Frost. Отогреваем кликер 30.09.11
Сегодня мы поговорим об отечественной поделке – системе защиты Фрост от компании Иннова. Доподлинно не известно является ли Фрост собственной разработкой армянской компании, либо это является своеобразной нахлобучкой на более матерое (8 лет опыта, шутка ли) корейское изобретение GameGuard.
Итак, Фрост. О нем бытует много легенд. Самая распространенная это то, что Фрост якобы шарится по вашему диску выискивая читы и неугодные запрещенные программы, сверяясь со своим каким-то черным как ночь списком. Этот миф посеяли модерасты фогейма (4game.ru) с совершенно понятно какой целью - заставить мнительных пользователей самих выпилить свои читы. На деле же Фрост ничего не ищет. Поэтому фогейм кишит заявлениями «я все читы удалил, все равно не пускает ай ай ой ой» или «сроду никаких читов не держал, раз и бан НИЗАЧТО!!!11». Пускает, к слову, обычно после полной переустановки системы и игры, потому что проблема исключительно в глючном Фросте и его конфликте например с антивирусом. Который добрая Иннова рекомендует отключать, что сходно кстати с позицией католических священников – «Хотите секса? Не пользуйтесь презервативом! Это неугодно Господу»
Так как же действует Фрост и почему он конфликтует с некоторыми защитами? Все просто. По сути Фрост – это руткит. В двух словах, он перехватывает некоторые системные вызовы и подменяет их своими. Таким образом он скрывает свой процесс, отрубает кликеры и пр. А некоторые трояны так угоняют пароли.. Естественно, такая наглость не нравится антивирусу и он ругается.
Почему Фросту не нужен черный список? Что забавно, ВСЕ кликеры используют ОДНУ единственную функцию WinAPI. Это, разумеется, SendInput (PostMessage, как ни странно, Фростом игнорируется, поэтому ранее можно было запускать ботов, узнав каким либо хитрым способом HWND спрятанного окна). Есть еще mouse_event (и ее клавиатурный вариант), но они просто сами вызывают SendInput. SendInput в свою очередь вызывает NtSendInput, функцию ядра Windows. Таким образом перехватывая NtSendInput, Фрост одним движением вырубает любую эмуляцию мыши и клавиатуры. Аналогичным методом он скрывает процессы, прячет свои окна от взятия HWND (напр. FindWindow, GetWindowFromPoint) и так далее. Вот такое гадство.
Причем от этого не помогут всякие переименования файлов или HideTools (просто потому что "не в ту сторону вообще"). Кстати что иронично, HideTools делает по сути тоже самое что и Фрост – прячет программы, причем тем же методом. Но поскольку, как было сказано Фросту наплевать на конкретные программы, HideTools не помогает.
А что поможет? Ответ напрашивается сам. Раз Фрост перехватывает необходимые нам системные вызовы (по сути подменяет своими), мы должны их восстановить. В этом нам поможет чудо-программа анти-руткит Kernel Detective (далее KD). Она позволяет изучать процессы на уровне ядра, смотреть какие библиотеки и драйверы загружены и все такое прочее.
Практика без теории мертва. Скажу сразу, я тестировал все это вчера на PointBlank, который собственно ради Фроста и ставил. У вас же все зависит от конкретной игры. Итак запускаем кликер (конечно же ваш любимый Clickermann), проверяем, работает. Запускаем игру через Запускатр. Зашуршали диски, появился логотип Фроста. Проверяем кликер – уже не работает. Не кликает, HWND окна не определяет. Грусть, тоска.
Но теперь мы запускаем KD. В открывшемся окне сразу вылазит список процессов, и сразу же подсвечен красным скрытый процесс игры (который не виден в обычном диспетчере задач). Но нас интересует не он, а процесс запущенный из папки «папка_игры/Frost». Именно он обеспечивает защиту игре. Жмем на него ЛКМ, имя процесса появится в заголовке KD. Теперь обратите внимание на вкладки System Device Descriptor Table (Shadow) (две, с гаечными ключами). Это таблицы тех самых системных вызовов, которые вызываются привычным нам WinAPI (который в свою очередь вызывается кликером) и перехватив которые можно всех нагнуть. Если вы программист, вы можете изучить таблицу и посмотреть какие именно вызовы перехватил Фрост (они подсвечены красным), найдете много знакомых имен. Восстанавливаем вызовы, нажимая ПКМ в любое место списка и выбирая из вывалившегося меню пункт «Restore All», в обоих вкладках. Проверьте оба списка, красных пунктов быть не должно. Все, мы сбили перехват Фроста. Можете проверить.
О ЧУДО кликер заработал. Мышка снова ездит, HWND определяется. И это при рабочем запущенном Фросте! То есть от наших действий игра не закроется с ошибкой, вас не забанят (наверно) за якобы обход-убийство, потому что воздействие на Фрост было минимальным. Он по сути остался работать и делать свои дела, но теперь он не мешает работе кликера. Проделайте это сами, и вы поразитесь как оказывается легко восстановить работоспособность кликера.
Пробуйте, отписывайтесь об успехах. Играйтесь с KD и ему подобными вещами, если позволяет опыт. Кстати, ложка дегтя: Kernel Detective в настоящее время работает только на 32-битных системах. Ну и, разумеется, все запускать под Администратором. Конечно, подобным способом возвращается функционал не только нашему кликеру, но и всем остальным поделкам. Но мы, разумеется, рекомендуем использовать лучший кликер - Clickermann
Для тестов использовались:
- Windows XP SP3 x86
- Frost Security из PointBlank на текущую дату 29.09.2011
- Программа Kernel Detective v1.4.1
- Clickermann v4.5
копипаст с [Ссылки могут видеть только зарегистрированные пользователи. ] автор разработчик Clickermann
на данный момент не актуально, при полном или частичном применении кик с сервера, статья полезна для ознакомления с функционированием Frosta и способами его обхода
________________ Паяльник на 100 ватт увеличивает скорость брутфорса Спасибка лучшая благодарность )))
Последний раз редактировалось achehin; 12.12.2011 в 22:57.
А зачем вам Kernel Detective v1.4.1 запускать, если под 64 битной семёркой кликер и так работает?
кликер работает, но не которые функции например позиционирование окна с заданными координатами не работают, а ради кликера не каждый начнёт ставить Win7 64x, но скорей всего прийдётся по тому что
Цитата:
Сообщение от achehin
на данный момент не актуально, при полном или частичном применении кик с сервера, статья полезна для ознакомления с функционированием Frosta и способами его обхода
________________ Паяльник на 100 ватт увеличивает скорость брутфорса Спасибка лучшая благодарность )))
Последний раз редактировалось achehin; 11.12.2011 в 17:14.