre del usuario correspondiente de la persona a la que le hagan SS.
Una vez que tengan copiado el directorio del usuario, tienen que buscar “SearchIndexer” como proceso en el process hacker, a lo que les tendría que salir algo así.
Después tienen que abrir el proceso “SearchIndexer.exe” y realizar los mismos procedimientos que en el método general, solo que tienen que utilizar el directorio que tienen copiado como una string. En mi caso “C:\Users\Inexistencia\Desktop”
IMPORTANTE: Si el process hacker les deniega el acceso, vuelvan a repetir el proceso para poner el process hacker como administrador.
Acá un ejemplo del Vape V4 encontrado con este método
Este proceso puede repetirse en el proceso llamado “eventlog” y en otro llamado “CDPUserSvc”. Ambos con el nombre “svchost.exe” (Pero no significa que sean el mismo proceso).
ACLARACIÓN: Estos procesos en la mayoría de casos salen, pero existe la posibilidad de que NO aparezcan.
Métodos complementarios
En esta última parte voy a mencionar un par de métodos que utilizan programas dentro de windows para aclarar un poco las dudas que tengan sobre dicho usuario.
Windows + R > Colocan “CMD”
En el CMD hay varias palabras clave que pueden usar:
Tasklist
Al utilizar esta palabra, les va a salir una lista de los .exe ejecutados (junto a su peso)
SC QUERY DPS
Al utilizar esta palabra, va a salir cierta información. Lo que a nosotros nos complemente es lo que dice “Estado”.
Si sale el estado en “Running” significa que está limpio, y si sale en “Stopped” significa que posiblemente utilizó algún ghost client y le dió selfdestruct.
Ipconfig/displaydns
Al utilizar esta palabra, va a salir una lista de las páginas web que revisa el usuario.
Hay que fijarse bien si no entró a alguna de un ghostclient por ejemplo (Vape, dream, yukio, drip, etc).
dir /b/s *.exe
Al utilizar esta palabra se va a mostrar una lista de todos los .exe que tiene en la pc el usuario.
dir /b/s *.jar
Cumple la misma función que el comando de arriba pero con .jar
Pueden encontrar diversos .jar por ejemplo ese auto gg mod es un java edit camuflado con ese nombre, su función es aumentar la hitbox al poner /hitbox 10 o más.
Y también pueden encontrar mods con nombres de ghost clients por ejemplo el vape 3.25.
IMPORTANTE: Cambiando la extensión de este comando sale una lista de dicha extensión: (.exe, .jar, .dll, .rar)
Windows + R > Colocan “PowerShell”
En powershell vamos a hacer lo mismo que en el CMD, vamos a utilizar comandos para ver lista de procesos o archivos que se hayan ejecutado en la PC.
gci -recurse -filter *.exe (también se pueden aplicar otras extensiones “.jar”, “.rar”, “.dll”)
Esto nos da una lista de los archivos con la extensión que corresponda y los divide por directorio
Método Firewall
Con este método van a poder detectar cualquier tipo de ghost client o cheat que se updatee automáticamente (vape v4 y vape lite, por ejemplo).
Siempre que alguien ejecuta un cheat por primera vez sale el siguiente mensaje de windws *El archivo ejecutado es el Vape V4*
Al permitir o cancelar el acceso se crea un regla en firewall. Para ver si un usuario tiene una regla creada se deben seguir los siguientes pasos.
Solo ir a la lupa de búsqueda y escribir firewall y entrar donde está firewall seguridad avanzada..
Y una vez ahí, tienen que revisar TODAS las reglas, de arriba a abajo.
Las que aparezcan con éste símbolo (✅) son reglas permitidas y con éste (🚫) son reglas bloqueadas (igualmente esto no es relevante para el método).
Lo que tienen que buscar en la lista de las reglas es algún nombre raro del que ustedes sospechen (esto debido a que prácticamente todos los ghost client de pago se descargan con un nombre generado aleatoriamente. Ejemplo “HAdj9.exe”).
Un ejemplo del Vape V4 encontrado con este método.
Este método es muy seguro pero no aplica para los memory hack (ya que estos los tiene que actualizar el usuario de forma manual, descargando nuevamente el cheat).
Método para macros de Logitech (inseguro)
Antes de empezar con este método, quiero aclarar que el mismo presenta cierto grado de fallo. Esto se debe a que lo que se usa para detectar si un usuario usó macros son las fechas de modificación de un archivo que se encuentra dentro del directorio de instalación del Logitech GHUB; dicha fecha de modificación varía cuando el usuario elimina los macros, pero también lo hace cuando modifica la sensibilidad del mouse (tanto desde el programa “Logitech GHUB” como en los propios macros del mouse). Por ese motivo, si el usuario cambia la sensibilidad por error (pasa mucho si no se tiene bien configurados los macros) hace una especie de “false flag”
Ahora sí, vamos al método en sí:
En primer lugar tocamos Windows + R y colocamos “appdata”
En la carpeta “appdata” buscamos la carpeta llamada “local”
En “local” buscamos la carpeta llamada “LGHUB”
Y dentro de “LGHUB” nos fijamos en las fechas de modificación del archivo “settings.json”
Si el archivo fue modificado antes de la SS, es un inidio PROBABLE de que el usuario haya modificado los macros (ya que sea cambiándolos o borrandolps)
Método para macros de Razer
Este método, a diferencia de logitech, es muy seguro (aunque, como dice más arriba en la guía, todas las fechas de modificación pueden ser cambiadas a disposición del usuario).
Tocamos Windows + R y colocamos “C:/ProgramData”
En “Program Data” buscamos la carpeta “Razer”
Dentro de la carpeta “Razer” buscan la que se llame “Synapse Accounts”
Y si la carpeta aparece modificada antes de la ss, es un indicio claro de que eliminó los macros.
Método de recuperación de archivos
Este método sirve para casi todos los cheats, incluyendo memory hacks.
Lo considero como uno de los mejores métodos para detectar cualquier cosa que haya sido eliminada de la pc del usuario
Este método se hace mediante el programa “EaseUS”
Link: https://www.easeus.com/download.htm
Interfaz:
En la interfaz principal van a salir los discos que tenga asignados en la PC del usuario.
Acá tienen que seleccionar el disco principal (el que tiene el ícono de windows). Aunque también tienen que fijarse el/los discos secundarios.
Después le tienen que dar doble click al disco que se va a analizar, y va a empezar a escanearlo (la velocidad depende del disco y la pc del usuario).
IMPORTANTE: No es necesario esperar a que el escaneo finalice para ir revisando lo que el programa recupera.
Yo recomiendo esperar a que se recuperen los archivos de la papelera de reciclaje (RecycleBin) y de alguna carpeta que hayan considerado como sospechosa en algún paso previo a este.
Acá tienen un ejemplo del archivo de texto “gc” (es el que se usa de ejemplo en las explicaciones del minecraft) que aparece como borrado en el escán del “EaseUS”
¿Cómo contribuir con la guía?
Si deseas contribuir, en hacer que la comunidad de Minecraft sea más limpia; puedes hacerlo de manera simple:
- En un archivo Word, crea lo que desees añadir a la guía (con imágenes y todo bien redactado).
- Envía el archivo Word a [email protected]; con el título «Aporte a guía SS».
- Nuestro equipo evaluará la información y la añadirá donde lo considere necesario (si gustas, puedes especificar en que apartado te gustaría que s e añada).
- En todo momento, daremos créditos a las personas que nos ayuden a actualizar la guía.