Привет всем. Просто хотела поделится с теми кто не знает, но кому будет это интересно.
Все уже поняли, что за защиту в Игре отвечают два процесса - HGWC, Xtrap. Ну если точнее то процесс то один - HGWC, а Xtrap это скрипт. Так воть.
Все знают что в Диспечере их нету, и другими процесс-программами их не обнаружить.
Почему?
Ответ далее.
"Я не говорю об их только запуске, где они заметны несколько секунд, а только потом скрываются."
При запуске клиента HGWC - вначале грузит ресурсы и проверяет их контрольные суммы.
Код:
До 7% - сама загрузка программы,
с 7% до99% - грузятся ресурсы и содержимое resource.s4hd
(точно не помню, но вроде в нем находятся контрольные суммы.)
Я не спец в программировании, поэтому опишу все остальное как я предполагаю:
Так вот всем ясно, что связь между процессами - "тесная". Т.е. нельзя вырубить один процесс и ждать того что другие никак не отреагируют.
!!! Совет - не отключайте HGWC или Xtrap во время игры, а то скажите своему аккаунту bb
Но где же тогда сам процесс игры. А вот где.
Во всех системах существуют уровни прав. (кольца как их называют)
Так вот вся система состоит из двух колец(вообще то их больше, но используется только - Ring0 и Ring3)
Ring3 - или USer mode
Наивысшем ,здесь, для пользователя, являются права - администратора.
Но кто сказал, что нету выше их?
Ring0 - или Kernel mode - режим ядра.
Как вы понимаете здесь у вас такие права, что можно тварить все что угодно. Но осторожно. Т.к. простая ошибка и все, Bsod обеспечен.
Используя антируткит(сейчас он блокируется защитой) VBA
Я узнала, что данное чудо сидит в ядре. Причем S4Client находится под Xtrap. Т.е. Xtrap его прячет.
Получается что при загрузки в момент когда HGWC табличка исчезла грузятся процессы и вскоре не исчезают, а уходят на тот уровень где их не достать.
- Вы спросите но как же на x64 все прекрасно видно?.
Ответ.
- Разработчики x64 это придусматрели и поэтому у всех подобных процессов существует спец. подпись, т.е. они не являются скрытыми.
Как же эти процессы получают такие права?
Очень просто.
Самим фактом что вы запустили клиент вы даете не только все права на изменения памяти и т.д., но и соглашаетесь на все дальнейшие его действия. Конечно же это не касается тех пользователей у которых стоят файерволы.
Нет ненадо бежать и ставить файервол т.к. если вы им заблокируете хоть что-то у процесса, то игра просто не загрузится.
Сам процесс перехода прост. - МОИ МЫСЛИ
Xtrap ставит драйвер(временно, в папку system32.)(у меня он называется XDva393.sys но возможно у всех он имеет свое имя.) Этот драйвер получает все что ему нужно(т.е. все необходимые параметры из dll библиотек и т.д.)Далее он получает права на изменения физической памяти. Далее он сносит windows -ский обработчик сигналов и устанавливает свой. (Вот почему многие программы детект). Т.е. все что будет запущенно после запуска самой игры. Будет проверенно системой защиты. После же драйвер удаляется.(Точнее он удаляется почти сразу).
Сама защита по моему мнению имеет базу в сети. И многие программы детектятся по своим эль. подписям. Не забывайте компилируя чем-то свой скрипт вы добавляете его подпись к себе в код.
Все сетевые конекты можно проследить с помощью программы [Ссылки могут видеть только зарегистрированные пользователи. ]
Итак способов решить данную проблему предостаточно. Но для этого лучше использовать C++ или delphi.Данная технология схожа с технологией руткитов. Так же замечено использование библиотек kernel32 и ntdll.
Есть хорошая утилита - [Ссылки могут видеть только зарегистрированные пользователи. ](внимание всегда обнаруживается как вирус), спомощью него можно дизасемблировать или вытащить внутренности этого драйвера. Но защита Xtrap его всегда детектит.
Как мне сказали надо рыть в сторону API функции и их перехват, Native язык и т.д.
Что такое bypass - да, да это именно тот чит который и блокирует всю защиту игры.
Русско язычное:
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
Англоязычные ресурсы:
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
Вообще материала в сети придостаточно. Думаю будет полезно для тех кто в той или иной мере решится писать IDm или свой bypass. Прошу извинить меня если, высказаная мною статья в себе содержит ошибки или мое недопонимание.
P.S. Если данную статью переместят в обсуждение ну пусть так и будет.
________________
Я не вредная, просто больше ценю благодарных людей.
Последний раз редактировалось Tantyr; 29.03.2012 в 13:31.
Либо я такой чайник,либо у меня на вин ХР32 эти процессы не прячатся....
На хрюшах, как и на win 7 x64 большая часть скрытых процессов видна! Просто речь шла в основном про win 7 x32, т.к. именно на таких ситемах процессы в Диспетчере не отображаются....
Но права, про которые тут было написано, на любой системе выше прав Админа.
На хрюшах, как и на win 7 x64 большая часть скрытых процессов видна! Просто речь шла в основном про win 7 x32, т.к. именно на таких ситемах процессы в Диспетчере не отображаются....
Но права, про которые тут было написано, на любой системе выше прав Админа.
Эм... Вроде было сказано "речь идёт о всех х32." Ну ладно ).
Зато я теперь знаю,что не полный чайник.
Эм... Вроде было сказано "речь идёт о всех х32." Ну ладно ).
Зато я теперь знаю,что не полный чайник.
1. Построение защиты на всех системах одинакова.
2. Я это указала, на те системы где скрывается защита. Чтобы не писали. "Что зачем дурью маится когда все видно в Диспечере"
________________
Я не вредная, просто больше ценю благодарных людей.
Что такое bypass - да, да это именно тот чит который и блокирует всю защиту игры.
Не всегда.
Обходить можно по разному, самое простое это через ассемблер, если знать адреса функций, которые отвечают за сканирование процессов, можно просто запихнуть байты "return (здесь число, которое возвращает положительное значение), таким образом при вызове функции, она сразу будет возвращать положительное значение, типо "все ок, проверено"
1. можно я тебя буду звать Аня.?
Согласись я не спецом в таких дела. И про байпасс написала лишь как пример программы в этой области.
2. Да кстати не знаешь как можно у xtrap вырубить проверку на валидность защиты?
3. Драйвер кстати который устанавливается - именно он и уводит процессы в хайд. И если его рубануть(недать загружаться) то вылезает - некоректно запущенна система защиты.
Добавлено через 15 часов 58 минут
Интересная статья. [Ссылки могут видеть только зарегистрированные пользователи. ]
Кто знает тот поймет.
________________
Я не вредная, просто больше ценю благодарных людей.
Последний раз редактировалось Tantyr; 03.04.2012 в 09:56.
Причина: Добавлено сообщение
Если честно, там ничего особенного нет, там лишь написаны адреса баз, т.е. допустим 0x400000 - адрес базы Лиги, оттуда начинаются адреса, меньше быть не может, так же написано откуда вызываются сокеты, и есть кое что интересное - вывод сообщения, что лига не правильно запущена, опять же адрес указывает на то, откуда вызывается функция, а точный адрес самой функции нужно смотреть в дебаггере.
помоему отлично всё описано, много нового, но решения проблемы собственно я не вижу.. скажите мне какие перспективы открываются если я безопасно для игры отключу эти защиты?
Здравствуйте, думаю тема актуальна и на сей день, мы до сих пор не сделали ни одного работающего обхода, единственное - я сделала его часть, можно использовать всевозможные утилиты, я заблокировала функцию получения процессов и модулей, а это значит, что всевозможные dll'ки xtrap то же не увидит, бегло посмотрев на клиент, я узнала некоторую информацию, s4client.exe сам по себе упакован и сжат, пакер мне не известен, xtrapva.dll имеет защиту themida, версией ниже 2.8.0, но распаковка не обязательна, в этом случае дамп спасает, но для этого необходимо иметь обход, который я сделала выше, далее я планирую изучить драйвер, и если удастся, то напишу свой драйвер, для обхода защиты из нулевого кольца, если же нет, то хотя бы увижу его слабые стороны и вообще пойму основные механизмы отправки пакетов и банов, вообщем я прошу кого-либо из вас залить для меня файл драйвера, на x64 он лежит примерно так: C:\Windows\SysWOW64\Drivers\X6va011.sys, заранее спасибо
Еще информация о некоторых способах проверки xtrap'a:
1.Проверка процессов (выше есть, что он использует для этого)
2.Проверка памяти, идет через сравнение контрольных сумм (вроде MD5, но не уверена)
3.Проверка отладчика, функцией IsDebuggerPresent(), вообще я ее хукала, но безрезультатно, он имеет еще где-то доступ к ней
4.Проверка хука D3D9, получает функции из таблицы D3D9, вроде только на Draw Indexed Primitive и EndScene
Последний раз редактировалось Annedroid; 26.12.2012 в 16:22.