|
You last visited: Today at 18:03
Advertisement
Prozess verstecken ...
Discussion on Prozess verstecken ... within the General Coding forum part of the Coders Den category.
01/01/2008, 03:39
|
#1
|
elite*gold: 0 
Join Date: Dec 2007
Posts: 37
Received Thanks: 1
|
Prozess verstecken ...
also ich habe schon einen kleinen bot zum Spass geschrieben aber der hat nur mit Farben gearbeitet etc... als Sprache habe ich autoit verwendet. Der Bot war für Dark age of Camelot. In dem Game wird nix gescannt. Da kannst praktisch alles am Rechner laufen haben egal..
aber...
World of Warcraft hat ein Programm namens Warden. Das scannt alle 5 sek den Speicher !!!!!!
jetzt meine Frage... wie schafe ich es ein Programm so zu tarnen das kein Warden oder sonstiges Programm der Welt es findet ?
Habe schon etwas von einer " legendären ddl " im Internet gehört und habe auch selber damit rumprobiert das ein Prozess verschwindet und hat auch gut funktioniert...
bloss ist auch dies kein 100 % schutz, wurde mir gesagt... und es wird auch nicht gern darüber geredet da das wissen auch dafür verwendet werden könnte um Viren, Trojaner und was weis ich zu bauen.. Ich brauch den Mist eh nicht, mir gehts es wirklich nur darum das Warden nix findet
|
|
|
|
01/01/2008, 13:56
|
#2
|
elite*gold: 0
Join Date: Oct 2005
Posts: 2,485
Received Thanks: 215
|
Ich hab mal was in der Richtung gelesen, weiss aber nicht, ob ich das richtig verstanden habe.
Zunächst wird das keine einfache Sache sein, weil Warden schließlich von Profis gemacht ist.
Es gibt sogenannte Ringe:
Ring (CPU) - Wikipedia
Sowie ich das verstanden habe, müsste das Progamm im Ring 0 sicher sein. Also wenn der Bot als Treiber programmiert ist, dann hat Warden keine ausreichenden Prozessprivilegien um auf den Bot zuzugreifen sprich ihn zu entdecken. Aber ist ziemlich kompliziert, wäre cool wenn da einer mit Ahnung was zu sagen kann 
|
|
|
|
|
01/01/2008, 14:32
|
#3
|
elite*gold: 20
Join Date: Jan 2006
Posts: 539
Received Thanks: 228
|
Vorab, ich habe mir warden nie genauer angeguckt/debugged.
Warden bildet den hash von allen fensternamen und sendet die hashes an dem blizzard server, dieser vergleicht sie mit einer "blacklist", was passiert wenn der hash in der liste gefunden wird kann sich jeder denken. Desweiteren waere es nicht gerade effektiv wenn warden keine self-checks haette. Das heißt fuer dich, wenn du der einzige bist der den bot benutzt und der bot nicht im speicher von wow rumfuscht, besteht kaum eine gefahr gebannt zu werden. (ich garantiere fuer nichts). Wenn du doch auf nummer sicher gehen willst, dann verstecke deinen prozess mit einem rootkit. Da warden nur im usermode arbeite, bist du dann auf der ganz sicheren seite.(wieder keine garantie) Ich kann dir das FU rootkit von rootkit[dot]com empfehlen, einfach, schnell und stabil.
|
|
|
|
|
01/01/2008, 19:16
|
#4
|
elite*gold: 0
Join Date: Mar 2007
Posts: 567
Received Thanks: 48
|
Naja, kann Warden schon rootkits erkennen und lesen? Ich denke die open Source schon, hab mich nie recht mit WoW auseinander gesetzt!
Aber insgesamt sind rootkits eine gute, aber sehr risikoreiche Tools xD, wenn du dir da einen Virus einfängst, viel Spaß beim Windows neu installieren xD! Ich würde es aber nicht machen!
MFG
Ganf
|
|
|
|
|
01/02/2008, 00:26
|
#5
|
elite*gold: 20
Join Date: Feb 2006
Posts: 3,174
Received Thanks: 1,152
|
lol wenn du das FU Rootkit startest fängst du dir keinen Virus ein.. außer es ist so ne ne Binded version die mit nem Troj/Vir zusammen hängt. aber wenn dein AV tool sagt. "FU Rootkit" dann isses clean^^
das rootkit hab ich selbst mal verwendet und war mal bestandteil eines Bypasses in der Warrock section - damit konnte man PunkBuster umgehen
Allerdings kann das Rootkit natürlich auf Grund von inkompatibilität zum System schaden verursachen - ist schließlich ne heikle angelegenheit mim Ring0 
//edit//
hab dir mal den dload gleich rausgesucht^^
 mit source
|
|
|
|
|
01/02/2008, 13:36
|
#6
|
elite*gold: 0
Join Date: Dec 2007
Posts: 37
Received Thanks: 1
|
danke für das suchen, mein avira meldet aber 3 trojaner beim entpacken. Sind das alles Fehlalarme ? Ist das generell so das ich mich nicht mehr zu 100 % auf den Virenscanner verlassen kann wenn ich mit solchen Sachen arbeite ?
1.)ich habe zur zeit einen bot in autoit geschrieben... mir ist schon klar das ich in nächster Zeit mich ziemlich einlesen darf aber was muss ich nun tun das mein Bot " getarnt " arbeitet ?
2.)Ein guter bot von wow ist glider. Der wird mit einem rootkit geschützt. Aber selbst mit dem wurde ich mal gebannt. Kann sich das wer erklären was da schief gelaufen ist...
|
|
|
|
|
01/02/2008, 14:26
|
#7
|
elite*gold: 0
Join Date: Mar 2007
Posts: 567
Received Thanks: 48
|
Quote:
Originally Posted by Bullz
danke für das suchen, mein avira meldet aber 3 trojaner beim entpacken. Sind das alles Fehlalarme ? Ist das generell so das ich mich nicht mehr zu 100 % auf den Virenscanner verlassen kann wenn ich mit solchen Sachen arbeite ?
1.)ich habe zur zeit einen bot in autoit geschrieben... mir ist schon klar das ich in nächster Zeit mich ziemlich einlesen darf aber was muss ich nun tun das mein Bot " getarnt " arbeitet ?
2.)Ein guter bot von wow ist glider. Der wird mit einem rootkit geschützt. Aber selbst mit dem wurde ich mal gebannt. Kann sich das wer erklären was da schief gelaufen ist...
|
1. Ja, den Virenscanner schlagt nur zu, weil es ein RootKit ist. Das ist die einzige Tatsache dabei xD. Außerdem kannst du dir den Sourcecode anschauen und selber compilieren!
2. Es gab da mal so ein Tool namens Innerspace (gibt es heute noch immer). Das war dass sicherste Hacking-Tool für WoW. Nach einer Weile arbeiteten dann die Programmierer von Glider mit dem von Innerspace zusammen. Deswegen bekam Glider den gleichen Schutz wie Innerspace. Dass ging eine Weile dann gut, biss Warden dann auch für diese Protektion cracken konnte --> Glider User wurden gebannt. Komischer weiße wurden aber nur die GliderUser gebannt. Deshalb wurde die Innerspace-Protektion von Glider entfernt, und läuft jetzt einigermaßen sicher.
Vor kurzer Zeit gab es ja wieder einmal eine Banwelle. Dieses Mal hat es die InnerspaceUser erwischt.
MFG
Ganf
|
|
|
|
|
01/02/2008, 14:41
|
#8
|
elite*gold: 0
Join Date: Dec 2007
Posts: 37
Received Thanks: 1
|
also erstmal danke für die prompte Antwort
1.)also kann warden sogar Prozesse finden die mit einem rootkid versteckt worden sind ? Gibt also keinen wirklich 100 % igen Schutz und den Grund dafür werd ich wahrscheindlich zur Zeit nicht verstehen können... ?
2. ) Virenscanner meckert auch die ganze Zeit, kann ich wirklich meinen Kopf unter die Giotine legen und sicher sein das da nix ist ?
3. ) habe mir das jetzt downgeloadet... da sind 3 ordner
Ordner " exe "
Ordner " fu "
Ordner " Sys "
Im ordner exe ist die fu. Das ist die compeliert*.exe des rootkids oder ? Wie könnte ich die in ein Programm z.b einbauen..
WAs im ordner fu drin ist weiss ich nicht. Jedenfalls viel zeugs
Ordner sys ist der c code mit die include Datein..
habe vor langer zeit mal schulmeassig bisi c programmiert, deswegen kenn ich mich bei den vielen Endungen da kaum aus.... .c und .h ist klar
|
|
|
|
|
01/02/2008, 22:55
|
#9
|
elite*gold: 0
Join Date: Mar 2007
Posts: 567
Received Thanks: 48
|
Nein, Warden kann auch nicht alles detecten xD. Bei mir hat es nur mal gemecker bei CheatEngine, OllyDbg und AutoIt.
Ganf
|
|
|
|
|
01/02/2008, 23:56
|
#10
|
elite*gold: 20
Join Date: Feb 2006
Posts: 3,174
Received Thanks: 1,152
|
Quote:
Originally Posted by Bullz
also erstmal danke für die prompte Antwort
1.)also kann warden sogar Prozesse finden die mit einem rootkid versteckt worden sind ? Gibt also keinen wirklich 100 % igen Schutz und den Grund dafür werd ich wahrscheindlich zur Zeit nicht verstehen können... ?
2. ) Virenscanner meckert auch die ganze Zeit, kann ich wirklich meinen Kopf unter die Giotine legen und sicher sein das da nix ist ?
3. ) habe mir das jetzt downgeloadet... da sind 3 ordner
Ordner " exe "
Ordner " fu "
Ordner " Sys "
Im ordner exe ist die fu. Das ist die compeliert*.exe des rootkids oder ? Wie könnte ich die in ein Programm z.b einbauen..
WAs im ordner fu drin ist weiss ich nicht. Jedenfalls viel zeugs
Ordner sys ist der c code mit die include Datein..
habe vor langer zeit mal schulmeassig bisi c programmiert, deswegen kenn ich mich bei den vielen Endungen da kaum aus.... .c und .h ist klar
|
1.) 100% gibts niemals!! in keiner lebenslage! das einzige was mit 100% passieren wird ist unser aller TOD! xD
2.) das wirst du wolh tun müssen^^ - aber zur not schauste dir den code an und compilierst selbst
3.) du musst nur die exe starten - dann zeigt er dir nen consolen fenster indem du sämtliche PID von laufenden Prozessen siehst...
dann suchst du die PID von deinem Prozess raus und gibst die ein (er fragt danach) und schon ist das ding versteckt
kannst dann im taskmanager schauen^^ du solltest es nicht mehr finden ;D
|
|
|
|
|
01/03/2008, 13:46
|
#11
|
elite*gold: 0
Join Date: Dec 2007
Posts: 37
Received Thanks: 1
|
Quote:
Originally Posted by Ganf
Nein, Warden kann auch nicht alles detecten xD. Bei mir hat es nur mal gemecker bei CheatEngine, OllyDbg und AutoIt.
Ganf
|
okay erklär mir wie warden bei dir gemeckert hat ? Warden meckert lautlos und leise und dann hast einen bann... deswegen verstehe ich deinen satz nicht,
wurdest du schon 1 mal bebannt wegen diesen 3 programmen ?
@ Reijin vielen dank für deine antworten, langsam wirds ja was. Das kaum was 100 % ist mir klar, ich würd aber auch gern genau verstehen warum es nicht die 100 % sind und mit was für tricks warden trotzdem eine chance hat etwas zu finden was von einem rootkid beschützt wird...
irgendwann wird es ja zeit das ich einen 100 % Schutz finde
|
|
|
|
|
01/03/2008, 15:14
|
#12
|
elite*gold: 20
Join Date: Feb 2006
Posts: 3,174
Received Thanks: 1,152
|
Quote:
Originally Posted by Bullz
okay erklär mir wie warden bei dir gemeckert hat ? Warden meckert lautlos und leise und dann hast einen bann... deswegen verstehe ich deinen satz nicht,
wurdest du schon 1 mal bebannt wegen diesen 3 programmen ?
@ Reijin vielen dank für deine antworten, langsam wirds ja was. Das kaum was 100 % ist mir klar, ich würd aber auch gern genau verstehen warum es nicht die 100 % sind und mit was für tricks warden trotzdem eine chance hat etwas zu finden was von einem rootkid beschützt wird...
irgendwann wird es ja zeit das ich einen 100 % Schutz finde |
ich sags nochmal: du wirst niemals einen 100% schutz finden ^^
Und den Prozess mit dem FU Rootkit zu schützen ist schonmal ne sehr sichere variante weil dadurch das Programm in einem anderen Ring zu gange ist.
Und Warden (höchstwarscheinlich) nur im UserMode arbeitet. Wenn du deinen account nicht gefährden willst, dann kannst du dir ja nen 14Tage Test account machen und deinen BOT extrem lange laufen lassen. Wenn warden nicht meckert ists sehr sicher^^ andernfalls eben nicht und du musst dir nen anderes Rootkit besorgen
Was Warden genau tut kann ich nicht sagen, denn wie auch rEdoX habe ich mir warden nie angeschaut geschweigedenn debugged.
Vllt ist dieses Rootkit für warden schon die 100% lösung, weil es eben nur im UserMode arbeitet und von den Entwicklern eine erweiterung auf den Ring0 nicht geplant ist. Falls das der Fall ist, so ist das FU Rootkit schon die 100% lösung. Jedoch können die Entwickler auch das nachrüsten. Nur wenn es eben nicht mehr nachgerüstet wird... dann ist es DIE Lösung
Zum Verständnis hab ich dir mal das Bild von Wiki posted:
Dein Programm sollte nach dem Verstecken mit FU im Ring0 sein. Was auch ein gewisses Risiko birgt, denn wenn nun ein fehler passiert hat das Programm ALLE rechte.
Warden befindet sich irgendwo im UserMode. Die Programme in den Verschiedenen Ringen können nicht auf normalem weg mit einander kommunizieren.
Quote:
|
Originally Posted by wikipedia.org
Der Befehlssatz wird für unprivilegierte Prozesse derart eingeschränkt, dass sie nicht direkt auf die Hardware zugreifen können und sich auch nicht aus ihrer Privilegierungsebene befreien können. Der Zugriff auf den Speicherbereich anderer Prozesse wird durch Speichervirtualisierung verhindert. Somit wird gewährleistet, dass Prozesse z.B. im Ring 3 in keinem Fall Prozesse im Ring 0 oder auch andere Prozesse im Ring 3 beeinflussen können. Da die unprivilegierten Prozesse nicht auf Hardware direkt zugreifen können, existieren sogenannte „Gates“ als Löcher im Speicher zu dem darunterliegenden Ring, um auf die Programmierschnittstelle des Kernels die notwendigen Aktionen anzufordern.
|
Ring (CPU) - Wikipedia
gruß, reijin
|
|
|
|
|
01/03/2008, 16:34
|
#13
|
elite*gold: 0
Join Date: Dec 2007
Posts: 37
Received Thanks: 1
|
ja hatte vorher schon in wiki schlau gemacht.rootkid macht nix anders als das die programme im ring 0 arbeiten und kein Programm im usermode darf dort zugreifen oder so irgendwie...
gilder hatte das aber von anfang an aber mein lvl 70 krieger wurde trotzdem gebannt * schweigeminute *, was mir aber jetzt ehrlich egal war...
also sind die vl schon im ring0 unterwegs mit warden, kann aber auch sein das man aufgrund der vielen Bot meldungen gebannt wird, das ist bis heute noch nicht bestätigt das blizzard auch auf verdacht hin bannd
zur zeit juckt es mich nur mehr mich mehr einzulesen und selber einen bot zu schreiben, auf sinnlos wow zocken habe ich eh keine lust mehr...
|
|
|
|
|
01/03/2008, 21:42
|
#14
|
elite*gold: 0
Join Date: Dec 2007
Posts: 37
Received Thanks: 1
|
habe auch mithilfe einer bekannten ddl meinen prozess versteckt,
ist das das gleiche als würde ich meine anwendung mit einem rootkid schützen oder ist hier nur eine sehr " einfaches " verstecken... keine ahnung wie ich mich sonst ausdrücken soll
weil für meinen bot will ich natürlich das beste vom besten
|
|
|
|
|
01/03/2008, 22:09
|
#15
|
elite*gold: 20
Join Date: Feb 2006
Posts: 3,174
Received Thanks: 1,152
|
Quote:
Originally Posted by Bullz
habe auch mithilfe einer bekannten ddl meinen prozess versteckt,
ist das das gleiche als würde ich meine anwendung mit einem rootkid schützen oder ist hier nur eine sehr " einfaches " verstecken... keine ahnung wie ich mich sonst ausdrücken soll
weil für meinen bot will ich natürlich das beste vom besten |
warum versteckst du denn nun deinen Bot nicht mit FU?
wenn du ne bekannte dll nimmst dann musst du dich nicht wundern, wenn warden dich erwischt^^
und den Bot nur im TM verschwinden zu lassen ist nicht sonderlich sicher xD
|
|
|
|
 |
|
Similar Threads
|
Prozess Manager
05/03/2010 - Coding Releases - 7 Replies
So das hier ist mein Prozeess Manager:
Download Link
http://i42.tinypic.com/r0wlyr.jpg
Was er kann/macht:
Oben seht ihr die aktuellen Prozesse. Ihr könnt eine PID oder den einen Prozessnamen eingegben, und der Prozeess wird geschlossen.
Auf Kill Blacklist schließt ihr alle Prozesse die auf der "Blacklist" stehen.
Bei Add Process fügt ihr einen Process zur Blacklist hinzu.
Bei Edit Blacklist könnt ihr die Blacklist löschen.
|
Prozess verstecken
03/09/2010 - 4Story - 9 Replies
Bitte teilnehmen.
Falls jemand eine Möglichkeit hat meinen Prozess vom Hack in den ring0 zu schicken schreibt mich bitte an :D
|
engine.exe prozess beenden
03/05/2010 - Kal Online - 7 Replies
Gibs ne möglichkeit Engine.exe per process zu beenden?<:<..
BEI XP!!!
|
Prozess Frage
01/22/2010 - GW Bots - 5 Replies
Guten Abend Pvpers,
ICh konfrontier euch mal mit ner neuen Frage:D
WICHTIG: Bitte nur sinnvolle Antworten
Und zwar habe ich schon mehrere Bots geschrieben, jedoch bin ich gerade an einem, welcher eine "gute" GUI mal verdient hätte.
So, ich habe in der GUI 4 Radios, welche eine Auswahl an Runs angeben.
Somit steht Radio1 für 50 Runs
Die Main lautet dann (gekürzt):
Dann habe ich in meiner GUI noch einen Progress.
|
Prozess Calculator
03/29/2009 - CO2 Programming - 0 Replies
Hey,
Im looking for a Composing Calculator where I can type in like:
Super 2 Socket +7 2 Hander = +960 +6660 Points
Would be cool if anybody can do something like that.
|
All times are GMT +2. The time now is 18:03.
|
|
