|
You last visited: Today at 20:54
Advertisement
Ram lesen = detectable ?
Discussion on Ram lesen = detectable ? within the General Coding forum part of the Coders Den category.
06/07/2007, 20:09
|
#1
|
elite*gold: 120 
Join Date: Mar 2007
Posts: 392
Received Thanks: 406
|
Hi
Wenn ich mit AutoIT ausm RAM was auslese, kann ein anderes Programm oder Warden das irgendwie feststellen?
Wenn ja, wie kann man das umgehen? weil glider liest ja werte ausm ram.
|
|
|
|
06/07/2007, 20:53
|
#2
|
elite*gold: 20
Join Date: Feb 2006
Posts: 3,174
Received Thanks: 1,152
|
Quote:
Originally posted by PiroX@Jun 7 2007, 20:09
Hi
Wenn ich mit AutoIT ausm RAM was auslese, kann ein anderes Programm oder Warden das irgendwie feststellen?
Wenn ja, wie kann man das umgehen? weil glider liest ja werte ausm ram.
|
da die Routinen von Warden nicht bekannt sind, kann dir wohl keiner die Frage mit sicherheit beantworten.
was man vermuten kann:
da Glider von warden (noch) nicht banned wird kannst du davon ausgehen, dass das auslesen von werten aus dem RAM mittels AutoIt genau so wenig/viel bemerkt wird wie bei Glider (es sei denn Glider benutzt eine spezielle technik - was ich nicht glaube)
Umgehen.... kann man das vermutlich nicht. - Außer du schaffst es vllt Warden rechte zu entziehen (System privilegien) damit die Infos nicht an Warden rausgerückt werden.
Außerdem ist das auslesen eh schwer zu detecten. Da werden nämlich keine Spuren HInterlassen (bzw. Warden müsste jeden Prozess auf zugriffe in den RAM checken -> viel zu viel arbeit)
Falls ich falsche Infos geposted haben sollte - bitte berichtigen 
gruß, rei
|
|
|
|
|
06/07/2007, 21:01
|
#3
|
elite*gold: 120
Join Date: Mar 2007
Posts: 392
Received Thanks: 406
|
thx +karma 4 you
|
|
|
|
|
06/07/2007, 22:44
|
#4
|
elite*gold: 0
Join Date: Jul 2005
Posts: 467
Received Thanks: 8
|
es wuerde fuer warden imho kein problem darstellen zu uebepruefen ob auf die ram zugegriffen wird zur zeit es das blosse auslesen jedoch kein banngrund
|
|
|
|
|
06/08/2007, 03:36
|
#5
|
elite*gold: 0
Join Date: Apr 2007
Posts: 66
Received Thanks: 15
|
Ja, das kann man feststellen. Im Userspace als auch im Kernelspace. Zum einen funktioniert simples API-Hooking auch für Anti-Cheat-Tools, zum anderen kann ein Anti-Cheat-Programm im Kernelspace etliche Methoden dafür aufwenden. Zum einen können auch diese API-Hooking betreiben, zum anderen können die wenn nötig auch Speicherzugriffe direkt abfangen. Damit wäre dann selbst das Auslesen über einen Pointer innerhalb des Prozesses erkennbar, was auch DLL-Injection mit einhergehndem direkten Auslesen sichtbar machen würde.
|
|
|
|
|
06/08/2007, 17:04
|
#6
|
elite*gold: 20
Join Date: Feb 2006
Posts: 3,174
Received Thanks: 1,152
|
Quote:
Originally posted by Leonino@Jun 7 2007, 22:44
es wuerde fuer warden imho kein problem darstellen zu uebepruefen ob auf die ram zugegriffen wird zur zeit es das blosse auslesen jedoch kein banngrund
|
hast recht... es gibt ja noch sowas wie API Spying^^
damit isses easy heraus zufinden, welches programm auf den RAM zugreift.
Aber wenn man das ganze nicht über die API regelt müsste es doch zumindest schwerer werden herauszufinden welches Programm liest - oder?
|
|
|
|
|
06/08/2007, 17:55
|
#7
|
elite*gold: 20
Join Date: Jan 2006
Posts: 539
Received Thanks: 228
|
Schwer ist relativ ... (:
Fuers userland gilt:
Man kann die page mit dem PAGE_NOACCESS/PAGE_GUARD protected, dann endet jeder zugriff in einer access violation, die an warden mittels eines ExceptionFilters (AddVectoredExceptionHandler/SetUnhandledExceptionFilter) "weitergegeben" wird.
kernelmode:
Dort kann man den Physikalischen RAM direkt auslesen.Das sollte man im usermode allerdings nicht mitbekommen, bin mir da aber gerade nicht 100%tig sicher.
|
|
|
|
|
06/09/2007, 00:01
|
#8
|
elite*gold: 120
Join Date: Mar 2007
Posts: 392
Received Thanks: 406
|
und wie ist das dann bei Glider und Cheatengine?
Dann muss doch Warden das easy detecten oder?
|
|
|
|
|
06/09/2007, 00:18
|
#9
|
elite*gold: 20
Join Date: Jan 2006
Posts: 539
Received Thanks: 228
|
Glider kenne ich nicht und cheatengine bietet die Möglichkeit funktionen aus dem kernelmode zu benutzen.
|
|
|
|
|
06/09/2007, 01:48
|
#10
|
elite*gold: 120
Join Date: Mar 2007
Posts: 392
Received Thanks: 406
|
bietet autoit auch diese möglichkeit wie cheatengine ?
<hr>Append on Jun 9 2007, 01:52<hr> mit noMadmeroy wird dat gemacht
Local $ah_Handle[2] = [DllOpen('kernel32.dll')]
ist das kernelk mode und somit sicher ?
<hr>Append on Jun 9 2007, 02:02<hr> ich würd das nähmlich wirklich gern wissen, auf was man als programmierer achten muss, damit er undetectable bleibt. Vorallem bei AutoIt, da die Sprache sehr gute Hilfe bietet.
|
|
|
|
|
06/09/2007, 11:15
|
#11
|
elite*gold: 20
Join Date: Jan 2006
Posts: 539
Received Thanks: 228
|
Nein, die kernel32 ist eine library, die system nahe funktionen bietet. Das ganze hat nichts mit dem kernel mode zu tun. Wenn autoit keinen treiber läd, kannst du zu 99% ausschließen, dass autoit kernel mode funktionen benutzt.
|
|
|
|
|
06/09/2007, 17:28
|
#12
|
elite*gold: 120
Join Date: Mar 2007
Posts: 392
Received Thanks: 406
|
thx für den post.
Nun noch ne konkrete letze Frage.
Werde ich gebant, wenn ich mit AutoIt ausm WoW Ram lese? Wenn ja mit welcher Wahrscheinlichkeit? Und sollte ich das dann lieber nicht für Bots nutzen?
und ich denke nicht, das AutoIt treiber läd. (werde mich informieren)
WoW NUTZUNGSBESTIMMUNGEN
Code:
(iii) Software von Drittanbietern benutzen, die "Datamining" ermöglicht oder auf andere Weise Informationen von oder durch World of Warcraft abfängt oder sammelt.
QUOTE (Leonino @ Jun 7 2007, 22:44)
Code:
es wuerde fuer warden imho kein problem darstellen zu uebepruefen ob auf die ram zugegriffen wird zur zeit es das blosse auslesen jedoch kein banngrund
|
|
|
|
|
06/10/2007, 09:53
|
#13
|
elite*gold: 20
Join Date: Jan 2006
Posts: 539
Received Thanks: 228
|
Ich kann nur spekulaieren:
Ich habe mal ein paper von Greg Hoglund gelesen welches sich mit warden befasst hat, ich meine gelesen zu haben, dass warden _keine_ dll in einen anderen prozess laed und auch keinen treiber laed, somit kann man praktisch ausschließen, dass warden einen aufruf von readprocessmemory mitbekommt. Es gibt auch ein g15 applet welches spieler daten aus dem speicher ausließt.
Warden imho scannt nur mittels footprint, also nach geblacklisteten string/hashes.
|
|
|
|
|
06/10/2007, 14:06
|
#14
|
elite*gold: 120
Join Date: Mar 2007
Posts: 392
Received Thanks: 406
|
merci <3
|
|
|
|
 |
Similar Threads
|
detectable?
07/08/2010 - Aion - 2 Replies
Hi guys.
Quick question. Im buying an account on retail but the seller and I dont have the same country and he hasnt played for awhile. Will NCSoft detect that an account played from countryA suddenly will reactivate and be played from countryB. Is this grounds for banning? Anyone have any info/experience about this?
Im very sure they can see IPs so they should be able to do this. But will they bother looking after this and will they ban for it?
|
IE.au3 detectable?
04/27/2009 - General Coding - 4 Replies
Moin leute,
für ein Browsergame würde ich gern ein Autoit Script machen mich quält aber die Frage ob ich entdeckt werden kann.
Durch Befehle wie _ienavigate und _ieclicklinkbytext.
Sicherheit geht für mich auf jedenfall vor. Ich würde mir auch einen Bot mit Mousemove basteln, mit ie_navigate ist es aber bequemer ;).
Hat jemand eine Ahnung ob der Bot detectable sein könnte? Ein Risiko möchte ich keinesfalls eingehen.
MfG der Peter :)
|
which is more detectable?
11/10/2006 - Conquer Online 2 - 13 Replies
is coboto more detectable than copanther? or are they the same..?
|
WARNING!EVERYTHING DETECTABLE!
08/29/2006 - Conquer Online 2 - 5 Replies
Everything is detectable now, even CotoBo last version if u use effect removal or any cotobo tool u'll be sent to jail so stop using it ASAP.
Check out the Bot jail at Triumph.
http://www.zerowaitingtime.com/2834-downlo...d-32 2903119.jpg
|
AFK-Bot detectable?
02/19/2006 - World of Warcraft - 3 Replies
Hi Leutz, sacht mal..
gibts noch nen AFK Bot der nicht detectable ist bzw wie mach ich ihn undetectable? wäre interessant da ich immernoch Alterac ruf brauche und es da ja wohl leider keine anderen exploids mehr gibt... oder? ;)
Danke schonma für die hilfe.... Cu
|
All times are GMT +2. The time now is 20:54.
|
|
