warum versteckst du denn nun deinen Bot nicht mit FU?
wenn du ne bekannte dll nimmst dann musst du dich nicht wundern, wenn warden dich erwischt^^
und den Bot nur im TM verschwinden zu lassen ist nicht sonderlich sicher xD
ach so du meinst das diese ddl nicht mehr macht als den " namen " auszublenden aus dem TM ... da wusste ich gar nicht also ist das gar nicht mal annährend ein rootkid von der Sicherheit ? Wenn ja dann ist ddl so gut wie gelöscht
1.)warum reicht es eigentlich nicht aus nur den Prozessnamen zu ändern in " irgendeinen " namen.. also von "autoit3" ( so heist der glaub ich ) auf " dieweltistschön" ... warden hat doch dann keine Ahnung was das für ein prozess ist...
Für Autoit wirst du sowieso nicht gebannt solange du den Bot nicht publik machst. Meiner Einschätzung nach erhöhst du dirch dieses ganze Gefummel mit Rootkits oder Dlls die du selber nicht ganz verstehst nur die Wahrscheinlichkeit sofort auf der Blacklist von Warden aufzutauchen. Das FU Rootkit bringts zum Beispiel Erfahrungsgemäß gar nicht (siehe die ganzen alten Threads von 2005, die haben auch das FU Rootkit benutzt und sind trotzdem gebannt worden.)
Für Autoit wirst du sowieso nicht gebannt solange du den Bot nicht publik machst. Meiner Einschätzung nach erhöhst du dirch dieses ganze Gefummel mit Rootkits oder Dlls die du selber nicht ganz verstehst nur die Wahrscheinlichkeit sofort auf der Blacklist von Warden aufzutauchen. Das FU Rootkit bringts zum Beispiel Erfahrungsgemäß gar nicht (siehe die ganzen alten Threads von 2005, die haben auch das FU Rootkit benutzt und sind trotzdem gebannt worden.)
erklär mir warum ich nicht vl nicht gebanned werde wenn ich meinen bot nicht public mache... ist vl auch die Frage 1.) die ich suche...
Solange du dich an die Regeln hälst (nichts im Speicher verändern, keine Injection) muss dein Programm auf der Blacklist landen um durch die Warden detection betroffen zu sein. Ich denke schon, dass Blizzard sieht, dass du irgendwas mit Autoit programmiert hast und das dieses Programm beim WoW spielen ausgeführt wird, aber obs nun der Bot ist oder irgendwas anderes (was bei Autoit durchaus sein kann) wissen sie ohne Kenntnis des Programms nicht. Wenn einfach auf gut Glück alle Autoit Programme auf der Blacklist laden würden, würden einfach zu viele unschuldige gebannt.
Beim Multiboxen ist Autoit zum Beispiel in Ordnung, für Scripte die deine Tastendrücke an WoW-Fenster 1 auch an Fenster 2, 3 und 4 senden werden sie dich zum Beispiel nicht bannen. Sie können einfach nicht feststellen ob du was böses oder was gutes mit Autoit machst.
1. Kann man ein Programm auch dann noch finden, wenn es nicht mehr in der Prozessliste auftaucht, etc. das war der Grund warum Glider irgendwann die Option bekam ohne GUI zu laufen, damit man ihn nicht auf nem Screenshot finden kann
2. Ein Rootkit wie das fu rootkit funktionieren nicht ganz so wie hier bisher teilweise angenommen wird.
Das Programm, dass man versteckt wird nicht in Ring0 verschoben
Das rootkit installiert einen Treiber, der wird tatsächlich mit Kerlenprivilegien ausgeführt, dadurch hat er Zugriff auf alle internen Betriebssystemsstrukturen.
Wenn man jetzt eine Prozessliste verlangt gibt es irgendwo einen Übergang zu Kernelcode, der auf solche Strukturen (sogenannte Kernelobjekte) zugreift und die Informationen besorgt die du haben willst. Witzigerweise gibt es da verschiedene Tabellen und Objekte und die nicht zwingend benötigt werden damit das Programm läuft, an sich braucht man nur wenige Informationen für die sogenannten Dispatcher, welche das Context Switching organisieren, also den Threads CPU-Zeit zuteilen.
Da die genannten Informationen, die man bekommt wenn man nach Prozessen sucht von internen Betriebssystemsfunktionen nicht benötigt werden kann man die auch weitesgehend entfernen und ausblenden und somit ist der Prozess nicht mehr auffindbar. Es gibt verschiedene Methoden solche Diskrepanzen aufzuspüren, dafür muss man dann aber wieder selber einen Treiber installieren wenn ich mich nicht irre.
Das ist wahrscheinlich auch nicht besonders korrekt aber sagen wir es ist ein wenig korrekter als die Annahme der Prozess käme in Ring-0
Solange du dich an die Regeln hälst (nichts im Speicher verändern, keine Injection) muss dein Programm auf der Blacklist landen um durch die Warden detection betroffen zu sein. Ich denke schon, dass Blizzard sieht, dass du irgendwas mit Autoit programmiert hast und das dieses Programm beim WoW spielen ausgeführt wird, aber obs nun der Bot ist oder irgendwas anderes (was bei Autoit durchaus sein kann) wissen sie ohne Kenntnis des Programms nicht. Wenn einfach auf gut Glück alle Autoit Programme auf der Blacklist laden würden, würden einfach zu viele unschuldige gebannt.
Beim Multiboxen ist Autoit zum Beispiel in Ordnung, für Scripte die deine Tastendrücke an WoW-Fenster 1 auch an Fenster 2, 3 und 4 senden werden sie dich zum Beispiel nicht bannen. Sie können einfach nicht feststellen ob du was böses oder was gutes mit Autoit machst.
lol deswegen wurde ich auch nicht gebannt, habe ihn 3 monate laufen lassen dann bekam ich einen 72 stunden bann und ingesamt 3 mal temporär gesperrt ... als ich mit glider gebannt wurde wurde ich direkt permanent gebannt..
aber durch mein rootkid selber mache ich ja auch nicht strafbar..
wenn ich mein autoit
1. ) Prozess Umbennen
2. ) Kein Codeinjektion
3. ) mit rootkid schütze...
solle ich realtiv sicher sein ? Auch wenn blizzard das durchschaut...
Wenn ich z.b die Leben anhand eines Pointers auslese, wäre das verboten und könnte ich deswegen bebannt werden ? Zur zeit arbeite ich nur mit " farben " aber das ist sehr unprofessionel und ich will mal " mehr " machen können
1. Kann man ein Programm auch dann noch finden, wenn es nicht mehr in der Prozessliste auftaucht, etc. das war der Grund warum Glider irgendwann die Option bekam ohne GUI zu laufen, damit man ihn nicht auf nem Screenshot finden kann
2. Ein Rootkit wie das fu rootkit funktionieren nicht ganz so wie hier bisher teilweise angenommen wird.
Das Programm, dass man versteckt wird nicht in Ring0 verschoben
Das rootkit installiert einen Treiber, der wird tatsächlich mit Kerlenprivilegien ausgeführt, dadurch hat er Zugriff auf alle internen Betriebssystemsstrukturen.
Wenn man jetzt eine Prozessliste verlangt gibt es irgendwo einen Übergang zu Kernelcode, der auf solche Strukturen (sogenannte Kernelobjekte) zugreift und die Informationen besorgt die du haben willst. Witzigerweise gibt es da verschiedene Tabellen und Objekte und die nicht zwingend benötigt werden damit das Programm läuft, an sich braucht man nur wenige Informationen für die sogenannten Dispatcher, welche das Context Switching organisieren, also den Threads CPU-Zeit zuteilen.
Da die genannten Informationen, die man bekommt wenn man nach Prozessen sucht von internen Betriebssystemsfunktionen nicht benötigt werden kann man die auch weitesgehend entfernen und ausblenden und somit ist der Prozess nicht mehr auffindbar. Es gibt verschiedene Methoden solche Diskrepanzen aufzuspüren, dafür muss man dann aber wieder selber einen Treiber installieren wenn ich mich nicht irre.
Das ist wahrscheinlich auch nicht besonders korrekt aber sagen wir es ist ein wenig korrekter als die Annahme der Prozess käme in Ring-0
gut, dann tuts mir leid - dass ich da etwas mist erzählt hab. ich habe nur versucht, das was ich weiß zu Wort zu bringen... selbst sowas schreiben kann ich leider noch nicht - wie so vieles wusste ich nur, wie das theoretisch abläuft
wenn mir wer noch @ 21 helfen könnte wäre dann der treatsinn erfüllt. Das ganze wird mir ehrlich zu kompliziert... dafür das es nur um fun coden geht...
okay, das ganze klappt jetzt, danke für die schnelle antwort, ich weiß die prozess id von dem prozess den ich verstecken möchte, aber irgendwie bekomm ich das nicht hin das richtig dahinzuschreiben... könnte mir bitte jemand helfen?
Es ist auch Möglich ring0 Rootkits aus ring3 zu entdecken, da oftmals durch Manipulationen im ring0 Bereich manche WindowsAPIs andere Werte zurück gegeben als normalerweise, mit einem solchen "exploit" hat "Warden" auch die letzte große Bannwelle gegen Glider geführt, nur war der detection Code nicht direkt im Warden Modul, sondern verschlüsselt in der WoW.exe.
Soweit ich weiß hat Warden auch ein paar Routinen um puplic Rootkits zu entdecken, ich habe allerdings keine Ahnung ob diese in der Aktuellen Version noch aktiv oder enthalten sind.
Prozess Manager 05/03/2010 - Coding Releases - 7 Replies So das hier ist mein Prozeess Manager:
Download Link
http://i42.tinypic.com/r0wlyr.jpg
Was er kann/macht:
Oben seht ihr die aktuellen Prozesse. Ihr könnt eine PID oder den einen Prozessnamen eingegben, und der Prozeess wird geschlossen.
Auf Kill Blacklist schließt ihr alle Prozesse die auf der "Blacklist" stehen.
Bei Add Process fügt ihr einen Process zur Blacklist hinzu.
Bei Edit Blacklist könnt ihr die Blacklist löschen.
Prozess verstecken 03/09/2010 - 4Story - 9 Replies Bitte teilnehmen.
Falls jemand eine Möglichkeit hat meinen Prozess vom Hack in den ring0 zu schicken schreibt mich bitte an :D
engine.exe prozess beenden 03/05/2010 - Kal Online - 7 Replies Gibs ne möglichkeit Engine.exe per process zu beenden?<:<..
BEI XP!!!
Prozess Frage 01/22/2010 - GW Bots - 5 Replies Guten Abend Pvpers,
ICh konfrontier euch mal mit ner neuen Frage:D
WICHTIG: Bitte nur sinnvolle Antworten
Und zwar habe ich schon mehrere Bots geschrieben, jedoch bin ich gerade an einem, welcher eine "gute" GUI mal verdient hätte.
So, ich habe in der GUI 4 Radios, welche eine Auswahl an Runs angeben.
Somit steht Radio1 für 50 Runs
Die Main lautet dann (gekürzt):
Dann habe ich in meiner GUI noch einen Progress.
Prozess Calculator 03/29/2009 - CO2 Programming - 0 Replies Hey,
Im looking for a Composing Calculator where I can type in like:
Super 2 Socket +7 2 Hander = +960 +6660 Points
Would be cool if anybody can do something like that.
also ist das gar nicht mal annährend ein rootkid von der Sicherheit ? Wenn ja dann ist ddl so gut wie gelöscht
