Wenn ich mit AutoIT ausm RAM was auslese, kann ein anderes Programm oder Warden das irgendwie feststellen?
Wenn ja, wie kann man das umgehen? weil glider liest ja werte ausm ram.
da die Routinen von Warden nicht bekannt sind, kann dir wohl keiner die Frage mit sicherheit beantworten.
was man vermuten kann:
da Glider von warden (noch) nicht banned wird kannst du davon ausgehen, dass das auslesen von werten aus dem RAM mittels AutoIt genau so wenig/viel bemerkt wird wie bei Glider (es sei denn Glider benutzt eine spezielle technik - was ich nicht glaube)
Umgehen.... kann man das vermutlich nicht. - Außer du schaffst es vllt Warden rechte zu entziehen (System privilegien) damit die Infos nicht an Warden rausgerückt werden.
Außerdem ist das auslesen eh schwer zu detecten. Da werden nämlich keine Spuren HInterlassen (bzw. Warden müsste jeden Prozess auf zugriffe in den RAM checken -> viel zu viel arbeit)
Falls ich falsche Infos geposted haben sollte - bitte berichtigen
es wuerde fuer warden imho kein problem darstellen zu uebepruefen ob auf die ram zugegriffen wird zur zeit es das blosse auslesen jedoch kein banngrund
Ja, das kann man feststellen. Im Userspace als auch im Kernelspace. Zum einen funktioniert simples API-Hooking auch für Anti-Cheat-Tools, zum anderen kann ein Anti-Cheat-Programm im Kernelspace etliche Methoden dafür aufwenden. Zum einen können auch diese API-Hooking betreiben, zum anderen können die wenn nötig auch Speicherzugriffe direkt abfangen. Damit wäre dann selbst das Auslesen über einen Pointer innerhalb des Prozesses erkennbar, was auch DLL-Injection mit einhergehndem direkten Auslesen sichtbar machen würde.
Originally posted by Leonino@Jun 7 2007, 22:44 es wuerde fuer warden imho kein problem darstellen zu uebepruefen ob auf die ram zugegriffen wird zur zeit es das blosse auslesen jedoch kein banngrund
hast recht... es gibt ja noch sowas wie API Spying^^
damit isses easy heraus zufinden, welches programm auf den RAM zugreift.
Aber wenn man das ganze nicht über die API regelt müsste es doch zumindest schwerer werden herauszufinden welches Programm liest - oder?
Fuers userland gilt:
Man kann die page mit dem PAGE_NOACCESS/PAGE_GUARD protected, dann endet jeder zugriff in einer access violation, die an warden mittels eines ExceptionFilters (AddVectoredExceptionHandler/SetUnhandledExceptionFilter) "weitergegeben" wird.
kernelmode:
Dort kann man den Physikalischen RAM direkt auslesen.Das sollte man im usermode allerdings nicht mitbekommen, bin mir da aber gerade nicht 100%tig sicher.
bietet autoit auch diese möglichkeit wie cheatengine ?
<hr>Append on Jun 9 2007, 01:52<hr> mit noMadmeroy wird dat gemacht
Local $ah_Handle[2] = [DllOpen('kernel32.dll')]
ist das kernelk mode und somit sicher ?
<hr>Append on Jun 9 2007, 02:02<hr> ich würd das nähmlich wirklich gern wissen, auf was man als programmierer achten muss, damit er undetectable bleibt. Vorallem bei AutoIt, da die Sprache sehr gute Hilfe bietet.
Nein, die kernel32 ist eine library, die system nahe funktionen bietet. Das ganze hat nichts mit dem kernel mode zu tun. Wenn autoit keinen treiber läd, kannst du zu 99% ausschließen, dass autoit kernel mode funktionen benutzt.
thx für den post.
Nun noch ne konkrete letze Frage.
Werde ich gebant, wenn ich mit AutoIt ausm WoW Ram lese? Wenn ja mit welcher Wahrscheinlichkeit? Und sollte ich das dann lieber nicht für Bots nutzen?
und ich denke nicht, das AutoIt treiber läd. (werde mich informieren)
WoW NUTZUNGSBESTIMMUNGEN
Code:
(iii) Software von Drittanbietern benutzen, die "Datamining" ermöglicht oder auf andere Weise Informationen von oder durch World of Warcraft abfängt oder sammelt.
QUOTE (Leonino @ Jun 7 2007, 22:44)
Code:
es wuerde fuer warden imho kein problem darstellen zu uebepruefen ob auf die ram zugegriffen wird zur zeit es das blosse auslesen jedoch kein banngrund
Ich habe mal ein paper von Greg Hoglund gelesen welches sich mit warden befasst hat, ich meine gelesen zu haben, dass warden _keine_ dll in einen anderen prozess laed und auch keinen treiber laed, somit kann man praktisch ausschließen, dass warden einen aufruf von readprocessmemory mitbekommt. Es gibt auch ein g15 applet welches spieler daten aus dem speicher ausließt.
Warden imho scannt nur mittels footprint, also nach geblacklisteten string/hashes.
detectable? 07/08/2010 - Aion - 2 Replies Hi guys.
Quick question. Im buying an account on retail but the seller and I dont have the same country and he hasnt played for awhile. Will NCSoft detect that an account played from countryA suddenly will reactivate and be played from countryB. Is this grounds for banning? Anyone have any info/experience about this?
Im very sure they can see IPs so they should be able to do this. But will they bother looking after this and will they ban for it?
IE.au3 detectable? 04/27/2009 - General Coding - 4 Replies Moin leute,
für ein Browsergame würde ich gern ein Autoit Script machen mich quält aber die Frage ob ich entdeckt werden kann.
Durch Befehle wie _ienavigate und _ieclicklinkbytext.
Sicherheit geht für mich auf jedenfall vor. Ich würde mir auch einen Bot mit Mousemove basteln, mit ie_navigate ist es aber bequemer ;).
Hat jemand eine Ahnung ob der Bot detectable sein könnte? Ein Risiko möchte ich keinesfalls eingehen.
MfG der Peter :)
which is more detectable? 11/10/2006 - Conquer Online 2 - 13 Replies is coboto more detectable than copanther? or are they the same..?
WARNING!EVERYTHING DETECTABLE! 08/29/2006 - Conquer Online 2 - 5 Replies Everything is detectable now, even CotoBo last version if u use effect removal or any cotobo tool u'll be sent to jail so stop using it ASAP.
Check out the Bot jail at Triumph.
http://www.zerowaitingtime.com/2834-downlo...d-32 2903119.jpg
AFK-Bot detectable? 02/19/2006 - World of Warcraft - 3 Replies Hi Leutz, sacht mal..
gibts noch nen AFK Bot der nicht detectable ist bzw wie mach ich ihn undetectable? wäre interessant da ich immernoch Alterac ruf brauche und es da ja wohl leider keine anderen exploids mehr gibt... oder? ;)
Danke schonma für die hilfe.... Cu
