Register for your free account! | Forgot your password?

You last visited: Today at 10:39

  • Please register to post and access all features, it's quick, easy and FREE!

 

Warden Frage

Reply
 
Old   #1
 
elite*gold: 0
Join Date: Sep 2007
Posts: 149
Received Thanks: 32
Warden Frage

Heyho,

ich habe mich jetzt mal etwas über Warden informiert, aber nicht wirklich viel herausgefunden, und wie es mir scheint wissen doch noch einige mehr als Google einem ausspuckt.

Das, angeblich, niemand genau weiß was und wie Warden detected habe ich begriffen.
Das solange mann nur vom Speicher ausliest Warden nichts tut, auch!

Allerdings würde mich jetzt eben intressieren von welchen Adressen man sicher weiß das Warden diese überpfrüft, usw.

Vielen Dank

LG


BTW: Wie wärs mit nem WoW Codingbereich?



deestruct is offline  
Old   #2
 
elite*gold: 57
Join Date: Apr 2008
Posts: 2,510
Received Thanks: 951
Quote:
Originally Posted by deestruct View Post
BTW: Wie wärs mit nem WoW Codingbereich?
Habe ich auch schon drüber nachgedacht, ich werd mal Salo anhauen.


Pexus is offline  
Old   #3
 
elite*gold: 0
Join Date: Aug 2005
Posts: 108
Received Thanks: 30
Quote:
und wie es mir scheint wissen doch noch einige mehr als Google einem ausspuckt.
Nun, das hat durchaus auch noch andere Gründe. Niemand will genau verraten was er weiß. Das ist ähnlich wie mit den wirklich guten Farm/Grind-Plätzen oder Gold-Tipps. Du erfährst auf ganz klare Anfragen i.d.R nur Dinge, die sowieso schon lange jeder weiß, oder subtile Antworten ohne Hintergrund. Wenn Du Glück hast kommt mal was von jemanden, der mit WoW aufhört oder selbst genug Gold gesammelt hat. Dann verrät er seine Tricks.

Aber nochmal zu Deiner Frage. Bei Warden ist es aber durchaus nicht leicht genau herraufzufinden, was genau gescannt wird, da Warden an sich verschlüsselt ist und auch verschlüsselt kommuniziert. Allein die (Klartext -)Kommunikation Warden <=> Server muss interpretiert werden und ist ganz sicher nicht selbsterklärend. Die allermeisten Hobby-Programmierer scheitern daran Warden im Debugger laufen zu lassen, weil es sehr sehr viele Möglichkeiten gibt ein Debuggen zu verhindern. Im gleichen Zug gibts aber auch genausoviele Tricks es doch zu tun. Nur trennt sich genau hier die Spreu vom Weizen. Und was ist wenn Warden detected, dass Du versuchst den Code zu debuggen ? Das ist mit einer Operation am offenen Herzen vergleichbar...
Und Multithreaded Applikationen zu debuggen ist auch nicht jedermanns Sache.

Ein weiterer Punkt ist, dass Warden generische Scanmethoden nutzt. D.h. die Region, die gescannt wird, wird z.B. als Argument für eine generische Scanmethode dem Client zur Laufzeit übergeben. Dafür gibts dann wieder Memory Monitore, die mit Hooks arbeiten, um dies herrauszufinden. Diese Hooks wiederum sind auch detectbar....so geht dieses Ping-Pong immer wieder hin und her.
Dabei sind Scans, die Veränderungen an den MPQ-Dateien suchen noch die einfachsten.
Du siehst es gehört schon etwas Know-How dazu und die Zahl derer sind wesentlich dünner als die, welche ein Auto-It Script coden und eine paar Speicherbereiche aus WoW.exe auslesen, was bitte wertungsfrei zu verstehen ist.
kerby499 is offline  
Thanks
5 Users
Old   #4
 
elite*gold: 240
Join Date: Dec 2006
Posts: 1,580
Received Thanks: 1,609
Besser hätte ich das auch nicht formulieren können, sehr gut geschrieben.

BTT: Wenn du wissen möchtest, ob eine spezielle Adresse gescannt wird, gebe ich dir einen Tipp. Lad dir OllyDBG, mach ein Breakpoint auf die Adresse und wenn dann nach 15 Minuten nichts passiert, weißt du, dass Warden sie nicht scannt.

Das ist so ziemlich die einfachste Methode, herauszufinden, ob eine Adresse gescannt wird.
Ich denke nämlich nicht, dass dir irgendwer mehr Informationen gibt, die für jeden nachlesbar wären. ;-)


Bl@ze! is offline  
Thanks
2 Users
Old   #5
 
elite*gold: 0
Join Date: Oct 2007
Posts: 133
Received Thanks: 48
Öhm...
Ich glaube bekommt man relativ gute informationen zu dem thema ^^
Haygu is offline  
Old   #6
 
elite*gold: 0
Join Date: Dec 2007
Posts: 438
Received Thanks: 190
kann mir jemand sagen ob Warden auch Fenster Detected? also z.B. wenn ein Programm in WoW ein Fenster Zeichnet?
-CrimeTime- is offline  
Old   #7
 
elite*gold: 0
Join Date: Aug 2005
Posts: 108
Received Thanks: 30
Das hängt davon ab was Du genau meinst. Wenn Du addons wie AVR meinst, die dies über Lua-Funktionen tun, dann ist es solange erlaubt wie es die Lua-API zulässt.
Wenn Du damit meinst, dass Du eine Dll-Injektest, um damit Funktionen im WoW-Kontext aufzurufen, dann würde ich das als sehr gefährlich betrachten.
Grundsätzlich ist es sehr einfach dies zu detecten, aber soweit ich weiß wird nichts generisches erkannt, sondern ganz gezielt gescant.
kerby499 is offline  
Old   #8
 
elite*gold: 0
Join Date: Dec 2007
Posts: 438
Received Thanks: 190
um es genauer zu Erklären, es wäre halt ein Fenster wo man ein Radar sieht.
-CrimeTime- is offline  
Old   #9
 
elite*gold: 0
Join Date: Aug 2005
Posts: 108
Received Thanks: 30
Wenn Du nur Memory-Reads nutzt um an die verfügbaren Objekte zu kommen und das Programm selbst eigenständig laufen lässt ==> unwahrscheinlich.... Nachteil, Du musst es entweder auf 2ten Monitor setzten, oder immer ALT-TABBEN, bzw mit transparenten Fenstern arbeiten.

Wenn Du eine DLL-Injektest, um WoW-interne Funktionen aufzurufen, um an die Daten zu kommen, oder um ein Fenster im WoW-Kontekt zu erzeugen, z.B. so das es direkt in WoW sichtbar ist ==> gefährlich
kerby499 is offline  
Old   #10
 
elite*gold: 0
Join Date: Dec 2007
Posts: 438
Received Thanks: 190
Werde mich dort gleich mal rein Arbeiten, wenn dann sollte es eher ein Gatherer Bot werden als nur ein Popeliges Radar, danke für die Infos.
-CrimeTime- is offline  
Old   #11
 
elite*gold: 240
Join Date: Dec 2006
Posts: 1,580
Received Thanks: 1,609
Ich hab übrigens einen kompletten Source Code eines Gatherer Bots released, im WoW Bots Forum. Könnte dir bestimmt auch helfen
Bl@ze! is offline  
Old   #12
 
elite*gold: 0
Join Date: Dec 2007
Posts: 438
Received Thanks: 190
Danke, wäre nur noch das Problem das ich bei C++ Brechreitze bekomme.
-CrimeTime- is offline  
Old   #13
 
elite*gold: 240
Join Date: Dec 2006
Posts: 1,580
Received Thanks: 1,609
Brechreize? Ist doch eine wunderschöne Sprache oO
Bl@ze! is offline  
Thanks
1 User
Old   #14
 
elite*gold: 0
Join Date: Dec 2007
Posts: 438
Received Thanks: 190
kann nur AS3,Java,VB6 und C#
-CrimeTime- is offline  
Old   #15
 
elite*gold: 0
Join Date: Aug 2005
Posts: 108
Received Thanks: 30
Ich möchte mich mehr auf die abstrakte, erklärende Weise äußern. Den Code daraus zu bauen überlass ich jedem selbst, das ist letztendlich das kleinere Problem.

Und @TE, wenn Du doch alles googeln kannst stellt sich sicherlich die berechtigte Frage, warum Du überhaupt postest....

Wäre es Dir lieber gewesen, hier hätten 10 Personen geantwortet:

"Google is Dein Freund.." oder ähnliche Flames ?

Ich habe auf Deine Frage geantwortet, weil ich Dir in Deinem Verständnis helfen wollte.

Nun ( auch auf abstrakte Weise ) zu dem schönen INT3 "Attach to Process" mit OllyDb .... Eine Detection dazu zu schreiben ist in weniger als 3 Zeilen Source-Code getan, somit würde ich noch mehr davon abraten ...

Warum ? Nun...

Ein Breakpoint wird definiert mit dem Überschreiben des ersten Opcodes nach der Breakpointadresse mit INT3 (0xcc). Somit haben wir hier schon mal einen WriteProcessMemory. Wenn ein laufender Prozess auf eine solche Anweisung stößt, löst die CPU den Interupt 3 aus, welcher nun vom Debugger abgefangen wird und somit der "Einhakepunkt" erfolgreich war. Dies geht über die IDT.

Ich glaube, dass nun jeder ganz einfach erkennen kann wie man sowas detected.... jips...genau ... man prüft einfach ob an der Ersten Stelle NACH einer Funktionsadresse der Opcode 0xcc steht....

Pseudo-Code: ( nicht lauffähig .... soll der Erklärung dienen )

int fang_mich ()
{
printf("Buh\n");
}

int detect_int3()
{
if ("OPcode bei adresse von fang_mich" +3 ) == 0xcc) {
printf("Hab dich\n");
}

Erläuterung:
Das ist ein selbstprüfender Code..... Sollte jemand im ersten Byte nach
der Funktionsadresse von fang_mich einen INT3 ( 0xcc ) eingebaut haben wird das sofort entdeckt....

Als "Pong" zu diesem "Ping" schreiben einige Debugger unmittelbar nach Auslösen des INT3 den ursprünglichen Opcode wieder zurück. Also somit WriteProcessMemory Nr.2

Ein schönes Beispiel für die Ping-Pong Problematik.... Diese Beispiele kann man noch wesentlich länger fortführen..


kerby499 is offline  
Reply



« Previous Thread | Next Thread »

Similar Threads
Frage zu Warden
Kurze Frage zu D2NT im bezug auf Warden wenn ich das richtig verstanden habe prüft Warden ob er irgentein programm wiedererkennt.(grob) und wenn...
8 Replies - Diablo 2
Warden Frage
Hallo Leutz, seit heute Abend werde jedesmal auf dem Game gekickt. Soll heißen, ich logge ein geh in ein Baalrun und nachdem ich in den nächsten...
3 Replies - Diablo 2
Frage zu Warden
Hallo Experten, ich bin Programmierer, und habe vor einige Programme für WoW zu Schreiben, doch mir fehlt im Moment das Fehlende Wissen über...
2 Replies - WoW Ask the Experts
Frage zu Warden
Hi, ich plan mir nen Gliderkey zu kaufen, hab die Demo gestern mal mit nem Gästeaccount auf nem anderen Rechner ausprobiert, um auf Nummer sicher...
2 Replies - WoW Bots
Frage zur Detection von Warden
Hallihallo. Bin ein neuer User, wie ihr vielleicht schnell festgestellt habt. Erstmal herzliches Hallo an alle. Beim Surfen des Forums ist mir...
1 Replies - WoW Main - Discussions / Questions



All times are GMT +1. The time now is 10:39.


Powered by vBulletin®
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.

Support | Contact Us | FAQ | Advertising | Privacy Policy | Abuse
Copyright ©2017 elitepvpers All Rights Reserved.