Analyse des mods Forge

Ce processus complet explique comment examiner minutieusement les mods Forge (fichiers trouvés dans le dossier) à la recherche d’éventuelles triches ou modifications..jar mods

Phase 1 : Préparation et localisation du bon dossiermods

La précision commence par un bon réglage et une identification précise du dossier cible.

Assurez-vous que les fichiers cachés soient visibles : Avant de commencer, vérifiez que l’Explorateur de fichiers Windows est configuré pour afficher les fichiers cachés, les dossiers et les fichiers protégés du système d’exploitation. Le dossier lui-même, ou les fichiers qu’il contient, pourraient être intentionnellement cachés.mods
Localiser le dossier actif : Comme mentionné précédemment, ne supposez pas le chemin par défaut. Utilisez soit la méthode en jeu (options > packs de ressources > ouvrir le dossier pack > monter d’un niveau), soit la méthode de recherche de chaîne System Informer (mémoire de recherche pour ) pour identifier de manière définitive le bon répertoire racine du jeu et le sous-dossier correspondant utilisé par l’instance de jeu en cours d’exécution. Enregistrez exactement ce trajet..minecraftjavaw.exe \mods mods

Phase 2 : Vérifications préliminaires sur le dossiermods

Avant d’analyser des fichiers individuels, inspectez le dossier lui-même..jar mods

Vérifier la date de dernière modification : Examinez l’horodatage « Date de modification » du dossier. ▲ Indicateur critique (Potentiellement bannible) : Si ce timestamp est très récent, surtout juste avant le début du partage d’écran ou pendant la session de jeu en cours, il suggère fortement de manipuler. Cela indique que des fichiers ont probablement été ajoutés, supprimés ou remplacés dans le dossier très récemment, souvent dans le but de masquer les triches avant la vérification. De nombreux ensembles de règles de serveurs considèrent cela comme une infraction directe susceptible de bannir en raison de la forte probabilité de manipulation des preuves.mods

Phase 3 : Analyse détaillée des fichiers de mods (.jar)

Examinez chaque fichier présent dans le dossier actif identifié..jarmods

Identifier les mods chargés (méthode simple) : Pendant que le jeu tourne, essayez de déplacer chaque fichier hors du dossier (par exemple, vers le bureau). Les fichiers qui ne peuvent pas être déplacés et qui affichent une erreur « fichier en usage » sont actuellement chargés et verrouillés par le processus. Les fichiers pouvant être déplacés n’ont pas été chargés par l’instance du jeu en cours (ou ont pu être déchargés via des techniques de contournement spécifiques – voir Phase 4). Note quels mods sont activement chargés..jar mods javaw.exe
Analyse de la taille du fichier (poids) : Vérifiez la taille (en Base de Be ou Mo) de chaque fichier. Les partageurs d’écran expérimentés développent souvent une idée de la plage de taille de fichier typique pour les mods courants (comme Optifine, Keystrokes, Togglesneak) à certaines versions..jar
- Soupçon: Une taille de fichier nettement plus grande ou plus petite que la norme attendue pour ce mod et cette version précis est un signal d’alarme majeur nécessitant une investigation plus approfondie.
- Exemple: Un mod Togglesneak courant pour Minecraft 1.8.9 pèse généralement autour de 24-30 Ko. Trouver un fichier pesant 64 Ko ou seulement 10 Ko est très suspect et nécessite une décompilation immédiate et une vérification des hachages. Note tous les mods avec des tailles anormales.Togglesneak-1.8.9.jar
Analyse de contenu via décompilation (Luyten, Recaf) : Utilisez un décompilateur Java fiable (par exemple, Luyten, Recaf) pour examiner la structure interne et le code source des mods suspects (ceux signalés pour taille anormale, noms de triche connus ou toute autre raison).
- Procédure: Il suffit de glisser le fichier suspect dans la fenêtre du décompilateur..jar
- À surveiller :
  - Noms suspects de classe/colis : Cherchez des dossiers (paquets) ou des fichiers (classes) dont les noms suggèrent fortement une fonctionnalité de triche (par exemple, , , , , , , , , ).autoclicker aimassist reach velocity killaura scaffold fly speed esp xray selfdestruct bypass exploit
  - Code inattendu : Découvrir du code lié à des fonctions de triche dans un mod qui prétend être purement cosmétique ou pour la performance (par exemple, trouver une logique de clics complexe dans un mod simple sur HUD).
  - Obscurcissement: C’est un signal d’alarme crucial. L’obfuscation est le brouillage intentionnel du code pour le rendre illisible et entraver l’analyse. Chercher:
    Noms de classe/méthode/variable sans signification ou à une lettre (par exemple, , , , , , ).a.class b.class a() b() var1 var2
    Des noms excessivement longs et aléatoires (par exemple, ).aBcDeFgHiJkLmNoPqRsT.class
    Utilisation de caractères ou symboles non standards dans les noms.
    Une structure de code qui semble délibérément compliquée ou absurde. ▲ Indicateur critique (potentiellement bannible) : L’obfuscation massive est très fréquemment utilisée par les développeurs de triches pour masquer du code malveillant et empêcher une détection facile. En raison de l’impossibilité de vérifier rapidement la légitimité et la sécurité du code obscurci lors d’un partage d’écran sensible au temps, de nombreux serveurs ont une politique stricte de bannissement en cas de présence de mods obscurcis.
Vérification de l’intégrité via hachage (SHA256 / HashMyFiles) : C’est une méthode définitive pour vérifier si un fichier de mod, même un qui semble légitime par son nom et sa taille (comme Optifine), a été altéré ou n’est pas la version officielle.
- Outils: Utilisez un calculateur de hachage de fichiers fiable comme HashMyFiles (Nirsoft), l’outil de hachage intégré de 7-Zip, ou le cmdlet de PowerShell. SHA256 est l’algorithme recommandé.Get-FileHash
- Procédure:
  1. Calculez le hachage SHA256 du fichier spécifique du lecteur concerné..jar
  2. Obtenez le hash officiel SHA256 pour la même version exacte de ce mod (y compris le numéro de version, le numéro de build et la version cible de Minecraft, par exemple OptiFine 1.8.9 HD U M5). Trouvez ce hachage officiel uniquement auprès de sources fiables, telles que le site officiel du développeur du mod (par exemple, optifine.net), des plateformes réputées et sélectionnées comme CurseForge ou Modrinth, ou des wikis/bases de données communautaires fiables. Ne faites pas confiance aux hachages provenant de forums aléatoires ou de sources inconnues.
  3. Comparez soigneusement le hachage calculé à partir du fichier du joueur avec le hachage officiel. ▲ Indicateur critique (potentiellement bannible) : Si les hachages ne correspondent pas, c’est une preuve concluante que le fichier du joueur a été modifié et est illégitime. Cela pourrait être un mod officiel modifié injecté de triches, une version fausse déguisée sous le même nom, ou simplement corrompue. Assurez-vous de comparer avec le hachage pour la version précise ; Comparer avec une version différente entraîne naturellement un décalage et constitue une source fréquente de faux positifs si c’est fait négligemment.

Phase 4 : Détection des mods « non chargés » (analyse de la mémoire)

Cette technique avancée vise à identifier les mods présents dans le dossier au début du jeu mais qui ont ensuite été retirés ou renommés après le lancement, potentiellement pour échapper à la détection. Les références à ces mods non chargés pourraient encore rester gravées dans la mémoire du jeu.mods

Outil: System Informer (ou son prédécesseur Process Hacker) fonctionnant avec des privilèges administrateur. Assurez-vous que le pilote en mode noyau est activé dans les options pour un accès illimité à la mémoire des processus.
Procédure:
1. Dans System Informer, localisez le processus correspondant à l’instance Minecraft en cours d’exécution.javaw.exe
2. Faites un clic droit sur le processus -> sélectionnez Propriétés.
3. Naviguez jusqu’à l’onglet Mémoire.
4. Cliquez sur le bouton Cordes.
5. Configurez les options de recherche de chaînes : Définir la longueur minimale à une valeur raisonnable (par exemple, 5 ou plus pour réduire le bruit), assurer que les types de mémoire mappée et privée sont sélectionnés (Image peut parfois être désélectionnée pour réduire encore le bruit, mais l’inclure est plus sûr au départ). Assurez-vous que le support Unicode/Caractères étendu est activé. Cliquez sur OK.
6. Dans la fenêtre des résultats des chaînes, cliquez sur le bouton Filtrer.
7. Sélectionner Contient (insensible aux majuscules).
8. Collez le chemin complet et exact du dossier actif du lecteur (identifié méticuleusement dans la Phase 1) dans la boîte de texte du filtre.mods
Analyse des résultats : System Informer affichera toutes les chaînes de caractères trouvées dans la mémoire du processus contenant le chemin de dossier spécifié. Cette liste inclut souvent les chemins complets vers les fichiers que le jeu a chargés ou référencés.javaw.exe mods .jar
Comparaison: Comparez soigneusement la liste des chemins de fichiers trouvés dans les chaînes mémoire (résultats System Informer) avec la liste des fichiers actuellement physiquement présents sur le disque dans le dossier actif (consulté via l’Explorateur de fichiers). ▲ Indicateur critique (potentiellement bannible) : Si l’analyse mémoire de System Informer montre le chemin complet vers un mod spécifique (par exemple, ) mais que ce fichier n’est plus physiquement présent dans le dossier sur le disque, c’est une preuve solide que le mod a probablement été « déchargé » (s’il existe un mécanisme dans la triche) puis supprimé, déplacé ou renommé après le début du jeu, généralement pour éviter la détection lors du partage d’écran..jar .jar mods C:\Users\Player\AppData\Roaming\.minecraft\mods\SuspiciousCheatMod.jar .jar mods

MÉTHODE BONUS 1 : RedLotus Mod Analyzer (outil automatisé de criminalistique)

Pour accélérer considérablement la détection des triches, des bocaux modifiés et des tactiques d’évasion, le RedLotus Mod Analyzer propose une solution sophistiquée et automatisée. Cet outil combine l’analyse de mémoire, la surveillance du système de fichiers et l’analyse de bytecode en une seule interface.

Fonctionnalités principales :
- Mémoire et analyse de disque : Détecte automatiquement le processus en cours d’exécution pour scanner les mods chargés en mémoire (contournant les astuces de renommage de fichiers) ou permet la sélection manuelle d’un dossier disque.javaw.exe
- Moteur de détection dynamique : Analyse le bytecode brut pour plus de 175+ signatures de modules de combat (KillAura, Velocity, Reach) et les empreintes structurelles des triches connues, calibrées à partir d’une base de données de triches.
- Surveillance anti-évasion : S’intègre directement au NTFS USN Journal pour détecter les mods qui ont été supprimés, déplacés ou modifiés après le début du jeu.
Fonctionnalités clés pour les partageurs d’écran :
- Alertes intelligentes : Signale instantanément si le dossier a été altéré pendant la session (par exemple, tactiques d'« autodestruction »).mods
- Vérification de l’intégrité : Vérifie automatiquement les hachages des mods par rapport à des sources légitimes comme CurseForge et Modrinth.
- Détection d’injection native : Signale des vecteurs JNI suspects ou des bibliothèques natives non autorisées cachées dans les JAR.
- Preuves visuelles : Met en surbrillance les mods supprimés/déplacés en rouge (« MOD NON TROUVÉ ») et mods modifiés en orange, fournissant une chronologie claire des événements.

MÉTHODE BONUS 2 : HabibiModAnalyzer (script PowerShell)

Pour simplifier le processus de vérification d’intégrité, en particulier la phase de comparaison de hachages, le script PowerShell HabiModAnalyzer, créé par le membre de la communauté HadronCollision, peut être très efficace.

Fonctionnalité: Ce script automatise la vérification de l’intégrité des mods en comparant les hachages des fichiers dans un dossier spécifié avec la vaste base de données Modrinth (une plateforme de mods fiable). Cela identifie rapidement les mods qui ont été modifiés (décalage de hachage). De plus, il intègre quelques heuristiques génériques de détection de triche et peut analyser les informations ADS Zone.Identifier pour déterminer l’origine probable du téléchargement du fichier (par exemple, identifier les mods téléchargés à partir de sources non fiables)..jar mods
Commande d’exécution : Pour exécuter le script directement depuis GitHub dans une fenêtre PowerShell (exécuter en tant qu’Administrateur) :
Copier
```
Set-ExecutionPolicy -Processus de portée -Bypass d’exécutionPolicy ;  Invoke-Expression (Invoke-RestMethod https :raw.githubusercontent.com/HadronCollision/PowershellScripts/refs/heads/main/HabibiModAnalyzer.ps1)
```
Le script demande généralement le chemin vers le dossier à analyser.mods

PrécédentAnalyse spécifique pour Minecraft SuivantJavaedit - Détection via hachage/contenu

Mis à jour il y a 4 jours

Bonsoir