WPE Guide
Warum schreibe ich diese Guide?
Nun der Grund ist simpel: Ich habe selber lange gebraucht bis ich denn nötigen Handwerksstoff für WPE aus all den Tutorials zusammen hatte.
Zb. gibt es da eine nette Guide die erklärt wie man Filter benutzt, aber nicht was sie eigentlich machen und wie man selber welche macht.
Ich werde hier Step by Step erklären, wie man den alten Itemhack aufsetzt der bis Version 2.3.2 geht wenn ich micht nicht grade irre.
Das sollte genügen um Newbies zu zeigen wie man:
-Analysiert
--Packets liest
--Hexadezimal anwendet
-Filter benutzt
-Filter erstellt
Ich hoffe diese Guide hilft vielen.
Wie man decryptet werde ich hier nicht aufführen da ich dies selber n cht kann. Nennt mich wenn ihr wollt Noob, da ich ein Tutorial schreibe über etwas womit ich mich nicht perfekt auskenne, aber ich denke das es den Leuten, die danach gesucht haben, helfen wird.
I. Get started: WPE Download & Settings
So für die Leute die noch nicht WPE haben ist der Download ganz unten im Tutorial(oder im Anhang).
WICHTIG: WPE ist kein Trojaner, euer Anti-Virus Programm wird ihn als Sniffing Tool anzeigen was auch stimmt, nur werdet ihr nicht gesnifft(hoffe mal das ist die richtige duetsche Form lol) sonder ihr snifft damit.
Sniffing ist die sogenannte Mittelmann-Methode.
Ihr fangt die Packete die von einen ausgehen oder die dort eingehen ab und verändert sie.
Beispiel: Ihr schickt euren Freund in Skype eine Nachricht in der steht "Wie geht es dir?". Nun aus Spaß aus der Laune fängt ihr nun diese Nachricht mit WPE ab jund verändert den Text in "WPE Rulez". Euer Freund bekommt davon garnichts mit da ihr ja die Nachricht auf den Weg zu eueren Freund abfängt, das ist es was WPE so mächtig macht(nun seit einigende Patchs nicht mehr T_T).
Nachdem ihr WPE gedownloadet(btw: das ist eine modifiezierte Version, ihr braucht also keine zusätzlichen Programme um euch in Prozesse einzuklinken.) habt und ihn bei euren AV auf die Ignore Liste gesetzt habt, sollte es etwa so aussehen:
1 = In einen Prozess einklinken
2 = 4 & 5 aus und einschalten
3 = 6 aus und einschalten
4 = Wieviele Packte sich schon im Buffer befinden(vergleichbar mit der Speicherbelegung einer Festplatte)
5 = Viele Packete schon "abgefangen" wurden
6 = Filter Fenster
Nun zuerst will ich euch dike wichtigste Funktion vorstellen:
Das Einklinken in Prozesse(1). Es eigentlich das gleiche wie bei Cheat Engine:
Du sagst WPE von welchen Programm es die Packete abfangen soll.
Ich nehm als Beispiel den ItemHack von WoW durch, deswegen starte ich WoW und klinke mich dann in dessen Prozess ein. Hierzu klick ich einmal auf "Target programm" und ein Fenster mit allen Prozessen erscheint. Wählt hier nun "WoW.exe" und klickt dann auf "Open".
Ihr seid nun im Prozess und müsst euch darüber keine weiteren Sorgen machen.
Nun kommen wir zu einstellen:
Da ich ja schon weiß welchen Type von Packet wir abfangen müssen solltet ihr schonmal gleich einstellen das er nur diesen Type von Packete abfangen soll, da sonst eine Flut von Packeten auf euch kommt. Geht auf: View/Options
Betrachten wir das Fenster:
Nun das ganze verhält sich wie ein Filter:
Winsock 1.1 ist das Protokol des Packetes, WPE unterstützt noch Winsock 2.0
Send,Send to,Recv, Recv to; stehen für die Richtungen in in den die Protokolle verschickt werden. Im Moment können wir jedes Protokol abfangen.
Dies ändern wir nun:
Checkt Revc und Revc to ab, so dass nur noch Send und Send to gecheckt sind. Dies bewirkt das wir nur Packete abfangen die von WOW and den Server geschickt werden und nicht die Packete die vom Server zu uns geschickt werden. Hier schnell der Überblick wofür was steht:
Send - dt. Senden Packete die vom Programm ausgeschickt werden
Send to - Hier muss ich euch leider enttäuschen, die genaue Bedeutung kenne ich nicht aber dürfte so ähnlich wie Send seien.
Recv - Steht für Receive dt. Empfangen Packete die vom Programm empfangen werden
Recv to - Auch hier weiß ich nicht genau was es bedeutet,jedoch ist es wie bei send to ähnlich so recv
Bei Winsock 2.0 kann eigentlich so gelassen werden wie es war, da WOW nur Winsock 1.1 benutzt.
Klickt auf OK um eure Einstellungen zu speichern.
II. Analyse
So wollen wir doch mal gucken was wir schon alles machen können:
Logt euch mit euren WoW Chara ein und sucht euch ein Monster.
Nimmt ein paar lowie Spells damit euer Mana nicht gleich weg geburnt ist und wechselt wieder zu WPE. Klickt dort auf das > (Play Symbol) und wechselt wieder zu WOW. Hier castet ihr jetz ein paar mal immer denselben Spell auf ein Mob. Bewegt euch dabei nicht oder tut auch keine andere Aktion dabei.
Habt ihr das getan wechselt zu WPE zurück und drück auf das Stop Symbol.
Ihr sollte das Mob jetz killn wenn ihr eueren Char nicht tot sehen wollt.
In WPE sollte nun ein Fenster sich aufgetan haben. Ihr habt es erraten: Hier können wir die versendeten Packets sehen.
Hier sind ein paar von meinen Ergebnissen:
Diese Packets sind von einen Rang 1 Fireball.
Was ihr dort seht(die Zahlen) ist Hexadezimal. Hexadezimal ist ein anderes Zahlensystem. Anstatt bis zu 10 zu zählen zählt man in Hexadezimal bis 16.
Nun, welche Zeichen verwendet man im Hexadezimalsystem ab 9 aufwärts ohne mehr als eine Stelle in Anspruch zu nehmen?
Diese Frage ist berechtigt: Es ist recht simpel, man benutzt Buchstaben.
Außerdem benutzt das Hexadezimal immer mindestens 2 Stellen, es gibt also keine 1 sondern nur 01.
Ich habe euch hier eine Liste erstellt mit der ihr bis 20 zählen lernen könnt(natürlich in Hexadezimal):
- HEXADEZIMAL DEZIMAL
- 01 = 1
- 02 = 2
- 03 = 3
- 04 = 4
- 05 = 5
- 06 = 6
- 07 = 7
- 08 = 8
- 09 = 9
- 0A = 10
- 0B = 11
- 0C = 12
- 0D = 13
- 0E = 14
- 0F = 15
- 10 = 16
- 11= 17
- 12 = 18
- 13 = 19
- 14 = 20
Nun zum analysieren:
Ich habe die Packets aufgenommen die gesendet wurden wenn ich beginne den Spell zu casten. Was fällt auf?
Nun, was hat das schwarz gefärbte Packet dort zu suchen?
Man kann dieses Packets mit dem Rauschen eines schlecht digitalisierten Ton vergleichen. Dieses Packets enstadn dardurch das ich vieleicht die Kamera um ein kleines Stück verschiebt habe. Dabei schickt WOW auch Packets an den Server. Nun in unseren Fall ist dies jedoch positiv.
Achten wir mal auf die gelb bzw lila eingefärbten Bereiche:
Wir sehen die Tabellenspalte "Size". Diese Spalte zeigt an wielang das Packet ist, also wieviele Stellen es hat. Das Packet im oberen Fenster hat zB. 23 mal eine 2 stelligen Wert, also zB. 23x 01.
Die Stele aufdem ein Wert liegt wird als Offset bezeichent.
Im ersten Packet liegt zB. auf der 3 Stelle der Wert 74.
Der Wert 74 hat also in diesen Packet den Offset 3.
Wenn wir nun die verschieden Längen vergleichen fällt auf das alle als Länge 23 besitzen außer das schwarzeingefärbte Packet das wir schon als Störung indetifiziert haben. Dies ist Ein Hinweiß dafür das dieses Packets die geliche Funktion haben, in unsern Fall den Server zu berichten das ich ein Spell gecastet habe.
Nun ok was wollen wir eigentlich machen?
Wir wollen einen spell durch einen anderen ersetzen. Wir suchen also eine SpellID die man vertauschen kann. Ich habe die Bereiche eingefärbt(grün und rot) die in jeden Packet gleich sind. Wie ihr seht sind die anderen Werte jedesmal anders und daher willkürlich, was darauf schließt das dies als eine Art Zertifikat fungiert oder es einfach verschlüß0elt worden ist.
Wie sollen wir nun wissen, welcher dieser Wert die SpellID ist.
Hierführ gibt es mehrere Möglichkeiten:
1. Wir probieren einfach mit den Werten rum(Können wir ja leider noch nicht)
2. Wir versuchen logisch an das Problem ranzugehen
3. Wir verzweifeln
Da dies ein theoretischer Abschnitt ist gehen wir also logisch an die sache ran:
Was sollte unsere erste Überlegung seien?
Wie lautet überhaupt die SpellID eine feuerballs Rang 1 und wie lautet sie wenn wir sie in Hexadezimal umrechen?
Geht auf und sucht nach dem Feuerball Rang 1.
Oben in der URL sollte nun folgenes stehen:
Nun da haben wir doch schon unsere SpellID: Ein Feuerball Rang 1 hat die SpellID 133.
Nun gucken wir mal was 133 in Hexadezimal ist.
Öffnet dazu den Calculator von Windows und schaltet auf die wissentschaftliche Ansicht um. Gebt nun 133 ein und checkt die Box "Hexadezimal" an. siehe da: 133 in Hexadezimal ist 85.
Sehen wir mal nach wo diese ZAhl vorkommt: Achtet auf den roteingefärbten Bereich. Komischerweiße kommt diese Zahl jedesmal vor wenn wir ein Feuerball Rang 1 schicken. Zufall? Glaube ich nicht.
Recordet mal mal ein Frostrüstungs Rang 1 Buff und achtet auf die Stelle wo 85 stand. Zunächst sehe ich auf WOWHead nach der ID von Frostrüstung: 168, das ist in Hexadezimal A8. Und tatsächlich, auf der 8 Stelle also dort wo bei dem Fireball Rang 1 85 stand, steht hier nun A8. Wir haben den Offset für die Spell ID gefunden.
III. Praxis
Was können wir nun mit den Wissen anfangen das sich auf den Achten Offset, immer wenn wir ein Feuerball wirken eine 85 anfangen?
Nun wir können die Spell ID`s vertauschen. Und genau dazu sind Filter gut.
Macht nun einen doppelklick auf den Filter 1, es sollte sich folgnes Fenster öffnen:
1. Der Name des Filters
2. Diese Tabelle wird zum ändern von Werten gebraucht, Offset bedeutet soviel wie Wievielte Stelle
3. Wenn dieser Wert vorhanden ist dann sol er ihn in
4. diesen Wert verändern
5. Hier kann man genauer bestimmen welche Packete verändert werden sollen, zB nur Send Packete
6. Es gibt auch die Möglichekit Packete zu blocken, also das sie den Server garnicht erreichen, das kann hier an und aus geschaltet werden.
Erinnert ihr euch noch? Unser Wert befand sich immer auf der 8ten Stelle, also suchen wir die Spalte mit den Offset 08.
Nun wir wollen einen Fuerball in eine Frostrüstung verwandeln.
Geben wir also bei Search 85(Bei offset 08) ein.
Dies wird den Filter sagen das er immer wenn er ein Packet empfängt wo sich an der 8 Stelle 85 befindet soll er diesen Wert zu den in Modify bei dem Offset 08 ändern. Wie war nochmal die Spell ID von der Frostrüstung; genau: A8. Wir geben also bei Modify A8 ein. Nennt den Filter wie ihr wollt, ich hab ihn Fireball Hack geannt. Zuletzt sollten wir den Filter noch sagen welche Pakete er ändern soll, wie das geht habe ich bereits in Kapitel I erklärt.
Speichert den Filter mit einen Klick auf Aply und checkt die Box neben den Filter in der Liste an. Drück nun den Button auf den ON steht:
Geht nun Ingame und wirkt einen Feuerball, das Ergebniss dürfte euch amüsieren.
Da ihr den Zauber Frostrüstung besitzt sollte dieser auch SErverside funktionieren. Einziger Unterschied ist das ihn nun erst ein Mob anvisieren müsst bevor ihr Frostrüstung über feuerball wirken könnt. Manakosten und Rang usw bleiben aber gleich. Früher konnte man mit diesen Hack auch GM Spells auf Pservern anwenden, oder auch spells die man garnicht konnte. Dies wurde aber gefixt und ist nurnoch Clientside.
Um den Filter wieder auszuschalten klickt einfach auf das ON.
TIPP: Wenn ihr Frostrüstung mit Feuerball vertauscht(also anstatt einer Frostrüstung ein Feuerball wirkt) und dabei kein Ziel habt, wird WOW sagen "Ungültiges Ziel", aber der Effekt vom Wirken bleibt erhalten: Gut für Screenshots. (Clientside only)
Ihr habt euch sicher gefragt, wenn wir ein Packet ändern können, können wir doch bestimmt auch eins verschicken. Die Antwort lautet JA. Leider wird es euch nix bringen. Trotzdem werde ich euch zeigen wie es geht:
1. Recordet einen Fireball wie wir es vorhin gemacht haben
2. Rechtsklick auf das Packet und auf "Send" klicken
3. Ein Fenster tut sich auf und auf das Startsymbol klicken(>)
4. HF mit dem DC
IV. Modifizierte WPE Version
Download:
Mirror 1:
Mirror 2:
So ich hoffe ich konnte euch mit dieser Guide helfen. Das war eine Menge Arbeit und Kommentare wie: "Diese Guide ist total scheiße" könnt ihr gerne für euch behalten. Wer jedoch Ergänzungen oder einen Fehler gefunden hat soll mich pls per PM anschreiben.
HF und BB