Skip to content

highdevian/combatroblox

Repository files navigation

Telador

Screen-share forense pra Roblox — veredito em segundos, não em horas.

Roda no PC do suspeito, lê os artefatos do Windows (Prefetch, Amcache, BAM, USN, logs do Roblox…) e entrega um veredito de cheat com % de confiança. 100% local — nada sai do PC. Open source.


release CI scanners tests Windows License

Baixar telador-gui.exe · Zip completo · telador.exe (CLI) · Playbook


  >>> CONFIDENCE ENGINE: TARGETS DETECTADOS <<<
    ● [CONFIRMED] Solara  (executor)    96% confidence    score=52.1 · 4 fontes
        ✓ prefetch   ✓ amcache   ✓ bam   ✓ live_processes

113 scanners forenses cruzam evidência de dezenas de fontes do Windows. Uma fonte sozinha nunca confirma — o Confidence Engine agrupa os hits do mesmo alvo num veredito único (CONFIRMED / DETECTED / SUSPECT) com % de confiança, em vez de cuspir 50 hits soltos pra você interpretar.

Como usar

Modo mais simples (recomendado, v3.55.0+): baixa telador-gui.exe, dá 2 cliques, aceita o UAC. A janela abre direto (sem terminal preto), escolhe Completo ou Rápido, clica em Iniciar SS. Em 30s a 3min sai o veredito com semáforo e os 3 bullets do staff. Clica em Copiar Discord e cola na liga.

Sem admin, os scanners forenses fortes (Prefetch, Amcache, BAM) falham e o veredito vira INCONCLUSIVO (não inocenta).

Outros formatos de download:

  • telador-gui.exe — versão janela, sem console (recomendado pra staff/suspeito).
  • Telador-vX.X.X.zip — kit completo (2 exes + bats + PLAYBOOK.md + SHA256s).
  • telador.exe — CLI clássico com console. Suporta --ss-live, --watch, --md, --json, --save-tsr, --diff, etc.

SmartScreen / antivírus pode reclamar do exe no primeiro run (não temos code-signing pago). Solução: clicar em "Mais informações" → "Executar assim mesmo".

Sem admin, "nada encontrado" não inocenta — é inconclusivo. O programa avisa isso.

O que detecta

Executores conhecidos 542 assinaturas — Solara, Xeno, Wave, Velocity, Ronix, Krnl, Fluxus, Synapse X e dezenas de menores. Bate em Prefetch, Amcache, BAM, UserAssist, USN, browser, Lixeira, processos.
Executor renomeado Por estrutura, não por nome: exe não-assinado + runtime web embutido (EBWebView/CEF) em pasta de usuário. Sobrevive a renomear o arquivo.
Executor por assinatura binária (YARA) Regras estilo YARA leem o conteúdo do .exe/.dll: se carrega os símbolos da API de exploit Luau (getrawmetatable, hookmetamethod, newcclosure…) ou toolmarks de injeção, casa mesmo renomeado/repackado. Pula assinados e o próprio telador. Regras externas: drope um yara_rules.json ao lado do exe (ex.: pacote-strings) e vira detecção sem recompilar.
Launcher do Roblox patcheado RobloxPlayerBeta.exe com assinatura quebrada (modificado pra injetar) — e dropper se passando por launcher.
Autoclickers e macros OP Autoclicker, TinyTask, Speed Autoclicker, Pulover, G HUB/Razer com motor de macro, e red flags de conteúdo (no recoil, auto click).
Evasão de ban e alts Account managers, multi-instância, HWID spoofers.
Drivers BYOVD / kernel winring0, mhyprot2, capcom, gdrv e cia (kdmapper, loader).
Hardware DMA (parcial) Enumera PCIe/USB e flagga IDs de placa DMA conhecidos — FPGA Xilinx (VEN_10EE: PCIeScreamer/LeetDMA/CaptainDMA) e ponte USB3 FT601. Heurístico: firmware que spoofa o ID escapa, ausência não inocenta.
Event Log de execução (estilo Hayabusa) Lê o Event Log do Windows: 7045 (driver/serviço instalado — pega BYOVD mesmo se o .sys foi deletado, e funde com o detector de drivers), 4104 (PowerShell script block — download cradle e nome de executor) e 4688 (criação de processo — pega o executor pelo nome se o audit estiver ligado). Rastro que sobrevive à deleção do arquivo.
Defender detectou o cheat Eventos 1116/1117 do Defender: o próprio antivírus do Windows pegou um hacktool/executor e o suspeito manteve/excluiu. Casa nome de executor (funde no cluster) ou hacktool. Gated pra não flaggar PUA/trojan genérico.
Injeção em runtime DLL não-assinada no RobloxPlayerBeta, manual-map / reflective DLL (imagem PE em memória privada+executável), process hollowing / RunPE (image base trocado por memória privada — disco limpo, miolo trocado) e debugger atrelado (Cheat Engine, x64dbg).
Anti-forense Prefetch/SysMain off, VSS wipe, log de Segurança limpo, PowerShell apagado, USN journal (pega exec que foi deletado).
Windows security enfraquecida (Tier S) DSE / Test Mode (bcdedit testsigning/nointegritychecks — pré-requisito pra rodar driver custom kernel), VBS / HVCI desativados (nenhum jogador comum desliga), página RWX dentro do RobloxPlayerBeta (patch in-memory de internal cheat), ActivitiesCache Timeline (SQLite do Windows que registra toda app dos últimos ~30 dias — cleaner popular não limpa).
Comportamental (Tier A) AMSI bypass (primeira instrução de AmsiScanBuffer no PowerShell patcheada pra silenciar Defender), APC injection (DLL no Roblox vinda de path suspeito — pega o que CreateRemoteThread não pega), dropper task recente (scheduled task criada nas últimas 24h com AtLogon + exe em C:\Users\ — persistência clássica de loader).

Anti-bypass — os truques que os cursos de telagem ensinam

Processo suspenso · processo disfarçado de sistema (svchost.exe/dwm.exe de pasta de usuário) · DLL sideloading (version.dll/dinput8.dll ao lado do launcher) · executável escondido em ADS (notas.txt:cheat.exe) · time-stomping (data no futuro / executor backdated) · cheat em pendrive · outra conta de Windows · Defender adulterado · relógio voltado pra trás · limpadores / secure-delete.

Flags

telador.exe                       roda tudo, gera o HTML
--gui                             abre janela CustomTkinter (sem terminal) — v3.54.0+
--ss-live                         modo SS ao vivo — 71 scanners rápidos (< 45 s)
--watch                           dashboard ao vivo em 127.0.0.1 (nada sai do PC)
--update-sigs                     baixa a base de assinaturas mais recente
--quick                           ~1s, só os scanners base
--md                              também exporta Markdown (cola no Discord)
--json                            também exporta JSON completo (verdict + clusters + bullets)
--save-tsr fulano.tsr             snapshot com selo HMAC de integridade
--diff antigo.tsr                 compara com um snapshot anterior
--codigo X7K9                     código do supervisor no relatório (prova de SS ao vivo)
--no-elevate                      não pedir admin (cobertura limitada)

O que não faz

Não é anticheat. O foco é rastro forense pós-uso, mas ele também inspeciona o processo vivo do Roblox (DLL injetada, manual-map, debugger). Sem driver kernel: técnicas só-em-RAM avançadas, bootkit, e o processo blindado pelo anti-cheat do Roblox (o Hyperion pode bloquear a leitura de memória) ficam fora do alcance direto. Cheat de DMA só é pego parcialmente (ID de placa conhecida no PCIe/USB); placa com firmware que spoofa o ID escapa. PC formatado na hora não tem o que ler (o Telador sinaliza a formatação, mas não substitui a SS visual). O veredito é heurístico — tem falso positivo e falso negativo. Use como ponto de partida, junto da SS, não como sentença.

Antivírus reclama do exe?

Falso positivo conhecido do PyInstaller (empacotador de Python que se descompacta numa pasta temp ao rodar). Não é malware — o código é aberto. Confere no VirusTotal, ou compara o SHA256 que o programa mostra no banner com o da release. Se preferir, roda do fonte:

git clone https://github.com/highdevian/combatroblox
cd combatroblox && pip install -r requirements.txt && python telador.py

Build

build.bat        # gera dist/telador.exe (~11 MB, standalone)

Requer Windows 10/11, Python 3.10+, pip install -r requirements.txt. As releases saem reproduzíveis do CI (push de tag → build no windows-latest → publica o .exe + SHA256).

Licença

MIT. É ferramenta de auditoria com consentimento — use onde você tem permissão. Veja LICENSE e SECURITY.md.

About

Ferramenta forense de screen-share (SS) para Roblox - 97 scanners cruzam artefatos do Windows, estado de seguranca (VBS/HVCI/DSE) e memoria do Roblox pra entregar um veredito de cheat com % de confianca. Pega bypass privado. 100% local, sem envio de dados. Open source.

Topics

Resources

License

Security policy

Stars

2 stars

Watchers

0 watching

Forks

Packages

 
 
 

Contributors