Warden Bypass

Page 2 of 4

10/27/2005 23:14 DrKrabbe#16

Quote:

Originally posted by hust@Oct 27 2005, 21:08
also...hab jetz den peer guarden 2 drauf...den process guard und nun hab ich mir den debugger (Ollydbg) gesaugt.

tja wow.exe rein geladen und mit debugger gestartet. naja aba wenn ich dann injection mache mit BWH. dann in wow rein gehe und f12 dr�cke kann ich nix mehr in WoW machen.

ich meine der debugger erkennt ja das was an der exe ver�ndert wurde.

w�re schon cool sicher BWH zu usen...aber is das �berhaupt m�glich wenn man die wow.exe �ber einen debugger startet?

EDIT: also is egal ob ich injection mache oda nich. habe einfach wow.exe im debugger gestartet und f12 gedr�ckt. genau das selbe wie mit. also kann es wohl nich an der injection liegen...? Oo

Geh dann einfach mal mit ALT+TAB auf den Debugger und dr�ck auf das "Play" Symbol in der Symbolleiste, dann kannst du wieder ins WoW switchen und das BWH fenster ist da.

10/28/2005 00:22 hust#17

danke klappt wunderbar. jetz w�re nur noch cool zu wissen ob der warden 100prozent dadurch gestoppt wird. :P

10/28/2005 00:26 dazzl#18

deswegen w�rde ich gerne mal wissen, wie ich warden "sehen" kann (siehe mein letztes posting, page 1) ... google aber bislang ergebnislos durch die weiten des inet :(

10/28/2005 11:16 KalZen#19

*fragenliste durchguck* ok, also ich fasse mal zusammen:

JA, warden wird beim finden eines Debuggers die Scanroutine �berspringen

JA, es ist schei�egal welchen debugger ihr benutzt
Warum? Weil ne einfache windows-funktion f�r den check benutzt wird:
.text:7C812E03 IsDebuggerPresent proc near
Egal welchen debugger du benutzt, der warden wird drauf anspringen.

@ Dazzl: guck im debugger ob
seg000:0FFD10AD test al, al
seg000:0FFD10AF jnz short loc_FFD10D9
aufgerufen wurde. wenn ja wurde die warden-scanroutine abgebrochen

edit @ lowfyr: is egal - lass einfach so wie's is ^^

10/28/2005 11:37 RobertZ#20

Ok k�nnte noch mal einer Schritt f�r Schritt erkl�ren wie ihr das nun zum laufen bringt?

Also ollydbg starten.
Open wow.exe
Dann: Debug - Run
Wow Startet
Nun bwh laden
F12 dr�cken = crash

So was hab ich nun falsch gemacht?

Brauch ich nun noch PG?
Und wo soll ich die Zielen:

seg000:0FFD10AD test al, al
seg000:0FFD10AF jnz short loc_FFD10D9
finden?

Oder scannt warden nur wenn ich wirklich eingeloggt bin?

10/28/2005 12:39 exeto#21

Wenn das jetzt alles zu 100% funzt dann sagt mal den leutz von WoW!Sharp das sie weiterentwickeln sollen, will meine twinks net auch noch selber lvln...^^

10/28/2005 12:49 RobertZ#22

Muss man Wow oder Bwh mit debugger starten?

10/28/2005 13:59 hust#23

Quote:

Originally posted by KalZen@Oct 28 2005, 11:16
*fragenliste durchguck* ok, also ich fasse mal zusammen:

JA, warden wird beim finden eines Debuggers die Scanroutine �berspringen

JA, es ist schei�egal welchen debugger ihr benutzt
Warum? Weil ne einfache windows-funktion f�r den check benutzt wird:
.text:7C812E03 IsDebuggerPresent proc near
Egal welchen debugger du benutzt, der warden wird drauf anspringen.

@ Dazzl: guck im debugger ob
seg000:0FFD10AD test al, al
seg000:0FFD10AF jnz short loc_FFD10D9
aufgerufen wurde. wenn ja wurde die warden-scanroutine abgebrochen

edit @ lowfyr: is egal - lass einfach so wie's is ^^

cool thy...hab ich alles gefunden.

mu�te nur das seg weg gelassen bei den zwei unteren befehlen.

robert...lade die wow.exe ein...dann play klicken..dann f12 mit alt+tab wieder in den debugger und wieder play. schwups hast du bwh in deinem wow fenster.

10/28/2005 14:14 wutzebaer#24

also kannich auch den windows debugger nhemen .. cool

10/28/2005 14:21 SIC!!#25

Ich nutze den OllyDbg Debugger und ich kann die 2 Zeilen

seg000:0FFD10AD test al, al
seg000:0FFD10AF jnz short loc_FFD10D9

nirgends finden!

Kennt sich jemand mit dem Debugger aus ?

BTW brauch man den Process Guard noch wenn man nen Debugger laufen hat ? oder ist das so auch schon sicher ?

Mfg Sic

10/28/2005 14:36 Flow-ownz#26

An die Leute die OllyDbg benutzen ihr m�sst einfach euer BWH auf ne andere Taste legen da F12 bei OllyDbg die Pause taste ist oder ihr dr�ckt nochmal F9.

10/28/2005 14:41 SIC!!#27

Ich w�rde gern sicher gehen das Warden aus ist :) Wei� jemand wie ich mit Ollydbg diese 2 Zeilen finden kann ? ich kann da nach 38901 Sachen suchen ^^ HIlfe :)

MfG sic

10/28/2005 15:50 dazzl#28

ich hab es leider auch noch nicht gefunden. habe alle fenster mal aufgemacht, die man bei olly so �ffnen kann.
gibt es ein programm, welches mir alle programme unter windows in ihrem "allt�glichen" tun und machen anzeigen kann? ... ich w�rde mir zugerne mal "live" angucken, wann warden startet und wo man solch codeschnipsel findet :)

aber eine anleitung, wie man mit olly gescheit umgeht, w�rde mich auch interessieren. ... hm, ich suche nachher selber nochmal ne runde im netz, muss jetzt wieder weg ... aber danke schonmal f�r die hilfe bislang :)

EDIT: ich ralls nicht :(

10/29/2005 12:13 RobertZ#29

Also ich finde auch nichts... komisch geht das nun nicht oder suche ich falsch

10/30/2005 14:38 Robbyoezmen#30

Quote:

Originally posted by KalZen@Oct 28 2005, 11:16
*fragenliste durchguck* ok, also ich fasse mal zusammen:

JA, warden wird beim finden eines Debuggers die Scanroutine �berspringen

JA, es ist schei�egal welchen debugger ihr benutzt
Warum? Weil ne einfache windows-funktion f�r den check benutzt wird:
.text:7C812E03 IsDebuggerPresent proc near
Egal welchen debugger du benutzt, der warden wird drauf anspringen.

@ Dazzl: guck im debugger ob
seg000:0FFD10AD test al, al
seg000:0FFD10AF jnz short loc_FFD10D9
aufgerufen wurde. wenn ja wurde die warden-scanroutine abgebrochen

edit @ lowfyr: is egal - lass einfach so wie's is ^^

welchen debuger benutzt du�?

Page 2 of 4