ss movil

Bueno, después de que el sospechoso nos paso su anydesk, directamente vamos a gogle
play, clickeamos en el perfil y le damos en "administrar dispositivos y apps,
seleccionamos administrar y clickeamos en " no instaladas " revisamos que no haya
borrado keymapper & lunar & toolbox etc.

Después de eso si no encontramos nada, nos vamos al buscador y buscamos cualquier

tipo de cheat, autoclicker etc. después de averlo buscado lo seleccionamos y
bajamos, si aparece la opción para calificar la app, es porque fue instalada
recientemente, podemos proceder a un ban.
Bueno, después de esto nos vamos a Chromee, o al Navegador de preferencia del
usuario, buscamos "Muy activiti" y entramos al primer link, o simplemente nos
redirije, ahí mismo nos aparece una opción para buscar resultados de búsquedas que
hemos echo, como búsquedas en youtube/chromee/google/play store. Etc
Procedemos a buscar "toolbox" & "keymapper" $ "lunar proxy for mcbe" & "protohax"
bueno, nos saldrán resultados de búsquedas de youtube como de play store & gogle
play, con esas pruebas podemos proceder a un ban, pero para verificar.

El siguiente paso es ir a el Navegador de preferencia y buscamos 'my usage history

viewer"

Y lo descargamos, ya instalado entramos en la app, seleccionamos las 3 rallitas de

arriba y activamos " all events" ojo, esto es por si te bypasseo, acá puedes
encontrar logs como "lunar.hosted." ( lunar proxy) o mcrar.toolbox.mcbe. o etc
también con keymapper, bajamos y si encontramos algún log de esto, fue porque el
usuario lo uso, ya con eso podemos proceder a ban

ss win10
Win10: Primero le damos freeze al usuario que tengamos sospechas que usa algún tipo
de hack / cliente ilegal le vamos a decir que si admites el uso de hacks o quiere
que hagamos ss en qué nos responde checamos su plataforma y su gip (para ver si nos
intenta bypassear con con o usando otro dispositivo) una vez que nos pase su código
abrimos anydesk y nos ponemos VPN antes de entrar (por si nos intenta ddosiar /
doxxiar) una vez en su PC le pedimos que nos dé la opción de acceso total que nos
quite todos los permisos excepto los primero 3 una vez hecho eso vemos la barra de
tareas (para ver si tiene Minecraft abierto o obs abierto para grabar la ss) una
vez checado eso vamos a la barra de buscada y buscamos "cmd" lo abrimos y ponemos
"sc query dps" si sale "4 RUNNING" podemos continuar pero si sale "1 STOPPED" lo
podríamos baniar por stopped service before the ss una vez visto eso lo cerramos y
vamos a su navegador y vamos a la barra de búsqueda y buscamos "system informer"
lo descargamos y vamos otra vez y buscamos everything igual lo descargamos estando
en se navegador ponemos "control + j" dónde podemos ver todos los archivos
descargos y eliminados ay buscamos archivos raro (.exe .bar o .jar) salimos de ay
si no encontramos nada y ponemos "control + h" esto nos permite ver su historial de
búsqueda y podemos buscar algún nombre de hacks (lakeside nitr0 Ambriosial algún
clicker etc) si no encontramos nada
vamos a la barra de búsqueda ponemos C:/ (Index) vemos la fecha de modificación de
la carta llamada $Recycle.bin si la fecha de modificación de esta carpeta es la
misma a la de la ss es motivo de ban por Modify Files before ss ahora vamos a la
papelera de reciclaje y vamos a vista y activamos 2 opción es llamadas mostrar
extención de archivo y mostrar archivos ocultos (gracias a este podemos ver si
tienes alguna extención modificada o un archivo oculto ahora vamos a la barrada de
búsqueda de Windows ponemos cmd y ponemos "sc query diagtrack" y si lo tiene
stopiado
es motivo de sospecha ahora vamos a system informer y lo abrimos como administrador
y vamos a "options" y ponemos la opción llamada "enable kernel mode" una vez hecho
eso vamos a la barra de búsqueda y buscamos "explorer.exe" y le damos click derecho
y vamos a propiedades y vamos a memory le damos a "options" strings y ponemos 5
extended unicode y mapped una hecho esto vamos a Contains(Case-insensitive) y
buscamos algún cheat (injector clicker Ambriosial etc) si no sale nada ponemos en
Contains(Case-insensitive) file:/// luego volvemos a poner en Contains(Case-
insensitive) (una extensión de el archivo .exe .jar o .dll) esto nos permite ver
los archivos ejecutados con estas extensión si aún nada cerramos eso y volvemos a
hacer el mismo proceso y ahora buscamos pcaclient (aquí saldrán las últimas 9 app
que a abierto el usuario) cerramos esta parte vamos a la barra de búsqueda y
buscamos Pcasvc antes de dumpiarlo vamos a la barra de búsqueda de Windows y
buscamos cmd ponemos "sc query Pcasvc" tiene que salir "4 RUNNING" y si sale "1
STOPPED" es motivo de ban una vez checado esto ahora volvemos y dumpiamos el
servicio pero en vez de poner algún nombre de hack vamos a poner "TRACE," y luego
volvemos a filtrar pero por .exe (aquí saldrán archivos ejecutados .exe todos de
forma desordenada) vamos a buscar en la barra de búsqueda de Windows notepad y lo
pegamos los resultados de "TRACE," y vamos a las opciones de notepad y a buscar ay
buscamos algún nombre de hack si no encontramos nada aún cerramos este apartado y
vamos a el navegador y descargamos "pcasvc lister" (aqui nos mostrara las 9 apps
ejecutadas recientemente y si an sido eliminadas) si no aparece nada aun vamos la
barra de búsqueda de Windows ponemos cmd y ponemos "sc query appinfo" los mismo
tiene que salir "4 RUNNING" si no sale es motivo de ban una vez comprado eso
volvemos a system informer y vamos a la barra de búsqueda y ponemos appinfo
dumpiamos el proceso y en Contains(Case-insensitive) ponemos C:\ volvemos a poner
Contains(Case-insensitive) y está vez ponemos .exe aquí nos permite ver los exe que
han sido ejecutados como administrador si no vemos rastro de cheat vamos al proceso
de MsMpEng y lo dumpiamos luego de eso filtramos y en Contains(Case-insensitive)
ponemos /device/ luego vamos a Contains(Case-insensitive) otra vez y ponemos .dll y
analizamos los resultados (MsMpEng ayuda a ver los programas analizados para ver
qué no tengan malware esto nos ayuda aver los .dll o .exe que ejecutó el individuo)
si no sale nada raro vamos y ponemos harddiskvolumen en Contains(Case-insensitive)
luego vamos otra vez a Contains(Case-insensitive) y lo filtramos por .exe si no
sale nada raro de lo común vamos al proceso de SearchIndexer lo dumpiamos y vamos a
Contains(Case-insensitive) y ponemos File: y luego volvemos a Contains(Case-
insensitive) y filtramos por .exe o .dll (este proceso nos ayuda a ver qué busca el
usuario en Windows y nos facilita a ver qué es lo que ejecutó y o busque antes de
la ss) luego dumpiamos otra vez el servicio de SearchIndexer vamos a Contains(Case-
insensitive) y filtramos por \: luego otra vez en Contains(Case-insensitive)
filtramos y ponemos .exe si aún nada pasamos a Minecraft services
Este apartado es para el uso de servicios en específico para encontrar cheats en
específico
(En system informer)
Nitr0:
Si sospechamos que el usuario tiene nitr0 o nitr0 Lite podemos dumpiar el proceso
MsMpEng lo escanearemos y filtraremos con la string: nitr0> nitr0 nitr0 lite
Ambriosial:
Si el usuario que le estamos realizando ss sospechas que pueden tener Ambriosial
zephyr analizaremos el proceso de minecraft.exe
es decir, click derecho al proceso propiedades luego memory y pondremos en weight
"4" y marcaremos las opciones desmarcadas, luego clickearemos en "filter" y
"Contains (case-insensitive)" y pondremos `zephyr`
de esta forma podremos confirmar el uso de zephyr o de ambrosial client
Lunar proxy: si sospechamos que el usuario usa lunar proxy podemos pedirle que
ponga .help en el chat o en el caso contrario filtramos en system informer en en
servicio de Minecraft.Windows.exe y en Contains(Case-insensitive) ponemos "Lunar"
debe salir cosas como "Lunar Proxy4" o "3Welcome To Lunar Proxy"
Luego vamos a detectar strings eliminadas usaremos los procesos Explorer.exe,
Ctfmon.exe y Taskhostw.exe en cualquiera de estos filtraremos (0x y nos saldra la
strings eliminada)
Es recomendable revisar esto desde el incio de una SS, porque la mayoria de estas
strings son temporales
Cerramos la parte de system informer y vamos a everything lo abrimos como
administrador y en la barra de búsqueda buscamos del cheat que es acusado (lakeside
Ambriosial clicker etc) si no sale nada ponemos default.h y si sale un archivo del
mismo nombre pueden baniarlo (resuido de horion) luego de este ponemos UsageLogs y
luego ponemos por .exe esto nos permite ver los locos que dejan algunas
aplicaciones de Windows cerramos everything y vamos a su navegador buscamos Windows
live info y lo descargamos y ejecutamos cómo administrador una vez hecho eso nos
vamos a functions y BAM entries una vez dando eso nos pedirá guarda una archivo
donde se mostrará todas las app que has ejecutado en el tiempo que está encendido
la PC ay vemos que apps abrió y buscamos algún cheat (horion Ambriosial algún
clicker etc) si no sale nada aún ponemos "win + r" y escribímos "prefetch" y
buscamos el nombre del cheat que creamos que usa (aquí se pueden ver los resuidos
de las apps de win10) si nada ponemos el mismo comando pero ahora ponemos %temp%
dónde es buscamos lo mismo el cheat que es acusado o que nosotros creímos que usa
(aquí se muestra archivos temporales de win10) ahora ponemos el mismo comando y
ponemos "Shell:recent" (aquí se nos muestra los archivos usados/ modificados
recientemente) y vamos a ver los resultados luego de eso vamos al navegador de
usuario y descargamos "JournalTrace" una vez descargado lo ejecutamos y vamos a la
parte de "Driver" y le damos a "Select" y luego donde dice C:\ luego de eso camos a
"Scan" una vez hecho eso vamos a "Layaout" y le damos a "Data Grid" y vamos a la
barra de busqueda de journal y buscamos cualquier cheat (autoclick ambrosial horion
lakeside nitr0 etc) luego por último checamos macros Logitech ponemos win + r y
ponemos C:\Users\%username%\AppData\Local\LGHUB si tienes modificado a fecha de la
ss y a unos minutos antes que empezarás la ss tiene modificado el archivo llamado
settings.db es ban por Modify Files before ss si no vemos nada raro vamos a poner
otra vez win + r y ponemos C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\
PowerShell\PSReadLine
Luego vamos a ver el .txt si sale algo como Get-ChildItem C:\Users\%USERNAME%\
AppData\Local\LGHUB\settings.db | % {$_.LastwriteTime = '12/05/2022 15:30:40'}
significa que está intentando un bypass de macros pero si sale algo como Set-
PSReadlineOption -HistorySaveStyle SaveNothing más de lo mismo no está guardando el
historia de powershell posiblemente tenga modificado algún archivo esto se puede
igual considera como stoppiar un servicio (el historial de powershell) si aún nada
vamos al navegador y buscamos MacroFinder este es un macro finder que busca
modificación en el software del mouse para ver si no ay una modificación reciente o
importante tiene de estos tipos de mouse 1)Logitech 2) Glorious 3) 3 types of
Corsair 4) Bloody 5) Steelseries 6) Alienware esto nos ayudar a hacer la ss de
macro más sencilla luego de todo eso vamos con el este método que seria
Ir a system informer LGHUB_AGENT
Click derecho a LGHUB_AGENT y luego click en Poperties y le damos click a String
Search
Colocamos 4 en Minium Lenght y Marcamos Image y Maped, luego click en Ok
Filtraremos DurationMs - IsDown true Si Sale como esto es que efectivamente tuvo un
macros en LGHUB luego vamos a descargar dre files es una aplicacion la cual nos
mostrara archivos eliminados, editados o reemplazados y analizamos los resultados
que nos salen al descarga esa aplicación si aún nada ponemos win + r y de ruta
ponemos C:\Windows\appcompat\Programs\Install esto nos ayudar a ver las
instalaciones mas recientes del equipo y analizamos los archivos .txt si aun nada
luego vemos si es una máquina virtual lo que está usando el usuario con el
siguiente comando ponemos win + r Mslnfo32 y vamos a la seccion de System Model
(aquí nos indicara el modelo del sistema (si es una máquina virtual diría algo como
Virtual Box)
Luego de esto Para poder revisar todos los logs de un .exe ejecutados en el PC,
revisaremos la ruta Regedit
Para eso ponemos win + r y ponemos Regedit ya dentro de Regedit ponemos la
siguiente dirección HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
Esto como dije nos permitirá ver los .exe ejecutados en la PC

hacks de hcf
1: hitbox " aumenta el campo de radeo o simplemente como su nombre, la hitbox de
cualquier mob/player, incrementa de tamaño haciendo mas fácil hacertar bits.

2: reach " aumenta el alcanze/la distancia en la que se pueden asertar hits.

3: velocity: modifica el kb para poder disminuirlo & aumentarlo

4: timer "aumenta la rapidez en la que el usuario puede bajar de un combo" esto es

muy fácil de ser notado, ya que da un poco de speed y se nota la rapidez en la que
el usuario que lleva esto puede bajar

5: aimbot. Su función lo dice, dependiendo de cual se use. El aimbot hace que la

mira se dijira automáticamente al player, sin hacer ningún tipo de esfuerzo,

6:(lo queria agregar yo) freecam, esto te habré como un modo espectador, con el que
puedes mirar jugadores dentro de su base, o cualquier cosa que este alrededor
aunque tu estés en otro lugar

hacks clients

Horión
Golpe Interno
cliente de EM
SketchClientV2
Nitr0
Toolbox
VeltClient

Block Glich y Pealr Glich

flood y spam que es
Flood consiste en enviar mucha información en poco tiempo a alguien para intentar
saturar La manera de aprovechar esto en los chats, de forma que esta, al contestar,
supere el límite del servidor y este lo eche en pocas palabras
(Consiste en mandar mucha información en poco tiempo para saturar el chat. (La
repetición desmesurada de algún mensaje en un corto lapso de tiempo)
(Spam) los spamers pueden promocionar todo, desde servicios no relacionados con
Minecraft hasta contenido inapropiado, apareciendo de 3 a 12 veces. Mensajes de
repetición:
BlockGlitch, buggear el bloque (romperlo) y asi pegarle al jugador que se encuentra
atras del bloque
PerlGlitch es un poco mas dificil de describir pero mas facil de hacer, se trata de
buggear la perla con un bloque o valla dependiendo la situacion en la que estes,
tomando un ejemplo
estas trapeado y lanzas una perl al techo saliendo dela fac
BugAbuse, como dice el nombre aprovecharse de un bug que no esta parchead, como un
airdrop lo puedes duppear o hacer que nunca se acabe

El uso de cheeting
BugAbuse
Toxicidad
Dtr Evading
Ban Evading
Refuse To SS
Farm kill
Kick And Kill
Lag Abuse
PvP timer abuse
/ban [Nombre del jugador] [Motivo] Expulsa a un jugador del servidor. El motivo es
opcional.
/banlist [players/ips] Te muestra una lista con todos los jugadores baneados, ya
sean sus nombres (players) o direcciones IP (ips)
/tp [jugador] [x,y,z] Teletransporta al jugador indicado en las coordenadas
específicas del comando
/unmute Desilencia a un miembro silenciado.
/warn Advierte a un usuario de su mal comportamiento.
/ban Banea a un miembro del servidor.
/mute Silencia a un miembro.
/unban Desbanea a un usuario del servidor.
/ping muestra el ping del jugador /ping player
/tban 30d cheating (player)