Prozess verstecken ...

Quote:

Originally Posted by Reijin warum versteckst du denn nun deinen Bot nicht mit FU? wenn du ne bekannte dll nimmst dann musst du dich nicht wundern, wenn warden dich erwischt^^ und den Bot nur im TM verschwinden zu lassen ist nicht sonderlich sicher xD

ach so du meinst das diese ddl nicht mehr macht als den " namen " auszublenden aus dem TM ... da wusste ich gar nicht ;) also ist das gar nicht mal annährend ein rootkid von der Sicherheit ? Wenn ja dann ist ddl so gut wie gelöscht

1.)warum reicht es eigentlich nicht aus nur den Prozessnamen zu ändern in " irgendeinen " namen.. also von "autoit3" ( so heist der glaub ich ) auf " dieweltistschön" ... warden hat doch dann keine Ahnung was das für ein prozess ist...

Für Autoit wirst du sowieso nicht gebannt solange du den Bot nicht publik machst. Meiner Einschätzung nach erhöhst du dirch dieses ganze Gefummel mit Rootkits oder Dlls die du selber nicht ganz verstehst nur die Wahrscheinlichkeit sofort auf der Blacklist von Warden aufzutauchen. Das FU Rootkit bringts zum Beispiel Erfahrungsgemäß gar nicht (siehe die ganzen alten Threads von 2005, die haben auch das FU Rootkit benutzt und sind trotzdem gebannt worden.)

Quote:

Originally Posted by sirru Für Autoit wirst du sowieso nicht gebannt solange du den Bot nicht publik machst. Meiner Einschätzung nach erhöhst du dirch dieses ganze Gefummel mit Rootkits oder Dlls die du selber nicht ganz verstehst nur die Wahrscheinlichkeit sofort auf der Blacklist von Warden aufzutauchen. Das FU Rootkit bringts zum Beispiel Erfahrungsgemäß gar nicht (siehe die ganzen alten Threads von 2005, die haben auch das FU Rootkit benutzt und sind trotzdem gebannt worden.)

erklär mir warum ich nicht vl nicht gebanned werde wenn ich meinen bot nicht public mache... ist vl auch die Frage 1.) die ich suche...

Solange du dich an die Regeln hälst (nichts im Speicher verändern, keine Injection) muss dein Programm auf der Blacklist landen um durch die Warden detection betroffen zu sein. Ich denke schon, dass Blizzard sieht, dass du irgendwas mit Autoit programmiert hast und das dieses Programm beim WoW spielen ausgeführt wird, aber obs nun der Bot ist oder irgendwas anderes (was bei Autoit durchaus sein kann) wissen sie ohne Kenntnis des Programms nicht. Wenn einfach auf gut Glück alle Autoit Programme auf der Blacklist laden würden, würden einfach zu viele unschuldige gebannt.
Beim Multiboxen ist Autoit zum Beispiel in Ordnung, für Scripte die deine Tastendrücke an WoW-Fenster 1 auch an Fenster 2, 3 und 4 senden werden sie dich zum Beispiel nicht bannen. Sie können einfach nicht feststellen ob du was böses oder was gutes mit Autoit machst.

So, ich gebe mal etwas von meinem Senf dazu:

1. Kann man ein Programm auch dann noch finden, wenn es nicht mehr in der Prozessliste auftaucht, etc. das war der Grund warum Glider irgendwann die Option bekam ohne GUI zu laufen, damit man ihn nicht auf nem Screenshot finden kann ;)

2. Ein Rootkit wie das fu rootkit funktionieren nicht ganz so wie hier bisher teilweise angenommen wird.
Das Programm, dass man versteckt wird nicht in Ring0 verschoben ;)
Das rootkit installiert einen Treiber, der wird tatsächlich mit Kerlenprivilegien ausgeführt, dadurch hat er Zugriff auf alle internen Betriebssystemsstrukturen.

Wenn man jetzt eine Prozessliste verlangt gibt es irgendwo einen Übergang zu Kernelcode, der auf solche Strukturen (sogenannte Kernelobjekte) zugreift und die Informationen besorgt die du haben willst. Witzigerweise gibt es da verschiedene Tabellen und Objekte und die nicht zwingend benötigt werden damit das Programm läuft, an sich braucht man nur wenige Informationen für die sogenannten Dispatcher, welche das Context Switching organisieren, also den Threads CPU-Zeit zuteilen.
Da die genannten Informationen, die man bekommt wenn man nach Prozessen sucht von internen Betriebssystemsfunktionen nicht benötigt werden kann man die auch weitesgehend entfernen und ausblenden und somit ist der Prozess nicht mehr auffindbar. Es gibt verschiedene Methoden solche Diskrepanzen aufzuspüren, dafür muss man dann aber wieder selber einen Treiber installieren wenn ich mich nicht irre.

Das ist wahrscheinlich auch nicht besonders korrekt aber sagen wir es ist ein wenig korrekter als die Annahme der Prozess käme in Ring-0 ;)

Quote:

Originally Posted by sirru Solange du dich an die Regeln hälst (nichts im Speicher verändern, keine Injection) muss dein Programm auf der Blacklist landen um durch die Warden detection betroffen zu sein. Ich denke schon, dass Blizzard sieht, dass du irgendwas mit Autoit programmiert hast und das dieses Programm beim WoW spielen ausgeführt wird, aber obs nun der Bot ist oder irgendwas anderes (was bei Autoit durchaus sein kann) wissen sie ohne Kenntnis des Programms nicht. Wenn einfach auf gut Glück alle Autoit Programme auf der Blacklist laden würden, würden einfach zu viele unschuldige gebannt. Beim Multiboxen ist Autoit zum Beispiel in Ordnung, für Scripte die deine Tastendrücke an WoW-Fenster 1 auch an Fenster 2, 3 und 4 senden werden sie dich zum Beispiel nicht bannen. Sie können einfach nicht feststellen ob du was böses oder was gutes mit Autoit machst.

lol deswegen wurde ich auch nicht gebannt, habe ihn 3 monate laufen lassen dann bekam ich einen 72 stunden bann und ingesamt 3 mal temporär gesperrt ... als ich mit glider gebannt wurde wurde ich direkt permanent gebannt..

aber durch mein rootkid selber mache ich ja auch nicht strafbar..

wenn ich mein autoit

1. ) Prozess Umbennen
2. ) Kein Codeinjektion
3. ) mit rootkid schütze...

solle ich realtiv sicher sein ? Auch wenn blizzard das durchschaut...

Wenn ich z.b die Leben anhand eines Pointers auslese, wäre das verboten und könnte ich deswegen bebannt werden ? Zur zeit arbeite ich nur mit " farben " aber das ist sehr unprofessionel und ich will mal " mehr " machen können

Quote:

Originally Posted by mr.rattlz So, ich gebe mal etwas von meinem Senf dazu: 1. Kann man ein Programm auch dann noch finden, wenn es nicht mehr in der Prozessliste auftaucht, etc. das war der Grund warum Glider irgendwann die Option bekam ohne GUI zu laufen, damit man ihn nicht auf nem Screenshot finden kann ;) 2. Ein Rootkit wie das fu rootkit funktionieren nicht ganz so wie hier bisher teilweise angenommen wird. Das Programm, dass man versteckt wird nicht in Ring0 verschoben ;) Das rootkit installiert einen Treiber, der wird tatsächlich mit Kerlenprivilegien ausgeführt, dadurch hat er Zugriff auf alle internen Betriebssystemsstrukturen. Wenn man jetzt eine Prozessliste verlangt gibt es irgendwo einen Übergang zu Kernelcode, der auf solche Strukturen (sogenannte Kernelobjekte) zugreift und die Informationen besorgt die du haben willst. Witzigerweise gibt es da verschiedene Tabellen und Objekte und die nicht zwingend benötigt werden damit das Programm läuft, an sich braucht man nur wenige Informationen für die sogenannten Dispatcher, welche das Context Switching organisieren, also den Threads CPU-Zeit zuteilen. Da die genannten Informationen, die man bekommt wenn man nach Prozessen sucht von internen Betriebssystemsfunktionen nicht benötigt werden kann man die auch weitesgehend entfernen und ausblenden und somit ist der Prozess nicht mehr auffindbar. Es gibt verschiedene Methoden solche Diskrepanzen aufzuspüren, dafür muss man dann aber wieder selber einen Treiber installieren wenn ich mich nicht irre. Das ist wahrscheinlich auch nicht besonders korrekt aber sagen wir es ist ein wenig korrekter als die Annahme der Prozess käme in Ring-0 ;)

gut, dann tuts mir leid - dass ich da etwas mist erzählt hab. ich habe nur versucht, das was ich weiß zu Wort zu bringen... selbst sowas schreiben kann ich leider noch nicht - wie so vieles wusste ich nur, wie das theoretisch abläuft

wenn mir wer noch @ 21 helfen könnte wäre dann der treatsinn erfüllt. Das ganze wird mir ehrlich zu kompliziert... dafür das es nur um fun coden geht...

[Only registered and activated users can see links. Click Here To Register...]

könnte mir jmd die dll schicken? kein bock da die fragen bei der registriereung zu beantworten

thx

Quote:

Originally Posted by PiroX [Only registered and activated users can see links. Click Here To Register...] könnte mir jmd die dll schicken? kein bock da die fragen bei der registriereung zu beantworten thx

Hehe PiroX :)
Ich bin einer der in deinem Board rumgespammt hat mit BPhoenix ;)

Hier habs dir hochgeladen:

also bei mir geht das konsolenfenster für etwas weniger als 1 sek auf und dann direkt wieder zu. woran könnte das liegen?

Du musst, über Start -> Ausführen -> cmd die Konsole starten und dann über die Konsole das Programm. Dann bleibt die Offen.

okay, das ganze klappt jetzt, danke für die schnelle antwort, ich weiß die prozess id von dem prozess den ich verstecken möchte, aber irgendwie bekomm ich das nicht hin das richtig dahinzuschreiben... könnte mir bitte jemand helfen?

zur Info. Die dll von Habo arbeitet

1. im usermode
2. mit Apihooking und dll injection, die von warden erkannt wird

Das gleiche Ding hab ich auch schonmal programmiert, der thread scheint hier aber irgendwie verschwunden zu sein.

*edit*
doch nicht verschwunden: [Only registered and activated users can see links. Click Here To Register...]

ansonsten kann ich mr rattlez nur zustimmen

Es ist auch Möglich ring0 Rootkits aus ring3 zu entdecken, da oftmals durch Manipulationen im ring0 Bereich manche WindowsAPIs andere Werte zurück gegeben als normalerweise, mit einem solchen "exploit" hat "Warden" auch die letzte große Bannwelle gegen Glider geführt, nur war der detection Code nicht direkt im Warden Modul, sondern verschlüsselt in der WoW.exe.
Soweit ich weiß hat Warden auch ein paar Routinen um puplic Rootkits zu entdecken, ich habe allerdings keine Ahnung ob diese in der Aktuellen Version noch aktiv oder enthalten sind.