CombatRobloxv3.14
GitHub
PLATAFORMA DFIR — MOTOR TELADOR

CombatRoblox

Plataforma de perícia digital para investigação de cheats

Análise avançada de artefatos do Windows, detecção de anti-forense, investigação de processos e correlação de evidências — feita para quem precisa de veredictos defensáveis.

Baixar telador.exeDocumentaçãoGitHub

Windows · 10 MB · 100% local · MIT

50
Scanners
542
Assinaturas
11
Categorias
100%
Análise local
POR QUE O COMBATROBLOX

Feito como ferramenta DFIR de verdade, não um gadget de screenshare.

Toda decisão de design mira veredictos defensáveis: assinaturas determinísticas, execução local, confiança calibrada e atenção a anti-forense.

50 scanners de detecção

542 assinaturas

Biblioteca de assinaturas determinística e estável entre versões, cobrindo 11 categorias forenses.

Análise 100% local

Sem coleta de dados

Roda totalmente offline. Zero telemetria, zero chamadas remotas, zero dependência de nuvem.

Filtro de falso positivo

Veredictos por confiança

Listas de permissão, checagem de binário assinado e pontuação de confiança por achado antes de agregar.

Detecção de anti-forense

ShimCache, SRUM, BAM, Amcache

Detecta limpeza de logs, adulteração de timestamp, formatações recentes e fontes históricas zeradas.

COMO FUNCIONA

Entra evidência, sai veredicto assinado.

Um único pipeline determinístico. Cada etapa tem um contrato estável e testes unitários.

  1. ETAPA 01

    Artefatos do Windows

    Prefetch, Amcache, BAM, SRUM, ShimCache, JumpLists, caches de navegador e DNS.

  2. ETAPA 02

    Motor de detecção

    542 assinaturas determinísticas em 50 scanners.

  3. ETAPA 03

    Filtro de falso positivo

    Listas de permissão, checagem de binário assinado e heurísticas de contexto.

  4. ETAPA 04

    Motor de correlação

    Grafo ponderado ligando artefatos independentes ao longo do tempo.

  5. ETAPA 05

    Sistema de veredicto

    Veredicto agregado, ponderado por confiança e com decaimento temporal.

  6. ETAPA 06

    Relatório interativo

    JSON + HTML assinados por HMAC, com linha do tempo e cadeia de custódia.

FONTES DE DETECÇÃO

Evidência correlacionada entre 12 fontes independentes.

Nenhum artefato sozinho define o veredicto. O Telador cruza sinais de sistema, navegador, rede e processos ao vivo, de modo que uma única fonte adulterada não esconde a atividade.

Prefetch

Evidência de execução com horário da última execução e contagem de execuções.

UserAssist

Programas abertos pela interface, registrados pelo Explorer.

Amcache

Metadados de PE, hashes SHA-1 e horário do primeiro registro.

BAM

Background Activity Moderator — log de execução por usuário.

JumpLists

Arquivos recentes e destinos fixados por aplicativo.

ShimCache

Cache do AppCompat: caminho e tamanho de binários executados.

SRUM

Histórico de uso de rede e recursos por processo.

Histórico do navegador

URLs e downloads de Chrome, Edge, Brave e Opera.

Cache DNS

Domínios resolvidos recentemente ainda em cache no sistema.

Cache do Discord

Anexos, links e prévias deixados no cache do cliente.

Análise de processo ao vivo

DLLs carregadas no RobloxPlayerBeta verificadas com WinVerifyTrust.

Análise PE

Packer, status de assinatura e entropia de binários suspeitos.

Correlação entre fontes
COBERTURA FORENSE

50 scanners em 11 categorias.

O Telador lê os artefatos do Windows que importam para evidência de execução, persistência e anti-forense — com sinais específicos do Roblox por cima.

Execução

Prefetch, UserAssist, MUICache, Amcache (SHA-1) e BAM com horários exatos.

Persistência

Pasta de inicialização, chaves Run / RunOnce, Tarefas Agendadas e crash dumps do WER.

Sistema de arquivos

Arquivos recentes, Lixeira (parser de $I), JumpLists, Downloads e arquivos ocultos.

Navegador

Chrome, Edge, Brave e Opera — histórico de URLs e downloads.

Roblox

Logs do cliente, Bloxstrap, dumps de autoexec / scripts e artefatos .lua / .luau.

Processo ao vivo

DLLs carregadas no RobloxPlayerBeta.exe (WinVerifyTrust), árvore de processos e overlay / ESP externo.

Comportamento

Histórico do PowerShell, Win+R, barra do Explorer e macros de mouse (G HUB, Razer, X-Mouse).

Rede

Conexões TCP / UDP, cache DNS, arquivo hosts e cache do Discord.

Anti-evasão

Detecção de VM (VMware, VBox, Hyper-V, QEMU), Sandboxie, adulteração de relógio e formatação recente.

Forense

Amcache, BAM, JumpLists, ShimCache, SRUM e análise PE com comparação de hash.

Anti-forense

Formatação recente, fontes históricas zeradas, limpeza do log de Segurança, USN Journal (exec apagado), Prefetch/SysMain desativados, gap furtivo em log de eventos, deleção em lote de shadow copies do VSS, histórico do PowerShell (PSReadLine) apagado e drivers do kernel suspeitos (anti-rootkit, BYOVD, cheat loader).

MOTOR DE DETECÇÃO

De achados brutos a um veredicto defensável.

O motor combina seis camadas para que um único artefato ruidoso nunca defina a conclusão.

Correspondência de assinaturas

542 assinaturas determinísticas em 11 categorias, com IDs estáveis entre versões.

Pontuação de confiança

Cada achado recebe nota de 0 a 100 conforme a confiabilidade do artefato e a especificidade da assinatura.

Decaimento temporal

Evidências antigas perdem peso exponencialmente para favorecer sinais recentes e acionáveis.

Filtro de falso positivo

Listas de permissão para ferramentas Microsoft assinadas, kits de desenvolvimento e caminhos conhecidos como seguros.

Correlação cruzada

Achados de artefatos independentes se reforçam por um grafo ponderado.

Veredicto ponderado

O veredicto final é um agregado calibrado, não a soma de detecções soltas.

RELATÓRIO DE INVESTIGAÇÃO (EXEMPLO)

Abra um caso realista do Telador.

Uma prévia anonimizada de uma saída real de investigação — veredicto, linha do tempo, distribuição de severidade, achados e correlação entre fontes.

Atividade maliciosa
94/100
Pontuação de confiança

Evidências independentes de Amcache, Prefetch, Processo ao vivo e Anti-forense reforçam a mesma conclusão. O log de eventos de Segurança foi limpo logo após a execução de um injector conhecido.

Resumo
  • 5 achados correlacionados de alta severidade
  • Comportamento de anti-forense detectado
  • Mecanismo de persistência presente
  • Hash de injector conhecido correspondente
  • DLL não assinada no RobloxPlayerBeta
50+
Scanners
542+
Assinaturas de detecção
26+
Testes automatizados
11
Categorias de análise
100%
Processamento local
0
Telemetria de rede
SEGURANÇA E PRIVACIDADE

Feito para quem responde por conformidade.

Sem nuvem, sem telemetria, sem surpresa. O Telador respeita a cadeia de custódia.

Só execução local

Toda leitura e correlação roda na máquina do analista. Nada sai do computador.

Sem processamento em nuvem

Zero dependência remota no caminho da análise — funciona totalmente isolado da rede.

Sem telemetria

O Telador não chama em casa. Sem ping de uso, sem envio de crash.

Ocultação de dados sensíveis

Nomes de usuário, tokens e caminhos são ocultados dos relatórios exportados por padrão.

Proteção de gerenciadores de senha

Cofres de credenciais do navegador e gerenciadores conhecidos ficam fora das varreduras.

Transparência de código aberto

Cada scanner, assinatura e regra de veredicto é auditável no repositório público.

ARQUITETURA

Um único pipeline determinístico.

Cada etapa tem uma responsabilidade, um contrato estável e testes unitários.

  1. 01
    Scanners
    50 módulos, um por família de artefato
    CAMADA
  2. 02
    Motor de correspondência
    542 avaliações de assinatura
    CAMADA
  3. 03
    Filtro de FP
    Lista de permissão + heurísticas de contexto
    CAMADA
  4. 04
    Motor de confiança
    Pontuação calibrada por achado
    CAMADA
  5. 05
    Motor de correlação
    Grafo ponderado entre artefatos
    CAMADA
  6. 06
    Motor de veredicto
    Resultado agregado, com decaimento temporal
    CAMADA
  7. 07
    Gerador de relatório
    JSON + HTML assinados por HMAC
    CAMADA
LINHA DO TEMPO

Entregue em incrementos pequenos e verificáveis.

Um histórico de versões mensuráveis — não promessas vazias.

  1. v1.0

    Lançamento público

    Primeira versão pública do Telador com o pipeline principal de scanners.

  2. v2.0

    542 assinaturas

    Biblioteca de assinaturas expandida nas 11 categorias forenses.

  3. v3.0

    Análise de processo ao vivo

    Inspeção de DLLs carregadas no RobloxPlayerBeta com WinVerifyTrust.

  4. v3.1

    Filtro de falso positivo

    Listas de permissão e heurísticas de contexto para reduzir achados ruidosos.

  5. v3.2

    Análise PE

    Detecção de packer, status de assinatura e pontuação de entropia.

  6. v3.6

    Detecção de instalação recente

    Identifica reinstalação do sistema e anti-forense por formatação recente.

  7. v3.8

    Verificação de sessão

    Correlaciona o tempo de sessão do Roblox com a atividade do sistema.

  8. v3.11

    ShimCache + SRUM

    Leitura profunda do cache do AppCompat e linha do tempo de uso de recursos.

  9. v3.12

    USN Journal

    Lê o USN Change Journal do NTFS: pega exec criado/apagado no disco mesmo após o arquivo ser excluído.

  10. v3.13

    Anti-bypass furtivo

    Detecta Prefetch/SysMain desativados, gap em log de eventos sem evento 1102, deleção em lote de shadow copies do VSS e histórico do PowerShell apagado.

  11. v3.14

    Anti-rootkit / BYOVD

    Enumera drivers de kernel e flaga BYOVD conhecidos, paths de usuário e drivers não-assinados — pega cheats avançados que operam em ring 0.

ROADMAP

O que já saiu e o que vem.

O motor é entregue em incrementos pequenos e verificáveis. Sem promessas vazias.

Entregue

v3.14
  • Análise de linha do tempo
  • Análise PE
  • Assinatura de relatório por HMAC
  • Detecção de anti-forense
  • Sistema de expansão de assinaturas
  • Leitura do USN Journal do NTFS
  • Detecção de bypass furtivo (Prefetch off, gap em log, VSS wipe)
  • Anti-rootkit: drivers do kernel suspeitos (BYOVD, cheat loader)

Em andamento

PLANEJADO
  • Base de IOCs
  • Sistema de plugins
  • Painel avançado de correlação
  • Portal de gestão corporativa