Ram lesen = detectable ?

06/07/2007 20:09 Pblx#1

Hi

Wenn ich mit AutoIT ausm RAM was auslese, kann ein anderes Programm oder Warden das irgendwie feststellen?

Wenn ja, wie kann man das umgehen? weil glider liest ja werte ausm ram.

06/07/2007 20:53 reijin#2

Quote:

Originally posted by PiroX@Jun 7 2007, 20:09
Hi

Wenn ich mit AutoIT ausm RAM was auslese, kann ein anderes Programm oder Warden das irgendwie feststellen?

Wenn ja, wie kann man das umgehen? weil glider liest ja werte ausm ram.

da die Routinen von Warden nicht bekannt sind, kann dir wohl keiner die Frage mit sicherheit beantworten.
was man vermuten kann:
da Glider von warden (noch) nicht banned wird kannst du davon ausgehen, dass das auslesen von werten aus dem RAM mittels AutoIt genau so wenig/viel bemerkt wird wie bei Glider (es sei denn Glider benutzt eine spezielle technik - was ich nicht glaube)
Umgehen.... kann man das vermutlich nicht. - Au�er du schaffst es vllt Warden rechte zu entziehen (System privilegien) damit die Infos nicht an Warden rausger�ckt werden.
Au�erdem ist das auslesen eh schwer zu detecten. Da werden n�mlich keine Spuren HInterlassen (bzw. Warden m�sste jeden Prozess auf zugriffe in den RAM checken -> viel zu viel arbeit)
Falls ich falsche Infos geposted haben sollte - bitte berichtigen :D

gru�, rei

06/07/2007 21:01 Pblx#3

thx +karma 4 you

06/07/2007 22:44 Leonino#4

es wuerde fuer warden imho kein problem darstellen zu uebepruefen ob auf die ram zugegriffen wird zur zeit es das blosse auslesen jedoch kein banngrund

06/08/2007 03:36 wiz#5

Ja, das kann man feststellen. Im Userspace als auch im Kernelspace. Zum einen funktioniert simples API-Hooking auch f�r Anti-Cheat-Tools, zum anderen kann ein Anti-Cheat-Programm im Kernelspace etliche Methoden daf�r aufwenden. Zum einen k�nnen auch diese API-Hooking betreiben, zum anderen k�nnen die wenn n�tig auch Speicherzugriffe direkt abfangen. Damit w�re dann selbst das Auslesen �ber einen Pointer innerhalb des Prozesses erkennbar, was auch DLL-Injection mit einhergehndem direkten Auslesen sichtbar machen w�rde.

06/08/2007 17:04 reijin#6

Quote:

Originally posted by Leonino@Jun 7 2007, 22:44
es wuerde fuer warden imho kein problem darstellen zu uebepruefen ob auf die ram zugegriffen wird zur zeit es das blosse auslesen jedoch kein banngrund

hast recht... es gibt ja noch sowas wie API Spying^^
damit isses easy heraus zufinden, welches programm auf den RAM zugreift.
Aber wenn man das ganze nicht �ber die API regelt m�sste es doch zumindest schwerer werden herauszufinden welches Programm liest - oder?

06/08/2007 17:55 rEdoX#7

Schwer ist relativ ... (:

Fuers userland gilt:
Man kann die page mit dem PAGE_NOACCESS/PAGE_GUARD protected, dann endet jeder zugriff in einer access violation, die an warden mittels eines ExceptionFilters (AddVectoredExceptionHandler/SetUnhandledExceptionFilter) "weitergegeben" wird.

kernelmode:
Dort kann man den Physikalischen RAM direkt auslesen.Das sollte man im usermode allerdings nicht mitbekommen, bin mir da aber gerade nicht 100%tig sicher.

06/09/2007 00:01 Pblx#8

und wie ist das dann bei Glider und Cheatengine?
Dann muss doch Warden das easy detecten oder?

06/09/2007 00:18 rEdoX#9

Glider kenne ich nicht und cheatengine bietet die M�glichkeit funktionen aus dem kernelmode zu benutzen.

06/09/2007 01:48 Pblx#10

bietet autoit auch diese m�glichkeit wie cheatengine ?

<hr>Append on Jun 9 2007, 01:52<hr> mit noMadmeroy wird dat gemacht

Local $ah_Handle[2] = [DllOpen('kernel32.dll')]

ist das kernelk mode und somit sicher ?

<hr>Append on Jun 9 2007, 02:02<hr> ich w�rd das n�hmlich wirklich gern wissen, auf was man als programmierer achten muss, damit er undetectable bleibt. Vorallem bei AutoIt, da die Sprache sehr gute Hilfe bietet.

06/09/2007 11:15 rEdoX#11

Nein, die kernel32 ist eine library, die system nahe funktionen bietet. Das ganze hat nichts mit dem kernel mode zu tun. Wenn autoit keinen treiber l�d, kannst du zu 99% ausschlie�en, dass autoit kernel mode funktionen benutzt.

06/09/2007 17:28 Pblx#12

thx f�r den post.
Nun noch ne konkrete letze Frage.

Werde ich gebant, wenn ich mit AutoIt ausm WoW Ram lese? Wenn ja mit welcher Wahrscheinlichkeit? Und sollte ich das dann lieber nicht f�r Bots nutzen?

und ich denke nicht, das AutoIt treiber l�d. (werde mich informieren)

WoW NUTZUNGSBESTIMMUNGEN

Code:

&#40;iii&#41; Software von Drittanbietern benutzen, die &#34;Datamining&#34; erm�glicht oder auf andere Weise Informationen von oder durch World of Warcraft abf�ngt oder sammelt.

QUOTE (Leonino @ Jun 7 2007, 22:44)

Code:

es wuerde fuer warden imho kein problem darstellen zu uebepruefen ob auf die ram zugegriffen wird zur zeit es das blosse auslesen jedoch kein banngrund

06/10/2007 09:53 rEdoX#13

Ich kann nur spekulaieren:

Ich habe mal ein paper von Greg Hoglund gelesen welches sich mit warden befasst hat, ich meine gelesen zu haben, dass warden _keine_ dll in einen anderen prozess laed und auch keinen treiber laed, somit kann man praktisch ausschlie�en, dass warden einen aufruf von readprocessmemory mitbekommt. Es gibt auch ein g15 applet welches spieler daten aus dem speicher auslie�t.
Warden imho scannt nur mittels footprint, also nach geblacklisteten string/hashes.

06/10/2007 14:06 Pblx#14

merci <3