Blizzard scan hack

neji · 08/29/2005, 16:29

english:

Hi there,

Since Blizzard checks for known processes during runtime it's hard to use any known third party tools for the game.

I wrote an application , which hides itself and one additional application from the taskmanager (and hopefully from blizzards search too).

Just start the .exe with the application name of the file you want to be hidden

e.g. if you wanted bwh.exe to be hidden from TM, simple run my exe with :

Code:

myExe.exe bwh.exe

--------------------------------------------

german:

Da Blizzard ja bekanntlich zur Laufzeit nach bekannten 3rd Party tools scannt, kann man ältere hacks vergessen.

Ich habe ein Programm geschrieben, welches sich selbst UND ein zusätzliches Programm vor dem Taskmanager (und hoffentlich genauso vor Blizzards scan) versteckt.
Einfach die .exe starten und als ersten Parameter die Datei anhängen, die ihr vor dem Taskmanager verstecken wollt.

Soll z.B. die bwh.exe versteckt werden dann startet mein Programm mit :

Code:

meineExe.exe bwh.exe

---------

Wer fragen hat , nur zu. Karma ist auch gern gesehen

neji · 08/29/2005, 16:31

and the

Lowfyr · 08/29/2005, 16:37

pinned

rekone · 08/30/2005, 04:54

ich will mir jetzt keine feinde machen oder so nur mal die möglicht in aussicht stellen...ich schau bei solchen sachen immer wer solche threads erstellt und wenn ich dann seh 5-10 posts dann denk ich mir hmmm...?das soll nicht heissen das ich der aktivste bin^^bin ja auch noch ent langhier dabei^^und hab auch ent so oft zeit am pc zu sitezn.das könnt genau son tool sein was für blizzad die pcs scannt und net umgedreht^^ich bin sehr mistrauig bei sowas^^kann mich ja einer vom gegenteil überzeugen und sagen ich sabbel völligen blödsinn^^

das soll jetzt net heissen das der ersteller dieses threads ein faker is das solls jetzt garnicht heissen...aber wie schützt ihr euch vor solchen leuten?

neji · 08/30/2005, 09:17

Quote:

Originally posted by rekone@Aug 30 2005, 04:54
das könnt genau son tool sein was für blizzad die pcs scannt und net umgedreht^^ich bin sehr mistrauig bei sowas^^kann mich ja einer vom gegenteil überzeugen und sagen ich sabbel völligen blödsinn^^

Also erstmal : Du sabbelst völligen Blödsinn ;-)

Das ist ja ne nette Idee, aber warum sollte Blizzard so ein Tool schreiben, und es in einschlägigen Foren "unters Volk mischen" , wenn sie es viel einfacher über das normale Updatesystem mitliefern können ? Oo
Außerdem haben Sie das "scannen" doch eh schon implementiert, das wäre ja dann wohl etwas doppelt gemoppelt oder?
Und das mit den 5-10 Posts könnte eventuell daran liegen, dass ich erst nen Monat hier angemeldet bin ^^

Dich zwingt ja keiner das Programm zu benutzen, ich wollte nur eine Möglichkeit bieten, sich evtl ein bisschen besser vor den Scans zu schützen . Wers nicht mag, solls einfach sein lassen

xfidality1234 · 08/30/2005, 10:17

keep cool

rekone · 08/30/2005, 10:22

Tut mir leid, wenn ich dich dmait jetzt angegriffen habe so war das garnicht gemeint eigentlich war eigentlich nur mal so allgemein herausgesagt...

!!! mal was anderes kann es sein das der download down is? :?

neji · 08/30/2005, 11:14

Kam das so feinseelig von mir rüber? So wars jedenfalls nicht gemeint... und so hab ich es auch von dir nicht aufgefasst, also alles wieder in Butter

Beim download hatte sich ein Schreibfehler eingeschlichen aber sollte jetzt wieder funktionieren.

rekone · 08/31/2005, 02:45

hats schon jemand mal getestet?

Lowfyr · 08/31/2005, 10:22

das sollten sich auch mal die neocron'ler angucken, vll. wird dadurch mein wh undetected

werd ich vll. in der nächsten release mitliefern

NocturnalG · 08/31/2005, 10:33

Blizzard does not check for known applications. It checks for dlls/exes loaded into the d2 process. They send a sever side packet to check. If you block it then you will get realmdown. Someone released a src on how to get around it. I don't remember the url anymore sorry :\

neji · 10/17/2005, 14:01

Quote:

A. WHEN RUNNING, THE WORLD OF WARCRAFT CLIENT MAY MONITOR YOUR COMPUTER'S RANDOM ACCESS MEMORY (RAM) AND/OR CPU PROCESSES FOR UNAUTHORIZED THIRD PARTY PROGRAMS RUNNING CONCURRENTLY WITH WORLD OF WARCRAFT. [...]

Quote:

Wie Hoglund durch Reverse-Engineering herausgefunden hat, läuft dieser Wächter alle 15 Sekunden. Er liest zunächst die Fenstertitel aller laufenden Anwendungen aus, schickt sie durch eine Hash-Funktion und vergleicht das Ergebnis mit einer Liste von Hashes unerwünschter Programme. Sodann schaut das Programm in den Adressraum jedes im System laufenden Prozesses und bildet aus bestimmten Adressbereichen ebenfalls Hash-Werte, die es mit schwarzen Listen vergleicht. Entdeckt es Verdächtiges, so wird der Account des Spielers gesperrt.

Ultima · 10/17/2005, 14:12

Quote:

Originally posted by neji@Oct 17 2005, 14:01

Quote:

A. WHEN RUNNING, THE WORLD OF WARCRAFT CLIENT MAY MONITOR YOUR COMPUTER'S RANDOM ACCESS MEMORY (RAM) AND/OR CPU PROCESSES FOR UNAUTHORIZED THIRD PARTY PROGRAMS RUNNING CONCURRENTLY WITH WORLD OF WARCRAFT. [...]

Quote:

Wie Hoglund durch Reverse-Engineering herausgefunden hat, läuft dieser Wächter alle 15 Sekunden. Er liest zunächst die Fenstertitel aller laufenden Anwendungen aus, schickt sie durch eine Hash-Funktion und vergleicht das Ergebnis mit einer Liste von Hashes unerwünschter Programme. Sodann schaut das Programm in den Adressraum jedes im System laufenden Prozesses und bildet aus bestimmten Adressbereichen ebenfalls Hash-Werte, die es mit schwarzen Listen vergleicht. Entdeckt es Verdächtiges, so wird der Account des Spielers gesperrt.

und dein programm mag es zu vollbringen diese sicherheits mechanismen zu umgehen?

wie verbirgst du denn die applications?

und vorallem( hab da nicht so die ahnung) welche der programme sind denn im wow process also im wow speicher sei es nun durch komplette dll`s oder nur durch programm teile oder routinen die in den wow speicher geschrieben werden?

neji · 10/17/2005, 16:30

Quote:

Originally posted by Ultima@Oct 17 2005, 14:12
und dein programm mag es zu vollbringen diese sicherheits mechanismen zu umgehen?

wie verbirgst du denn die applications?

Naja ich will ehrlich sein. Alles , was ich tue, basiert auf Schätzungen, die teilweise mit Überprüfungen zusammenhängen.

Das ganze Programm basiert auf API Hooking. Ich Hooke also jegliche API's , die dafür zuständig sind, einen Prozess zu finden. Wird eine dieser Api's aufgerufen und es soll eine PID (ProzessID) von meinem oder dem angegebenen Programm zurückgegeben werden, so wird der Aufruf geblockt, bzw wird einfach mit dem nächsten Aufruf weitergemacht.
Um Fenstertitel auslesen zu können, oder auf den RAM eines Programmes zugreifen zu können, wird im untersten level die ProzessID benötigt, die WOW von unserem Programm aber nicht bekommen sollte, ergo sollte weder unser Fenstertitel, noch unser RAM ausgelesen werden können.

Da ich nicht cheate und mich auch hüten werde, das auszuprobieren (dafür ist mir mein Account zu wichtig), kann ich das nicht 100%ig verifizieren. Allerdings habe ich durch Sniffer und API Viewer bestätigt, dass WoW die angesprochenen API's aufruft.

Am Ende ist es also die Sache jedes Einzelnen , ob er das Programm benutzt, wobei ich denke, dass man nur Vorteile darauf erhalten kann.

Quote:

und vorallem( hab da nicht so die ahnung) welche der programme sind denn im wow process also im wow speicher sei es nun durch komplette dll`s oder nur durch programm teile oder routinen die in den wow speicher geschrieben werden?

das einzige , was ich in den WoW Speicher schreibe, ist jeweils eine neue Version der API's zu der dann anstelle der "echten" gesprungen wird.....was die einzelnen Cheats im Speicher umschreiben kann ich nicht sagen.

Ultima · 10/18/2005, 19:33

klingt soweit ganz gut also is das einzige was gefährlich ist wenn nen cheat etwas in den wow speicher schreibt und wow danach sucht

meinste die prüfen ob die funktionen gehooked sind? und hooken die die vieleicht selber um zu überwachen ob irgend ein prozess vieleicht auf den wow speicher zugreift?