Einfach die Melde-Funktion des Hackshields umgehen

Mi4uric3 · 12/10/2011, 18:16

Quote:

Originally Posted by knoertenbonk

Wenn ich auf einem anderen Server spiel (zum beispiel Metin2 PL), wie kann ich dann die Ip des Servers finden ?

1. Starte es, ohne dass es Administrator-Rechte hat und starte Cheat Engine
2. Suche nach "Metin2User"
3. In der Nähe davon ist dann die IP zu finden (Siehe Screenshots)

Aber zu 99% handelt es sich um die selbe IP-Adresse..

Mi4uric3 · 12/10/2011, 19:09

Quote:

Originally Posted by MovingAverage

Wie?

Mit einem Hex-Editor bearbeiten :)

Computerfreek · 12/10/2011, 19:20

Quote:

Originally Posted by Mi4uric3

Mit einem Hex-Editor bearbeiten

Selbst ohne den erweiterten Schutz könnte er mit Themida Probleme bekommen. Da scheitern erfahrungsgemäß sogar eher erfahrene User dran.
Ich hab das übrigends mit ihm per PN geklärt nachdem er mir die metin2client.bin aus seinem Clienten gesendet hat.
Mit der Vermutung es sei die gleiche IP liegst du goldrichtig

Mi4uric3 · 12/10/2011, 21:15

Quote:

Originally Posted by MovingAverage

Öääh, machst du mir das etwas einfacher? xD

Nicht nötig, ist bei allen Clients die ein Hackshield haben die selbe IP

smokeaholic · 12/11/2011, 04:26

Quote:
Originally Posted by Mi4uric3
Quote:
Originally Posted by smokeaholic
Ohne hosts Eintrag wird 79-110-88-84.gfsrv.net (zumindest bei mir) gar nicht erst aufgelöst:
Code:
C:\>ping 79-110-88-84.gfsrv.net
Ping-Anforderung konnte Host "79-110-88-84.gfsrv.net" nicht finden.
Überprüfen Sie den Namen, und versuchen Sie es erneut.
Mit Eintrag kommt dann selbstverfreilich localhost raus ... aber wenns zu keiner Auflösung kommt ist das mMn glaub überflüssig ...
Ich wurde von einem User dazu aufgefordert, das [].gfsrv.net zum Tutorial hinzuzufügen..

Mich würd halt interessieren ob die .gfsrv.net Adresse nur bei mir nicht aufgelöst wird. Wenn das der Regelfall ist wäre der Eintrag ja im Prinzip nutzlos

Quote:

Originally Posted by Mi4uric3

Bei mir funktioniert 127.0.0.1 einwandfrei

Quote:

Originally Posted by Computerfreek

Ich denke er meint bei seiner route-Alternative welche wenn man es genauer betrachtet besser ist, weil wirklich alles was an die IP geht umgeleitet wird.
Dort funktioniert das 127.0.0.1 nicht. Bei der hosts-Datei geht das natürlich, da hast du Recht

Bingo, genau so wars gemeint

War etwas unter Zeitdruck und hätte mir für das Posting wohl etwas mehr Zeit nehmen sollen

Die hosts Datei ist eigentlich ein guter Ansatz aber wenn die eine Adresse nicht aufgelöst werden kann und sich eine IP nicht umleiten lässt dürfte das ins Leere laufen.

Ich lasse mich aber gerne vom Gegenteil überzeugen

bb

dat smoky

Mi4uric3 · 12/11/2011, 07:43

Quote:

Originally Posted by smokeaholic

Die hosts Datei ist eigentlich ein guter Ansatz aber wenn die eine Adresse nicht aufgelöst werden kann und sich eine IP nicht umleiten lässt dürfte das ins Leere laufen.

Ich lasse mich aber gerne vom Gegenteil überzeugen

bb
dat smoky

Ich denke schon, dass du Recht hast, aber scheinbar wird die IP-Addresse aufgelöst (was eigentlich schwachsinnig ist..), denn ich wurde noch nie gebannt, obwohl ich dauernd irgendwelche Hackshield-Meldungen habe.. Wenn ich dann von Usern lese, die jeden Tag gebannt werden, dann muss ich doch denken, dass es funktioniert, oder?

smokeaholic · 12/11/2011, 08:29

Ich wäre der letzte, der ausgerechnet deine Kompetenz in Frage stellt, dafür hab ich zuviel von dir gelesen

Keine Ahnung was warum bei dir nen Bann verhindert aber bei der hosts fehlt mir der logische Hintergrund, ping und tracert sagen zumindest was anderes und ich glaube kaum, dass sich der Metin Client darüber hinwegsetzt und sich die hosts selbst schnappt um die Einträge zu befolgen ^^

Bei den gebannten Usern geh ich eher mal von überheizten Einstellungen aus, nem grundsätzlichen unvorsichtigen Fehlverhalten, angeln auf Maps ohne Wasser, uppen auf ner Map ohne Schmied und/oder auch von heftiger kontrollierten Servern wie z.B. dem DAU-Paradies S25, anders kann ich mir nen täglichen Bann nu wirklich nicht vorstellen...
Das mit dem Uppen im OT hatte auch kamarun mal beim Testen seines Mods nen Bann gebracht wenn ich mich recht erinnere.

bb

dat smoky

Edith meldet sich:

Quote:

Originally Posted by Mi4uric3

...denn ich wurde noch nie gebannt, obwohl ich dauernd irgendwelche Hackshield-Meldungen habe..

Hattest du nicht irgendwo mal erwähnt (oder kamer), dass die Funktion zwar drin ist aber noch nicht wirklich aktiv?

smokeaholic · 12/11/2011, 09:26

Quote:

Originally Posted by MovingAverage

Ich denke das schon... Vor allem,weil man's ja im Memory Viewer sehen kann & meine Firewall sagt mir dasselbe ^^
Ich glaub aber, der Client holt sich zunächst von 79.110.88.84 ( genau so wie du von google ) die Info, dass die exakte Adresse 79-110-88-84.gfsrv.net heißt & sendet anschließend dorthin die Informationen. Ich verstehe nicht so ganz, warum der Client das nicht können soll?!
Belehrt mich

Ehm ... das war eher ironisch und nicht ernst gemeint Oo
Ausserdem hole ich mir hierbei nichts von google

Ein Ping/Traceroute auf die IP zeigt zwar den gfsrv.net-Namen an aber selbiges andersrum auf den Namen selbst schlägt fehl und wenn das OS beim Namen scheitert frag ich mich worauf sich der Client bezieht ... hat der nen eigenen DNS Server bzw. ne eigene Namespace Auflösung?

Falls ich nu komplett daneben liegen sollte geb ich auf und mach lieber was womit ich mich besser auskenne ... Staubflusen sortieren, Waschlappen bügeln oder was auch immer

Mi4uric3 · 12/11/2011, 10:48

Quote:

Originally Posted by smokeaholic

Ich wäre der letzte, der ausgerechnet deine Kompetenz in Frage stellt, dafür hab ich zuviel von dir gelesen

Irren ist menschlich ;*
Ich kann auch nur das wiedergeben, was ich mal irgendwann gelernt habe, und das kann natürlich auch falsch sein :|

Quote:

Originally Posted by smokeaholic

Hattest du nicht irgendwo mal erwähnt (oder kamer), dass die Funktion zwar drin ist aber noch nicht wirklich aktiv?

Wohl eher KaMeR1337..
Ich bin, durch das Lesen der ganzen "Bann"-Meldungen davon ausgegangen, dass es bei mir daran liegt, dass ich die Hosts-File editiert habe..

.SkyneT. · 12/11/2011, 11:34

Quote:

Originally Posted by Mi4uric3

1. Starte es, ohne dass es Administrator-Rechte hat und starte Cheat Engine
2. Suche nach "Metin2User"
3. In der Nähe davon ist dann die IP zu finden (Siehe Screenshots)

Aber zu 99% handelt es sich um die selbe IP-Adresse..

Warum sollte sich soetwas auch ändern wenn man es während der Laufzeit ausliest.

Außerdem sollte man die IP auch ohne CE herausbekommen, indem man einfach absichtlich eine Meldung vom Hackshield auslöst, und währenddessen
(zb mit WPE) alle Packete von dem Programm abfängt.

Btw:
Ich würde die IP von der Firewall sperren lassen, anstatt sie mit der hosts Datei "umzuleiten" .

.SkyneT. · 12/11/2011, 11:54

Quote:

Originally Posted by MovingAverage

Kann mir mal einer erklären, wie man das in der Firewall sperrt?

cmd -> netsh -> firewall -> set portopening /?
(Rest durch logisches denken oder googeln herausfinden

)

Btw wie seit ir auf den komischen host im ersten Post gekommen ?
Ich bekomm nur den hier: kvm75.aixit4.gfsrv.net

Computerfreek · 12/11/2011, 14:10

Quote:

Originally Posted by smokeaholic

Falls ich nu komplett daneben liegen sollte geb ich auf und mach lieber was womit ich mich besser auskenne ... Staubflusen sortieren, Waschlappen bügeln oder was auch immer

Der Host wird nicht aufgelöst, stimmt schon.
Hier, komplett ohne irgendeine Modifikation an den Routing-Tabellen oder der Hosts-Datei:

Ich wüsste auch nicht über was für einen D/NS das laufen sollte.
Keiner der für die Domain eingetragenen Nameserver hat einen passenden Eintrag:

Quote:

Originally Posted by smokeaholic

Hattest du nicht irgendwo mal erwähnt (oder kamer), dass die Funktion zwar drin ist aber noch nicht wirklich aktiv?

Quote:

Originally Posted by Mi4uric3

Wohl eher KaMeR1337..
Ich bin, durch das Lesen der ganzen "Bann"-Meldungen davon ausgegangen, dass es bei mir daran liegt, dass ich die Hosts-File editiert habe..

Hm. Soweit mir bekannt ist wurde die Autobann-Funktion erst vor kurzem aktiviert. Ich meine dass das da war, als der Schutz der metin2client.bin von UPX auf Themida umgestellt wurde.

Quote:

Originally Posted by .SkyneT.

cmd -> netsh -> firewall -> set portopening /?
(Rest durch logisches denken oder googeln herausfinden )

Btw wie seit ir auf den komischen host im ersten Post gekommen ?
Ich bekomm nur den hier: kvm75.aixit4.gfsrv.net

Warum nicht einfach folgendes?

Code:

route ADD 79.110.88.84 MASK 255.255.255.255 [I]192.168.178.254
kursiv -> variabel[/I]

Genau so effektiv und leitet die Anfrage einfach ins Leere. Linux hat fürs Nullrouting sogar eine eigene Funktion die bei Windows leider fehlt.

Und wie bist du denn auf deine IP gekommen?
Die, die wir da haben steht so in der Binary.

Mi4uric3 · 12/11/2011, 14:30

Quote:
Originally Posted by Computerfreek
Warum nicht einfach folgendes?
Code:
route ADD 79.110.88.84 MASK 255.255.255.255 [I]192.168.178.254
kursiv -> variabel[/I]
Genau so effektiv und leitet die Anfrage einfach ins Leere. Linux hat fürs Nullrouting sogar eine eigene Funktion die bei Windows leider fehlt.

Tut mir leid, wenn ich jetzt eine blöde Frage stelle..
Meine IP ändert sich aber immer..
Mal bin ich 192.168.1.2, mal 192.168.1.4, das kommt immer drauf an, wie viele Geräte grade verbunden sind..
Was mache ich in dem Fall?

Computerfreek · 12/11/2011, 14:33

Ist ziemlich egal. Entweder du routest es auf deine richtige IP, oder eben nicht.
Das Wichtige daran ist dass die Anfrage einfach nicht am Zielserver ankommt.
Bei dir müsstest du, sollte ich mich nicht gänzlich irren einfach den Befehl nach folgendem Muster ausführen:

Code:

route ADD 79.110.88.84 MASK 255.255.255.255 192.168.1.[0-254]

Beispiel:
route ADD 79.110.88.84 MASK 255.255.255.255 192.168.1.200

Sollte es wichtig sein, dass es immer eine erreichbare IP ist, so müsstest du in deinem Router umstellen können dass er dem gleichen Gerät immer die gleiche interne IP zuweist.
Zumindest meine Fritz!Box kann das. - Sollte aber auch mit den meisten anderen gehen.

Mi4uric3 · 12/11/2011, 14:44

Quote:
Originally Posted by Computerfreek
Ist ziemlich egal. Entweder du routest es auf deine richtige IP, oder eben nicht.
Das Wichtige daran ist dass die Anfrage einfach nicht am Zielserver ankommt.
Bei dir müsstest du, sollte ich mich nicht gänzlich irren einfach den Befehl nach folgendem Muster ausführen:
Code:
route ADD 79.110.88.84 MASK 255.255.255.255 192.168.1.[0-254]

Beispiel:
route ADD 79.110.88.84 MASK 255.255.255.255 192.168.1.200
Sollte es wichtig sein, dass es immer eine erreichbare IP ist, so müsstest du in deinem Router umstellen können dass er dem gleichen Gerät immer die gleiche interne IP zuweist.
Zumindest meine Fritz!Box kann das. - Sollte aber auch mit den meisten anderen gehen.

Stimmt macht Sinn, ist ja völlig egal, wo das ankommt, solange es nicht das Ziel ist.

Ich mach dann einfach ein Programm daraus, was das alles macht, ich lass es auch vollkommen deobfuscated