Prozess verstecken ...

Page 1 of 2

01/01/2008 03:39 Bullz#1

also ich habe schon einen kleinen bot zum Spass geschrieben aber der hat nur mit Farben gearbeitet etc... als Sprache habe ich autoit verwendet. Der Bot war f�r Dark age of Camelot. In dem Game wird nix gescannt. Da kannst praktisch alles am Rechner laufen haben egal..

aber...

World of Warcraft hat ein Programm namens Warden. Das scannt alle 5 sek den Speicher !!!!!!

jetzt meine Frage... wie schafe ich es ein Programm so zu tarnen das kein Warden oder sonstiges Programm der Welt es findet ?

Habe schon etwas von einer " legend�ren ddl " im Internet geh�rt und habe auch selber damit rumprobiert das ein Prozess verschwindet und hat auch gut funktioniert...

bloss ist auch dies kein 100 % schutz, wurde mir gesagt... und es wird auch nicht gern dar�ber geredet da das wissen auch daf�r verwendet werden k�nnte um Viren, Trojaner und was weis ich zu bauen.. Ich brauch den Mist eh nicht, mir gehts es wirklich nur darum das Warden nix findet

01/01/2008 13:56 Term!nX#2

Ich hab mal was in der Richtung gelesen, weiss aber nicht, ob ich das richtig verstanden habe.
Zun�chst wird das keine einfache Sache sein, weil Warden schlie�lich von Profis gemacht ist.

Es gibt sogenannte Ringe:
Ring (CPU) - Wikipedia

Sowie ich das verstanden habe, m�sste das Progamm im Ring 0 sicher sein. Also wenn der Bot als Treiber programmiert ist, dann hat Warden keine ausreichenden Prozessprivilegien um auf den Bot zuzugreifen sprich ihn zu entdecken. Aber ist ziemlich kompliziert, w�re cool wenn da einer mit Ahnung was zu sagen kann :)

01/01/2008 14:32 rEdoX#3

Vorab, ich habe mir warden nie genauer angeguckt/debugged.

Warden bildet den hash von allen fensternamen und sendet die hashes an dem blizzard server, dieser vergleicht sie mit einer "blacklist", was passiert wenn der hash in der liste gefunden wird kann sich jeder denken. Desweiteren waere es nicht gerade effektiv wenn warden keine self-checks haette. Das hei�t fuer dich, wenn du der einzige bist der den bot benutzt und der bot nicht im speicher von wow rumfuscht, besteht kaum eine gefahr gebannt zu werden. (ich garantiere fuer nichts). Wenn du doch auf nummer sicher gehen willst, dann verstecke deinen prozess mit einem rootkit. Da warden nur im usermode arbeite, bist du dann auf der ganz sicheren seite.(wieder keine garantie) Ich kann dir das FU rootkit von rootkit[dot]com empfehlen, einfach, schnell und stabil.

01/01/2008 19:16 Ganf#4

Naja, kann Warden schon rootkits erkennen und lesen? Ich denke die open Source schon, hab mich nie recht mit WoW auseinander gesetzt!
Aber insgesamt sind rootkits eine gute, aber sehr risikoreiche Tools xD, wenn du dir da einen Virus einf�ngst, viel Spa� beim Windows neu installieren xD! Ich w�rde es aber nicht machen!

MFG
Ganf

01/02/2008 00:26 reijin#5

lol wenn du das FU Rootkit startest f�ngst du dir keinen Virus ein.. au�er es ist so ne ne Binded version die mit nem Troj/Vir zusammen h�ngt. aber wenn dein AV tool sagt. "FU Rootkit" dann isses clean^^
das rootkit hab ich selbst mal verwendet und war mal bestandteil eines Bypasses in der Warrock section - damit konnte man PunkBuster umgehen :)

Allerdings kann das Rootkit nat�rlich auf Grund von inkompatibilit�t zum System schaden verursachen - ist schlie�lich ne heikle angelegenheit mim Ring0 ;)

//edit//
hab dir mal den dload gleich rausgesucht^^
[Only registered and activated users can see links. Click Here To Register...] mit source :)

01/02/2008 13:36 Bullz#6

danke f�r das suchen, mein avira meldet aber 3 trojaner beim entpacken. Sind das alles Fehlalarme ? Ist das generell so das ich mich nicht mehr zu 100 % auf den Virenscanner verlassen kann wenn ich mit solchen Sachen arbeite ?

1.)ich habe zur zeit einen bot in autoit geschrieben... mir ist schon klar das ich in n�chster Zeit mich ziemlich einlesen darf aber was muss ich nun tun das mein Bot " getarnt " arbeitet ?

2.)Ein guter bot von wow ist glider. Der wird mit einem rootkit gesch�tzt. Aber selbst mit dem wurde ich mal gebannt. Kann sich das wer erkl�ren was da schief gelaufen ist...

01/02/2008 14:26 Ganf#7

Quote:

Originally Posted by Bullz

danke f�r das suchen, mein avira meldet aber 3 trojaner beim entpacken. Sind das alles Fehlalarme ? Ist das generell so das ich mich nicht mehr zu 100 % auf den Virenscanner verlassen kann wenn ich mit solchen Sachen arbeite ?

1.)ich habe zur zeit einen bot in autoit geschrieben... mir ist schon klar das ich in n�chster Zeit mich ziemlich einlesen darf aber was muss ich nun tun das mein Bot " getarnt " arbeitet ?

2.)Ein guter bot von wow ist glider. Der wird mit einem rootkit gesch�tzt. Aber selbst mit dem wurde ich mal gebannt. Kann sich das wer erkl�ren was da schief gelaufen ist...

1. Ja, den Virenscanner schlagt nur zu, weil es ein RootKit ist. Das ist die einzige Tatsache dabei xD. Au�erdem kannst du dir den Sourcecode anschauen und selber compilieren!

2. Es gab da mal so ein Tool namens Innerspace (gibt es heute noch immer). Das war dass sicherste Hacking-Tool f�r WoW. Nach einer Weile arbeiteten dann die Programmierer von Glider mit dem von Innerspace zusammen. Deswegen bekam Glider den gleichen Schutz wie Innerspace. Dass ging eine Weile dann gut, biss Warden dann auch f�r diese Protektion cracken konnte --> Glider User wurden gebannt. Komischer wei�e wurden aber nur die GliderUser gebannt. Deshalb wurde die Innerspace-Protektion von Glider entfernt, und l�uft jetzt einigerma�en sicher.
Vor kurzer Zeit gab es ja wieder einmal eine Banwelle. Dieses Mal hat es die InnerspaceUser erwischt.

MFG
Ganf

01/02/2008 14:41 Bullz#8

also erstmal danke f�r die prompte Antwort

1.)also kann warden sogar Prozesse finden die mit einem rootkid versteckt worden sind ? Gibt also keinen wirklich 100 % igen Schutz und den Grund daf�r werd ich wahrscheindlich zur Zeit nicht verstehen k�nnen... ?

2. ) Virenscanner meckert auch die ganze Zeit, kann ich wirklich meinen Kopf unter die Giotine legen und sicher sein das da nix ist ?

3. ) habe mir das jetzt downgeloadet... da sind 3 ordner

Ordner " exe "
Ordner " fu "
Ordner " Sys "

Im ordner exe ist die fu. Das ist die compeliert*.exe des rootkids oder ? Wie k�nnte ich die in ein Programm z.b einbauen..

WAs im ordner fu drin ist weiss ich nicht. Jedenfalls viel zeugs

Ordner sys ist der c code mit die include Datein..

habe vor langer zeit mal schulmeassig bisi c programmiert, deswegen kenn ich mich bei den vielen Endungen da kaum aus.... .c und .h ist klar

01/02/2008 22:55 Ganf#9

Nein, Warden kann auch nicht alles detecten xD. Bei mir hat es nur mal gemecker bei CheatEngine, OllyDbg und AutoIt.

Ganf

01/02/2008 23:56 reijin#10

Quote:

Originally Posted by Bullz

also erstmal danke f�r die prompte Antwort

1.)also kann warden sogar Prozesse finden die mit einem rootkid versteckt worden sind ? Gibt also keinen wirklich 100 % igen Schutz und den Grund daf�r werd ich wahrscheindlich zur Zeit nicht verstehen k�nnen... ?

2. ) Virenscanner meckert auch die ganze Zeit, kann ich wirklich meinen Kopf unter die Giotine legen und sicher sein das da nix ist ?

3. ) habe mir das jetzt downgeloadet... da sind 3 ordner

Ordner " exe "
Ordner " fu "
Ordner " Sys "

Im ordner exe ist die fu. Das ist die compeliert*.exe des rootkids oder ? Wie k�nnte ich die in ein Programm z.b einbauen..

WAs im ordner fu drin ist weiss ich nicht. Jedenfalls viel zeugs

Ordner sys ist der c code mit die include Datein..

habe vor langer zeit mal schulmeassig bisi c programmiert, deswegen kenn ich mich bei den vielen Endungen da kaum aus.... .c und .h ist klar

1.) 100% gibts niemals!! in keiner lebenslage! das einzige was mit 100% passieren wird ist unser aller TOD! xD

2.) das wirst du wolh tun m�ssen^^ - aber zur not schauste dir den code an und compilierst selbst :)

3.) du musst nur die exe starten - dann zeigt er dir nen consolen fenster indem du s�mtliche PID von laufenden Prozessen siehst...
dann suchst du die PID von deinem Prozess raus und gibst die ein (er fragt danach) und schon ist das ding versteckt :)
kannst dann im taskmanager schauen^^ du solltest es nicht mehr finden ;D

01/03/2008 13:46 Bullz#11

Quote:

Originally Posted by Ganf

Nein, Warden kann auch nicht alles detecten xD. Bei mir hat es nur mal gemecker bei CheatEngine, OllyDbg und AutoIt.

Ganf

okay erkl�r mir wie warden bei dir gemeckert hat ? Warden meckert lautlos und leise und dann hast einen bann... deswegen verstehe ich deinen satz nicht,

wurdest du schon 1 mal bebannt wegen diesen 3 programmen ?

@ Reijin vielen dank f�r deine antworten, langsam wirds ja was. Das kaum was 100 % ist mir klar, ich w�rd aber auch gern genau verstehen warum es nicht die 100 % sind und mit was f�r tricks warden trotzdem eine chance hat etwas zu finden was von einem rootkid besch�tzt wird...

irgendwann wird es ja zeit das ich einen 100 % Schutz finde :)

01/03/2008 15:14 reijin#12

Quote:

Originally Posted by Bullz

okay erkl�r mir wie warden bei dir gemeckert hat ? Warden meckert lautlos und leise und dann hast einen bann... deswegen verstehe ich deinen satz nicht,

wurdest du schon 1 mal bebannt wegen diesen 3 programmen ?

@ Reijin vielen dank f�r deine antworten, langsam wirds ja was. Das kaum was 100 % ist mir klar, ich w�rd aber auch gern genau verstehen warum es nicht die 100 % sind und mit was f�r tricks warden trotzdem eine chance hat etwas zu finden was von einem rootkid besch�tzt wird...

irgendwann wird es ja zeit das ich einen 100 % Schutz finde :)

ich sags nochmal: du wirst niemals einen 100% schutz finden ^^
Und den Prozess mit dem FU Rootkit zu sch�tzen ist schonmal ne sehr sichere variante :) weil dadurch das Programm in einem anderen Ring zu gange ist.
Und Warden (h�chstwarscheinlich) nur im UserMode arbeitet. Wenn du deinen account nicht gef�hrden willst, dann kannst du dir ja nen 14Tage Test account machen und deinen BOT extrem lange laufen lassen. Wenn warden nicht meckert ists sehr sicher^^ andernfalls eben nicht und du musst dir nen anderes Rootkit besorgen ;)
Was Warden genau tut kann ich nicht sagen, denn wie auch rEdoX habe ich mir warden nie angeschaut geschweigedenn debugged.
Vllt ist dieses Rootkit f�r warden schon die 100% l�sung, weil es eben nur im UserMode arbeitet und von den Entwicklern eine erweiterung auf den Ring0 nicht geplant ist. Falls das der Fall ist, so ist das FU Rootkit schon die 100% l�sung. Jedoch k�nnen die Entwickler auch das nachr�sten. Nur wenn es eben nicht mehr nachger�stet wird... dann ist es DIE L�sung ;)

Zum Verst�ndnis hab ich dir mal das Bild von Wiki posted:
[Only registered and activated users can see links. Click Here To Register...]
Dein Programm sollte nach dem Verstecken mit FU im Ring0 sein. Was auch ein gewisses Risiko birgt, denn wenn nun ein fehler passiert hat das Programm ALLE rechte.
Warden befindet sich irgendwo im UserMode. Die Programme in den Verschiedenen Ringen k�nnen nicht auf normalem weg mit einander kommunizieren.

Quote:

Originally Posted by wikipedia.org

Der Befehlssatz wird f�r unprivilegierte Prozesse derart eingeschr�nkt, dass sie nicht direkt auf die Hardware zugreifen k�nnen und sich auch nicht aus ihrer Privilegierungsebene befreien k�nnen. Der Zugriff auf den Speicherbereich anderer Prozesse wird durch Speichervirtualisierung verhindert. Somit wird gew�hrleistet, dass Prozesse z.B. im Ring 3 in keinem Fall Prozesse im Ring 0 oder auch andere Prozesse im Ring 3 beeinflussen k�nnen. Da die unprivilegierten Prozesse nicht auf Hardware direkt zugreifen k�nnen, existieren sogenannte „Gates“ als L�cher im Speicher zu dem darunterliegenden Ring, um auf die Programmierschnittstelle des Kernels die notwendigen Aktionen anzufordern.

Ring (CPU) - Wikipedia

gru�, reijin

01/03/2008 16:34 Bullz#13

ja hatte vorher schon in wiki schlau gemacht.rootkid macht nix anders als das die programme im ring 0 arbeiten und kein Programm im usermode darf dort zugreifen oder so irgendwie...

gilder hatte das aber von anfang an aber mein lvl 70 krieger wurde trotzdem gebannt * schweigeminute *, was mir aber jetzt ehrlich egal war...

also sind die vl schon im ring0 unterwegs mit warden, kann aber auch sein das man aufgrund der vielen Bot meldungen gebannt wird, das ist bis heute noch nicht best�tigt das blizzard auch auf verdacht hin bannd

zur zeit juckt es mich nur mehr mich mehr einzulesen und selber einen bot zu schreiben, auf sinnlos wow zocken habe ich eh keine lust mehr...

01/03/2008 21:42 Bullz#14

habe auch mithilfe einer bekannten ddl meinen prozess versteckt,

[Only registered and activated users can see links. Click Here To Register...]

ist das das gleiche als w�rde ich meine anwendung mit einem rootkid sch�tzen oder ist hier nur eine sehr " einfaches " verstecken... keine ahnung wie ich mich sonst ausdr�cken soll

weil f�r meinen bot will ich nat�rlich das beste vom besten ;)

01/03/2008 22:09 reijin#15

Quote:

Originally Posted by Bullz

habe auch mithilfe einer bekannten ddl meinen prozess versteckt,

[Only registered and activated users can see links. Click Here To Register...]

ist das das gleiche als w�rde ich meine anwendung mit einem rootkid sch�tzen oder ist hier nur eine sehr " einfaches " verstecken... keine ahnung wie ich mich sonst ausdr�cken soll

weil f�r meinen bot will ich nat�rlich das beste vom besten ;)

warum versteckst du denn nun deinen Bot nicht mit FU?
wenn du ne bekannte dll nimmst dann musst du dich nicht wundern, wenn warden dich erwischt^^
und den Bot nur im TM verschwinden zu lassen ist nicht sonderlich sicher xD

Page 1 of 2