Warden Bypass

DrKrabbe · 10/27/2005, 23:14

Quote:

Originally posted by hust@Oct 27 2005, 21:08
also...hab jetz den peer guarden 2 drauf...den process guard und nun hab ich mir den debugger (Ollydbg) gesaugt.

tja wow.exe rein geladen und mit debugger gestartet. naja aba wenn ich dann injection mache mit BWH. dann in wow rein gehe und f12 drücke kann ich nix mehr in WoW machen.

ich meine der debugger erkennt ja das was an der exe verändert wurde.

wäre schon cool sicher BWH zu usen...aber is das überhaupt möglich wenn man die wow.exe über einen debugger startet?

EDIT: also is egal ob ich injection mache oda nich. habe einfach wow.exe im debugger gestartet und f12 gedrückt. genau das selbe wie mit. also kann es wohl nich an der injection liegen...? Oo

Geh dann einfach mal mit ALT+TAB auf den Debugger und drück auf das "Play" Symbol in der Symbolleiste, dann kannst du wieder ins WoW switchen und das BWH fenster ist da.

hust · 10/28/2005, 00:22

danke klappt wunderbar. jetz wäre nur noch cool zu wissen ob der warden 100prozent dadurch gestoppt wird. :P

dazzl · 10/28/2005, 00:26

deswegen würde ich gerne mal wissen, wie ich warden "sehen" kann (siehe mein letztes posting, page 1) ... google aber bislang ergebnislos durch die weiten des inet

KalZen · 10/28/2005, 11:16

*fragenliste durchguck* ok, also ich fasse mal zusammen:

JA, warden wird beim finden eines Debuggers die Scanroutine überspringen

JA, es ist scheißegal welchen debugger ihr benutzt
Warum? Weil ne einfache windows-funktion für den check benutzt wird:
.text:7C812E03 IsDebuggerPresent proc near
Egal welchen debugger du benutzt, der warden wird drauf anspringen.

@ Dazzl: guck im debugger ob
seg000:0FFD10AD test al, al
seg000:0FFD10AF jnz short loc_FFD10D9
aufgerufen wurde. wenn ja wurde die warden-scanroutine abgebrochen

edit @ lowfyr: is egal - lass einfach so wie's is ^^

RobertZ · 10/28/2005, 11:37

Ok könnte noch mal einer Schritt für Schritt erklären wie ihr das nun zum laufen bringt?

Also ollydbg starten.
Open wow.exe
Dann: Debug - Run
Wow Startet
Nun bwh laden
F12 drücken = crash

So was hab ich nun falsch gemacht?

Brauch ich nun noch PG?
Und wo soll ich die Zielen:

seg000:0FFD10AD test al, al
seg000:0FFD10AF jnz short loc_FFD10D9
finden?

Oder scannt warden nur wenn ich wirklich eingeloggt bin?

exeto · 10/28/2005, 12:39

Wenn das jetzt alles zu 100% funzt dann sagt mal den leutz von WoW!Sharp das sie weiterentwickeln sollen, will meine twinks net auch noch selber lvln...^^

RobertZ · 10/28/2005, 12:49

Muss man Wow oder Bwh mit debugger starten?

hust · 10/28/2005, 13:59

Quote:

Originally posted by KalZen@Oct 28 2005, 11:16
*fragenliste durchguck* ok, also ich fasse mal zusammen:

JA, warden wird beim finden eines Debuggers die Scanroutine überspringen

JA, es ist scheißegal welchen debugger ihr benutzt
Warum? Weil ne einfache windows-funktion für den check benutzt wird:
.text:7C812E03 IsDebuggerPresent proc near
Egal welchen debugger du benutzt, der warden wird drauf anspringen.

@ Dazzl: guck im debugger ob
seg000:0FFD10AD test al, al
seg000:0FFD10AF jnz short loc_FFD10D9
aufgerufen wurde. wenn ja wurde die warden-scanroutine abgebrochen

edit @ lowfyr: is egal - lass einfach so wie's is ^^

cool thy...hab ich alles gefunden.

mußte nur das seg weg gelassen bei den zwei unteren befehlen.

robert...lade die wow.exe ein...dann play klicken..dann f12 mit alt+tab wieder in den debugger und wieder play. schwups hast du bwh in deinem wow fenster.

wutzebaer · 10/28/2005, 14:14

also kannich auch den windows debugger nhemen .. cool

SIC!! · 10/28/2005, 14:21

Ich nutze den OllyDbg Debugger und ich kann die 2 Zeilen

seg000:0FFD10AD test al, al
seg000:0FFD10AF jnz short loc_FFD10D9

nirgends finden!

Kennt sich jemand mit dem Debugger aus ?

BTW brauch man den Process Guard noch wenn man nen Debugger laufen hat ? oder ist das so auch schon sicher ?

Mfg Sic

Flow-ownz · 10/28/2005, 14:36

An die Leute die OllyDbg benutzen ihr müsst einfach euer BWH auf ne andere Taste legen da F12 bei OllyDbg die Pause taste ist oder ihr drückt nochmal F9.

SIC!! · 10/28/2005, 14:41

Ich würde gern sicher gehen das Warden aus ist

Weiß jemand wie ich mit Ollydbg diese 2 Zeilen finden kann ? ich kann da nach 38901 Sachen suchen ^^ HIlfe

MfG sic

dazzl · 10/28/2005, 15:50

ich hab es leider auch noch nicht gefunden. habe alle fenster mal aufgemacht, die man bei olly so öffnen kann.
gibt es ein programm, welches mir alle programme unter windows in ihrem "alltäglichen" tun und machen anzeigen kann? ... ich würde mir zugerne mal "live" angucken, wann warden startet und wo man solch codeschnipsel findet

aber eine anleitung, wie man mit olly gescheit umgeht, würde mich auch interessieren. ... hm, ich suche nachher selber nochmal ne runde im netz, muss jetzt wieder weg ... aber danke schonmal für die hilfe bislang

EDIT: ich ralls nicht

RobertZ · 10/29/2005, 12:13

Also ich finde auch nichts... komisch geht das nun nicht oder suche ich falsch

Robbyoezmen · 10/30/2005, 14:38

Quote:

Originally posted by KalZen@Oct 28 2005, 11:16
*fragenliste durchguck* ok, also ich fasse mal zusammen:

JA, warden wird beim finden eines Debuggers die Scanroutine überspringen

JA, es ist scheißegal welchen debugger ihr benutzt
Warum? Weil ne einfache windows-funktion für den check benutzt wird:
.text:7C812E03 IsDebuggerPresent proc near
Egal welchen debugger du benutzt, der warden wird drauf anspringen.

@ Dazzl: guck im debugger ob
seg000:0FFD10AD test al, al
seg000:0FFD10AF jnz short loc_FFD10D9
aufgerufen wurde. wenn ja wurde die warden-scanroutine abgebrochen

edit @ lowfyr: is egal - lass einfach so wie's is ^^

welchen debuger benutzt du´?