Register for your free account! | Forgot your password?

Go Back   elitepvpers > World of Warcraft > WoW Exploits, Hacks, Tools & Macros
You last visited: Today at 10:00

  • Please register to post and access all features, it's quick, easy and FREE!

 

[WoW -> 0 Day]: Cross-faction talk

Reply
 
Old   #16
 
elite*gold: 0
Join Date: May 2006
Posts: 162
Received Thanks: 44
Quote:
Originally Posted by Bosin View Post
Danke für das Feedback Harko, ich war anscheinend in letzter Zeit etwas zu unachtsam bezüglich Warden. Ich werde mir mal wieder Warden anschauen. ( Ich muss vorher noch den Dumper fixen. )
Der export table scan ist recht simple, sie benutzen keine APIs dafür sondern scannen den kompletten Speicher direkt. sie fangen bei 0 an und addieren konstant 1000h. Wenn an den ersten 2 Bytes ein MZ ist, schauen sie im PE Header nach der Export Table. Wenn man eine DLL erstellt, packt der Linker immer den Original DLL Namen in die Export Table. Dieser wird ausgelesen und per Hash verglichen.

Für dein Tool wird im Moment keiner gebannt aber der Grund ist, die Warden Programmierer arbeiten nur zeitweise an dem Projekt. (außer sie sind fauler als ich oder sie arbeiten hauptsächlich an serverseitigen Dingen)

Das letzte clientseitige Update war Anfang des Jahres und bestand dadrin, dass sie den Warden Code von Oktober ~300 mal neu kompiliert haben und ein Scan für die Variable BG_DESERTER eingefügt hatten. Zeitaufwand sicherlich 5 Minuten, gebraucht haben sie dafür 3 Monate.



Harko is offline  
Thanks
1 User
Old   #17
 
elite*gold: 0
Join Date: Dec 2006
Posts: 441
Received Thanks: 16
Quote:
Originally Posted by Meandyou View Post
testaccs werden nicht gebannt...........................................
lügner!


bumhunter is offline  
Old   #18
 
elite*gold: 0
Join Date: Mar 2008
Posts: 34
Received Thanks: 5
Danke für die Erklärung Harko!
Also laut Olly hat meine DLL überhaupt keinen Export Table ( ich exportiere ja auch nix :P ).
Ich lass jetzt trotzdem mal zur Sicherheit die Dos- und Nt-Signaturen auf 0 setzen.

Danke nochmal
Bosin is offline  
Old   #19
 
elite*gold: 0
Join Date: Apr 2005
Posts: 745
Received Thanks: 668
Earm ich glaub das mit der Export Table bezieht sich net auf deine DLL, sondern dass Warden diese benutzt beim scannen und er in deiner DLL nichts gefunden hat, was etwas dagegen unternimmt.
Er meint mit Export Table wahrscheinlich die Funktion, die die scan.dll exportiert.


Sordi is offline  
Old   #20
 
elite*gold: 0
Join Date: Mar 2008
Posts: 34
Received Thanks: 5
Quote:
Originally Posted by Sordi View Post
Earm ich glaub das mit der Export Table bezieht sich net auf deine DLL, sondern dass Warden diese benutzt beim scannen und er in deiner DLL nichts gefunden hat, was etwas dagegen unternimmt.
Er meint mit Export Table wahrscheinlich die Funktion, die die scan.dll exportiert.
Negative, sir!
Lies dir besser nochmal den ersten Absatz von Harko's letzten Post durch
Bosin is offline  
Old   #21
 
elite*gold: 0
Join Date: Apr 2005
Posts: 745
Received Thanks: 668
Ah ok er meint net die scan.dll aber er meint ne Funktion von Warden, net eine in deiner DLL.
Sordi is offline  
Old   #22
 
elite*gold: 0
Join Date: Mar 2008
Posts: 34
Received Thanks: 5
Quote:
Ah ok er meint net die scan.dll aber er meint ne Funktion von Warden, net eine in deiner DLL.
[QUOTE]
Der export table scan ist recht simple, sie benutzen keine APIs dafür sondern scannen den kompletten Speicher direkt. sie fangen bei 0 an und addieren konstant 1000h. ... Dieser wird ausgelesen und per Hash verglichen.[QUOTE]
Wenn Sie nicht nach der DLL( oder "ne Funktion von Warden" ) suchen würden, warum loopen Sie dann durch den kompletten Speicher um daraufhin den Namen der DLL mit ner Blacklist vergleichen ?

Ich will dich jetzt nicht fertig machen oder so, aber ich glaube, dass du das wieder falsch interpretiert hast.

Warden fängt also bei der Addresse 0 an und Inkrementiert die Addresse mit jedem durchlauf um 0x1000 ( geladene DLLs werden an 0x1000 aligned, die Base oder das Handle ist also nie 0x400100 oder so ) und überprüft die nächsten 2 Bytes auf "MZ"( IMAGE_DOS_SIGNATURE, 0x5A4D ). Wenn "MZ" gefunden wurde, wird die DLL ausgelesen und die Daten werden in eine Prüfsumme umgewandelt, welche dann verglichen werden kann.

Das heisst, dass wenn sich die Mitarbeiter diese DLL herunterladen und ihre Prüfsumme in die Datenbank eingeben würden, dann könnte Warden die DLL aufgrund dessen detecten.
Bosin is offline  
Old   #23
 
elite*gold: 0
Join Date: May 2006
Posts: 162
Received Thanks: 44
Quote:
Originally Posted by Bosin View Post
Danke für die Erklärung Harko!
Also laut Olly hat meine DLL überhaupt keinen Export Table ( ich exportiere ja auch nix :P ).
Ich lass jetzt trotzdem mal zur Sicherheit die Dos- und Nt-Signaturen auf 0 setzen.

Danke nochmal
Wenn deine DLL keine Exports hat funktioniert es logisch nicht. War aber auch nur ein Beispiel : )

Man darf eines nicht vergessen, neben Warden gibt es auch die wow.exe. Mit Patch 2.2 hatten sie, dass erste mal direkt unabhängige Scans in die wow.exe eingefügt. 2 für Glider und einen für Innerspace. Ihr Problem war, dass sie den Debug String "OsBotDetection.cpp" vergessen hatten. Tja Dummheit gehört bestraft. Ansonsten könnte man recht leicht in einer 8mb großen exe ein kleinen Scan verstecken so wie sie es auch versucht hatten.

Sagen wir es so, wenn sie alle ihre Möglichkeiten nutzen würden, wären sie jedem public Tool überlegen. Glider wäre vielleicht ein bißchen schwieriger aber auch dort würden sie Schwachstellen finden.
Harko is offline  
Old   #24
 
elite*gold: 3
Join Date: May 2006
Posts: 625
Received Thanks: 37
bei den ganzen Komplizierten sachen hier sieht man ja nicht mehr druch -.-^^ funkt das nun oder nicht bez. Bannbar ? *ganz lieb euch frag*
Littledagger is offline  
Old   #25
 
elite*gold: 0
Join Date: Mar 2008
Posts: 34
Received Thanks: 5
Quote:
Originally Posted by Littledagger View Post
bei den ganzen Komplizierten sachen hier sieht man ja nicht mehr druch -.-^^ funkt das nun oder nicht bez. Bannbar ? *ganz lieb euch frag*
Das Funktioniert, nimm aber lieber nen Test-Account um es auszuprobieren.
Bosin is offline  
Old   #26
 
elite*gold: 0
Join Date: Feb 2007
Posts: 131
Received Thanks: 2
sordi, warum hast dich bei der diskussion nicht zurück gehalten? so wie ich das gelesen habe hast du nicht mal die hälfte von dem plan den man dafür eigentlich bräuchte. sorry für diss aber es hat mich etwas gestört deine beiträge zu lesen
crackpipe is offline  
Old   #27
 
elite*gold: 0
Join Date: Apr 2005
Posts: 745
Received Thanks: 668
Dann lies sie einfach nicht und verbiete nicht anderen im Forum zu Posten.
Ich geb gerne zu dass ich mich nicht viel damit beschäftig habe und wie du siehst habe ich auch nicht mehr gepostet nachdem Bosin mich aufgeklärt hat, da ich auch gemerkt habe, dass die Diskussion meine Kenntnisse überschreitet, aber das ist kein Grund gleich rumzuflamen.
Sordi is offline  
Old   #28
 
elite*gold: 0
Join Date: Feb 2007
Posts: 131
Received Thanks: 2
naja wenn du es eingesehen hast ist doch ok mehr wollte ich doch auch nich erreichen
crackpipe is offline  
Old   #29

 
elite*gold: 3
Join Date: May 2006
Posts: 2,309
Received Thanks: 539
Quote:
Originally Posted by Bosin View Post
PHP Code:
00490FE2  |. 50             PUSH EAX
00490FE3  
|. E8 E8B31400    CALL Wow.005DC3D0                        ;  can he speak the language ?
00490FE8  |. 85C0           TEST EAX,EAX
00490FEA  
|. 75 20          JNZ SHORT Wow.0049100C                   ;  jump if he can!
00490FEC  |. 68 20020000    PUSH 220                                 ; /Arg1 00000220
00490FF1  
|. E8 FA730000    CALL Wow.004983F0                        Wow.004983F0 
Das ist ein Ausschnitt aus dem Code der Lua Funktion "SendChatMessage", welcher prüft, ob der Spieler die Sprache sprechen kann.
00490FEA ist standardmäßig 0x75 ( "JNZ" ) und wenn es 0xEB ist ( "JMP" ), geht der Client immer davon aus, dass der Spieler die angegebene Sprache sprechen kann. Dieser Wert wird nicht wiederholt vom Client dorthin geschrieben; das ist eher ein Fehler / Konflikt in der Software die du benutzt hast, um den Wert nach 0xEB zu ändern.

entschuldigt das ich vom thema abweiche aber ich versuche momentan die programmiersprache ein bissel zu lernen und zu verstehen und ich wunder mich das du sagtest EA steht für jnz und EB für jmp allerdings finde ich den offset EB überhauptnicht oO bist du so nett und erklärst mir das ganze? von mir aus auch per pm
DesperadoStrike is offline  
Old   #30
 
elite*gold: 0
Join Date: Nov 2006
Posts: 203
Received Thanks: 42
kann man dafür auf nem p-server auch gebannt werden?
spielt warden da auch ne rolle?


Hannez is offline  
Reply



« Previous Thread | Next Thread »

Similar Threads
How to talk to enemy faction?
He, he! I was only just wondering while i was waiting for my aion to open, if it is posible to talk to your enemy(Elyos to asmo, and other way round)...
3 Replies - Aion Main - Discussions / Questions
[Legal AddOn] BAM - Talk with other faction
Hallo alle, hab ein nettes AddOn geschrieben dass ich euch nicht vorenthalten will. Es ermöglicht, ganz normal mit der gegnerischen Fraktion über...
21 Replies - WoW Addons
cross faction experience bug
dont know if this works might have been a glitch but my brother in law is a 60 warrior alliance and im a 40 shammy horde and i was out tagging mobs...
2 Replies - WoW Exploits, Hacks, Tools & Macros
Cross Faction Translator
Is there a working way for 1.9.4 to read the other faction's language?
1 Replies - WoW Ask the Experts
How to talk to other faction!
ok, get a priest, then go find some alliance (assuming you are horde) then have the priest in your group mind control an alliance, now you can talk...
9 Replies - WoW Exploits, Hacks, Tools & Macros



All times are GMT +1. The time now is 10:00.


Powered by vBulletin®
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.

Support | Contact Us | FAQ | Advertising | Privacy Policy | Abuse
Copyright ©2017 elitepvpers All Rights Reserved.