Requia

[n3Cre0]

Quote:

Originally posted by x-sol@Jan 30 2007, 18:01
<hr>Append on Jan 30 2007, 18:04<hr> n3Cre0 - don't talk to me. I have no respect for you. I do at least respect Harko.

Hehe and that addition is a reaction to what?

Besides no worries I don't repect you aswell but neither does Harko

Clown

[Harko]

Quote:

Das ist gar nicht mal so doof. Die Frage ist nur, wie weit ich mich hier austoben könnte, wenn ich mich entscheide so etwas zu implementieren, bis das mit meiner Anti-Detection kollidiert (sprich der "Schutz" nicht mehr in dem Maße gewährleistet ist). Wenn meine Anti-Detection geladen wird, hookt es automatisch auch selbst diverse lokale Aufrufe (bsp. new) und ich könnte den Code hier nicht einfach in einen virtuellen Bereich verschieben und ihn dort ausführen, da hier der EIP auf dem Stack z. B. entscheident für das Resultat des Aufrufs sein kann. Es schockt wirklich nicht paar Tausend Zeilen Code durchzugehen und schauen, ob das irgendwo kollidiert. Die Anti-Detection selbst ist für außenstehende, die gerade erstmal mit ASM angefangen haben und OllyDbg/IDA bedienen können unüberwindbar. Sie selbst ist nicht perfekt. Ich würde Lücken finden und ausnutzen können. Bei Anti-Detection geht es im großen und ganzen nicht darum einen "perfekten" Schutz zu haben, den es aus technischer Sicht sowieso nie geben wird, sondern es so aufwendig zu gestalten, dass es sich für niemanden mehr lohnt ihn zu durchdringen. Ob meine Anti-Detection etwas taugt, müsste noch mit einer Veröffentlichung bewiesen werden, von daher halte ich hier den Ball etwas flacher.

Anti Detection ist ein Katz und Mausspiel das man nicht gewinnen kann bei Online Spiele. Warden z.B. hat Tests die indirekt einfach nur schauen ob eine bestimmte API gehooked ist, ob ein 0xCC Breakpoint drauf ist usw oder die den kompletten eigenen Process Speicher mit recht unüblichen Methoden zu scannen.

Da das ganz jederzeit bei RunTime vom Server aktualisiert werden kann hat man auf lange Sicht eh keine Chance außer man macht es nicht public oder man verändert nichts sodaß sie auch nichts finden können.

Wenn man natürlich den Crap glaubt den man in Foren lesen kann wie "aber die scannen meine Windows Titel" hilt Anti-Detection sicher um ein gutes Gewissen zu haben

edit:

Quote:

Die Anti-Detection selbst ist für außenstehende, die gerade erstmal mit ASM angefangen haben und OllyDbg/IDA bedienen können unüberwindbar.

achja man darf denke ich schon davon ausgehen das Warden/XTrap/GameGuard Programmierer keine Probleme damit haben werden egal was zu analysieren. Erstens bekommen sie Geld dafür und zweitens haben sie schon bewiesen das sie programmieren können.

[x-sol]

Quote:

Originally posted by n3Cre0+Jan 30 2007, 11:17--></span><table border='0' align='center' width='95%' cellpadding='3' cellspacing='1'><tr><td>QUOTE (n3Cre0 @ Jan 30 2007, 11:17)</td></tr><tr><td id='QUOTE'> <!--QuoteBegin--x-sol@Jan 30 2007, 18:01
<hr>Append on Jan 30 2007, 18:04<hr> n3Cre0 - don't talk to me. I have no respect for you. I do at least respect Harko.

Hehe and that addition is a reaction to what?

Besides no worries I don't repect you aswell but neither does Harko

Clown [/b][/quote]
yarria, yarria. because, I saw you on the thread. And, Harko respects no one.... least of all me...

@Harko

I didn't have a point. I was just shooting my mouth off. Thanks for the correction of the eip.

<hr>Append on Jan 30 2007, 18:49<hr> well, maybe my point was that is how simple it can be to find an offset.... narrow the incoming/outgoing function calls then perform the taks you want info on... then maybe check eip or watch the stack... maybe I do need to read more on asm... maybe, you need to help people learn instead of looking down on them for trying.. maybe smurf's are best after turned to gold.. maybe... why ask why drink bud dry

<hr>Append on Jan 30 2007, 18:52<hr> oh, one more bit for Harko. You expect to see it? I told you many times I will never publish it. You would have to get it from someone I shared it with. I know better than to open myself up to all the mess of supporting free public domain software....

[SilonVier]

Quote:

Originally posted by Harko+Jan 30 2007, 18:36--></span><table border='0' align='center' width='95%' cellpadding='3' cellspacing='1'><tr><td>QUOTE (Harko @ Jan 30 2007, 18:36)</td></tr><tr><td id='QUOTE'>Anti Detection ist ein Katz und Mausspiel das man nicht gewinnen kann bei Online Spiele.[/b]

Das stimmt, der Verteidiger ist hier klar im Vorteil. Der Kampf ist erst Recht hoffnungslos, wenn die Anti-Detection komplett im Userland läuft und die Anti-Cheat-Software im Kernelmode - wie es bei den meisten Spielen mit einer Anti-Detection der Fall ist, bis auf Warden.

Quote:

Originally posted by -Harko@Jan 30 2007, 18:36
Warden z.B. hat Tests die indirekt einfach nur schauen ob eine bestimmte API gehooked ist, ob ein 0xCC Breakpoint drauf ist usw oder die den kompletten eigenen Process Speicher mit recht unüblichen Methoden zu scannen.

Es gab in Diablo 2 wirklich gute Versuche eine funktionstüchtige Anti-Detection zu erstellen, aber in jeder hat Blizzard eine Lücke gefunden. Damit meine ich nicht mal die kläglichen Versuche von netter, der überlistet wurde, indem Blizzard den Prolog-Code einer Funktion rekonstruiert hat und seinen Hook einfach übersprungen.
Ich habe eine Idee, die ich früher oder später gerne implementieren würde und dafür müsste ich in den Kernelmode. Endlich wieder prachtvolle Bluescreens ;-)

Quote:

Originally posted by -Harko@Jan 30 2007, 18:36
Da das ganz jederzeit bei RunTime vom Server aktualisiert werden kann hat man auf lange Sicht eh keine Chance außer man macht es nicht public oder man verändert nichts sodaß sie auch nichts finden können.

Den Prozess nicht - zumindest nicht direkt - zu verändern, war in der Vergangenheit auch keine gute Lösung sich davor zu schützen. Du weisst das sie auch außerhalb des eigenen Prozesses scannen (erwähnst du ja einen Tick später).

Quote:

Originally posted by -Harko@Jan 30 2007, 18:36
Wenn man natürlich den Crap glaubt den man in Foren lesen kann wie "aber die scannen meine Windows Titel" hilt Anti-Detection sicher um ein gutes Gewissen zu haben

Hähä wieso auch nicht? Nein. Die meisten, die an so etwas glauben, sind eher Computerlaie. Netter beispielsweise hat nach zich Banwellen (tausenden gebannten Accounts), immernoch genug User über Monate überzeugen können mit dem Spruch: "Ja, jetzt habe ich es gefixt und nun ist es absolut sicher!". Von daher sage ich, dass viele auch nicht aus Fehler lernen ... und andere nutzen das aus.

<!--QuoteBegin--Harko@Jan 30 2007, 18:36

edit:

Quote:

Die Anti-Detection selbst ist für außenstehende, die gerade erstmal mit ASM angefangen haben und OllyDbg/IDA bedienen können unüberwindbar.

achja man darf denke ich schon davon ausgehen das Warden/XTrap/GameGuard Programmierer keine Probleme damit haben werden egal was zu analysieren. Erstens bekommen sie Geld dafür und zweitens haben sie schon bewiesen das sie programmieren können. [/quote]
Ich meine damit auch eher, dass die Anti-Detection wieder automatisch einen Anti-Reversing Teil abdeckt und die Software vor Kindern schützt, die meine Function Pointer haben wollen ;-)
Das man selbst trotzdem unterlegen ist gegen Anti-Cheat-Software, liegt klar auf der Hand. Ihnen es so leicht zu machen, wie der Vergleich am Offset 0xDEADBEEF mit int03(0xcc), muss auch nicht sein. Wenn sie zwischendurch 5x zum Kaffeeautomaten gegangen sind, hat sich das gut gelohnt ;-)

[Harko]

Quote:

Den Prozess nicht - zumindest nicht direkt - zu verändern, war in der Vergangenheit auch keine gute Lösung sich davor zu schützen. Du weisst das sie auch außerhalb des eigenen Prozesses scannen (erwähnst du ja einen Tick später).

Kann sein das sie in der Vergangenheit mal hatten aber dann wieder rausgenommen haben.

Code:

Warden protection routines:

0. >> force send data
>> ends the current scan process and force send to the server
input:
output:
sends the data output buffer

// type 1 : get client memory

1.1. >> get client memory
>> copies memory from offset into the output buffer 
input:
db  : argument in data stack (module name) or 0
dd  : address offset
db  : data length
output:
db  : 0 - ok, 1 - something wrong
db*? : copied memory data

1.2. >> get client memory with direct pointer (first reads address at address offset)
>> redirected memory reading at offset
input:
db  : argument in data stack (module name) or 0
dd  : address offset
db  : data length
output:
db  : 0 - ok, 1 - something wrong
db*? : copied memory data

1.3. >> get client memory with stack trace
input:
db  : cnt in FrameEBP (stack trace backward from current ret EIP)
db  : data length
output:
db*? : copied memory data

// type 2 : get hash of client file

2. >> check client file
- checks if specific wow/d2 files are manipulated
input:
db  : argument in data stack (mostly 1 for the first string)
output:
db  : 0 - ok, 1 - something wrong
dd*5 : hash

// type 3 : find module in current process

3.1. >> find module by name
>> module search by hash signatures of the module name
input:
db*4 : init hash value
dd*5 : blacklisted hash
output:
db  : 0 - nothing found, e9 - module found

3.2. >> find module by memory hash
>> module search by hash signatures
- Module32First / Module32Next
- iterates every module
- use hash of a few bytes at offset to find specific blacklisted modules
db*4 : init hash value
dd*5 : blacklisted hash
dd  : offset 
db  : data length
output:
db  : 0 - nothing found, e9 - module found

3.3. >> find module by name in export table
>> module name search by complete memory and export table scan
- scans the whole memory area with NtQueryVirtualMemory
- searchs for module memory blocks
- use allocation base and export table to get original name
- calls directly ntdll!NtQueryVirtualMemory
- includes int3 breakpoint check for ntdll!NtQueryVirtualMemory
- bypass int3 breakpoints at ntdll!NtQueryVirtualMemory 
input:
db*4 : init hash value
dd*5 : blacklisted hash
output:
db  : 0 - nothing found, e9 - module found

3.4 >> find injected memory by hash
input:
db*4 : init hash value
dd*5 : blacklisted hash
dd  : offset
db  : length
output:
db  : 0 - nothing found, e9 - module found

4.1. >> DbgUiRemoteBreakin hook check
- checks content at api address when hook installed
- hashs redirected code and compares it 
input:
db*4 : init hash value
dd*5 : blacklisted hash
dw  : offset
db  : data lenght
output:
db  : 0 - nothing found, e9 - module found

4.2. >> NtQueryVirtualMemory hook check
- checks content at api address when hook installed
- hashs redirected code and compares it
input:
db*4 : init hash value
dd*5 : blacklisted hash
dw  : offset
db  : data length
output:
db  : 0 - nothing found, e9 - module found

komplette Liste mit allen Detection Methoden die vor 1-2 Monaten in Warden drin waren. Alle überprüfen nur den eigenen Process Speicher.

Ich hatte um die 200+ Module analysiert. Und alle hatten als Kern exakt diese Funktionen.

Mit WoW Version 2.0 kamen neue hinzu aber noch keine Zeit gehabt sie anzuschauen aber sollte auch nur Variationen von denen oben sein.

[SilonVier]

Warden in Diablo 2 hat auch die Prozesse außerhalb des eigenen Prozessen überprüft (Toolhelp API und dann die Checksumme von manchen Modulen erstellt und verglichen). Nach was er genau gesucht hat, konnte ich in dem Fall nicht genau feststellen.
In Diablo 2 war Warden eigentlich schon immer ziemlich Faul.

Von deiner Liste habe ich die folgenden Module in Diablo 2 gesehen, die auch oft benutzt wurden:

Quote:

1.1. >> get client memory
>> copies memory from offset into the output buffer
input:
db : argument in data stack (module name) or 0
dd : address offset
db : data length
output:
db : 0 - ok, 1 - something wrong
db*? : copied memory data

3.1. >> find module by name
>> module search by hash signatures of the module name
input:
db*4 : init hash value
dd*5 : blacklisted hash
output:
db : 0 - nothing found, e9 - module found

3.2. >> find module by memory hash
>> module search by hash signatures
- Module32First / Module32Next
- iterates every module
- use hash of a few bytes at offset to find specific blacklisted modules
db*4 : init hash value
dd*5 : blacklisted hash
dd : offset
db : data length
output:
db : 0 - nothing found, e9 - module found

Das war noch stark bei der Einführung in Warden in Diablo 2 (wenn ich das richtig im Kopf habe, wurde Warden vorher schon eine längere Zeit in WC3 benutzt (ich hatte nie das Spiel))
Die anderen Module werden heute sicherlich auch in D2 vorzufinden sein.

[x-sol]

holly, linguistic challenge Batman! I sure wish I could read all that german!

[Term!nX]

Eine Sache, was gedenkst du zu tun, wenn Farmen selbst für ein Script zu kompliziert wird und Anet 100+ connections (oder weniger) von einer IP detected?

[kalvam]

A-Net entdeckt ohne weiteres schon das mitunter über 100 Verbindungen von einer IP ausgehen aber solange in der EULA nichts drin steht das mehrere Verbindungen von einer IP nicht erlaubt sind werden sie da auch nichts gegen tun (können).
Der erstere Fall ist Utopie, zu dem Zeitpunkt wäre das Spiel an einem unspielbaren Standpunkt angekommen.

[Term!nX]

Hm, wenn man aber 100+ connections entdeckt, dann würde mir der stärkste Verdacht kommen, dass dort Programme laufen, die nicht mit der Eula zu verinbaren sind. Dann müsste man nur noch genauer hinschauen und den kleinsten Anlass zum Bann nutzen.

Ich denke, wenn Gates of Kryta, Elona etc. so generft werden, dass man nur noch mit 2 Leuten auf komplizierte Weise farmen kann, dann dürfte es schwer werden. Es müsste beinahe unmöglich sein, ein funktionierendes UW-Farmscript zu programmieren, und wenn dann farmen an bekannten Plätzen genauso kompliziert wird, bringen meiner Meinung nach die tollsten Bots nicht mehr viel.

[kalvam]

Es gibt auch Netzwerkcafés von denen man GuildWars spielen kann und die gehen normalerweise auch über ein und dieselbe Leitung ins Internet weshalb A-Net sich hüten wird so Massenuser zu belauern.
Und ab dem Zeitpunkt wo farmen so kompliziert geworden ist das ein Bot das nicht mehr hinbekommt, ab dem Punkt ist GW dann auch nicht mehr für den normalen Spieler brauchbar.

[Term!nX]

An Internetcafés hab ich nicht gedacht, das stimmt.

Ja, Onlinespiel ohne farmen ist irgendwie richtige Welt ohne Arbeit. Deswegen weiss ich nicht, was Anet gegen das Farmen hat, die "KI"-Updates treffen eh nur die kleinen Botter-Fische.

[Harko]

Quote:

Ja, Onlinespiel ohne farmen ist irgendwie richtige Welt ohne Arbeit. Deswegen weiss ich nicht, was Anet gegen das Farmen hat, die "KI"-Updates treffen eh nur die kleinen Botter-Fische.

ANet hat nichts gegen das Farmen, da es die Spieler an GW bindet und somit positiv ist. Sie haben aber etwas gegen die erkennbaren AutoIT Bots. Warum? Überleg mal was für ein Image Blizzard durch D2 bekommen hatte und ob dies positiv oder negativ für eine Firma ist.

Andere Sache ist, jedes Onlinespiel ist ein kleines Wirtschaftssystem in sich selber. Wenn ein normaler Spieler 1000gold pro Stunde farmt aber 100.000gold für ein Item bezahlen müßte weil die Inflation soweit voran geschritten ist. Wird er ANet ein Vogel zeigen und das Spiel direkt deinstallieren. Deswegen scannen sie auch in regelmäßigen Abständen ihre komplette Datenbank und banen Accounts direkt.

[Term!nX]

Anet hat nur was gegen Farmbots. Gut für die, die ihn haben, aber schlecht für jene, die auf ehrliche Art und Weise ihr Geld "verdienen". Da muss man aber mal überlegen, denn wer farmt mehrere Tage, wenn man für 5 Eumel 100p bekommt.
Aber besonders Fit im Bannen scheinen die nicht zu sein, man bedenke die Zeit als bestimmt 70 Bots bei Elona im int-Dis gefarmt haben (wo es auch 100% erkennbar war, dass es Bots waren) und niemand was unternahm. Es wäre eine Arbeit von wenigen Minuten gewesen, diese alle zu bannen. Und meine Accounts sind komischerweise auch nicht gebannt worden, als die riesige Bannwelle kam. Wenn die die nächste Bannwelle wieder überleben, dann zeig ich Anet auch den Vogel.

Bin sowieso der Meinung, dass die Spielwirtschaft völlig im Eimer ist. Der Realm-Exploit hat denke ich mal mehr Geld in die Kassen gespült als alles andere, die ganzen Bots haben auch zu viel Geld in den Umlauf gebracht. Da hat sich eine übermäßig reiche "Oberschicht" gebildet, die sich alles leisten kann, und eine Unterschicht, die sich durch das zT generfte Farmen kaum noch über Wasser halten kann. Die ganzen Updates treffen eh nur die armen Säcke die nicht viel Zeit in das Spiel investieren und nicht so erfahren sind. Die Gurus, die sowieso stinkreich sind, lachen doch über die "Updates".

[ChotaZ]

still noone found a way of using Requia for GW/RF?