Пара вопросов

[dronte]

Здравствуйте!

В преддверии написания своего первого бота в rupw офф. хотел подытожить информацию, которая необходима для этого:

1) почитав форум, вынес две вещи:
1.1) с одной стороны клиент запакован при помощи TheMida, где-то расматриваются способы распаковки и т.п.
1.2) с другой стороны, вроде как в гайдах по написанию ботов, например, https://zhyk.ru/forum/showthread.php?t=414162, и других, никак не рассматривается то, что клиент не в чистом виде находится в памяти. А попутно ещё вопрос про то, что в описании проекта TheMida, в частности упоминается про некоторые механизмы защиты от несанкционированного доступа к защищаемому контенту приложения, но какие - я не нашёл. Например, hook'и, они используются или нет? а что вообще нужно о нём знать, чтобы работу бота не палили?
2) нужны ли какие-то технологии скрытия присутствия в системе бота, например, при помощи DKOM или изменений в реестре о принадлежности страниц памяти и т.п., особенно если в будущем интересует возможность инъекции в клиент игры, инъекция же делается при помощи dll, со всеми вытекающими результатами
3) ну и да, на данный момент мне кажется подозрительным, что можно вот так просто открыть память процесса, считать, закрыть и с тобой ничего не будет и никакой протектор тебя не засечёт.
4) вопрос про ollydbg, нужно ли что-то особое вроде плагинов phantom и т.п. для анализа pw? Где-то читал, что данному плагину лучше не доверять и советы о запуске его только в виртуальной машине, что на этот счет?

Собственно. Расскажите как с этим обстоит дело, а то не хочется, чтобы после таких экспериментов получить забаненный (основной) аккаунт, т.к. на нём применять предполагается.

[Smerch]

1) клиент уже не запакован, а даже если бы он был бы запакован, то в памяти после запуска он хранится в распакованном виде. Если я правильно понимаю смысл упаковщиков, то они не предназначены для палева работы бота, чисто защита от отладки и дизассемблирования. А вот mrac.dll что-то явно делает, но моих навыков пока не достаточно понять что именно и как его отключить, не удаляя из папки.
2) самому было бы интересно узнать
3) ну права администратора дают тебе право делать с памятью процесса что угодно, однако опять таки, мрак что-то точно делает (скорее всего сканирует все процессы и выявляет ботов по сигнатурам, а затем посылает инфу на сервер)
4) без фантома у меня не получалось адекватно работать с отладчиком, вываливалось исключение каждую минуту, что очень мешало. Вроде бы это плагин с открытым кодом, его многие юзают, ни разу не видел нареканий. Советуют запускать на 32битной системе, иначе могут некоторые функции не работать, однако для пв мне хватает и тех функций, что он предоставляет и для 64битной

По поводу банов, политика майла такова, что им в большей степени плевать. Можно удалить мрак и запускать игру без ИЦ, чтобы уж точно не было слежки. Ну либо просто завести твина.

[fds255]

Цитата: А вот mrac.dll что-то явно делает, но моих навыков пока не достаточно понять что именно и как его отключить, не удаляя из папки.

Ребят ничего не нужно удалять из папки.
На Win7 не пробовал, а вот на Win10 с включенным UAC(контроль учетных записей) при запуске игры через ИЦ появляется сообщение:
Разрешить этому приложению вносить изменения на вашем устройстве Mail.Ru
Жмете НЕТ
Затем появляется сообщение:
Разрешить этому приложению вносить изменения на вашем устройстве elimentclient.exe
Жмете ДА

И никакой mrac.dll не подгружается.

Можно для надежности в диспетчере задач закрыть процессы:
[email protected]
2.pwprotector.exe

[dronte]

по-моему, там всё же есть упаковщик, иначе зачем жёстко зашитые сдвиги складывать, через вызов фукнций

олю он кстати детектит и крэшится, если поступить так, как сказал fds255, то на запуск ольги он перестает реагировать, но приаттачиться она к нему - всё равно не может. нормально дизасм работает только у CE похоже.

[fds255]

Еще раз:
1) последний офф не упакован;
2) можешь запустить сначала олю, а потом запустить клиент и делать то, что я описывал выше. У меня оля аттачилась без вопросов.

Имей ввиду если ты аттачишься олей первый раз, будет долго висеть и выбьет в конце концов(советую подождать пока выбьет), после вновь запусти олю и клиент и все будет норм.

[dronte]

кстати, запуск клиента порождает ещё один интересный процесс, по крайней мере по названию
PerfWatson2.exe

[fds255]

PerfWatson2.exe никакого отношения к PW не имеет

Компания:
Microsoft Corporation
Описание:
PerfWatson2.exe
Версия:
12.0.20617.1
MD5:
895eadf29021d7cd5d82391146759bd6
SHA1:
af63ccdcea9611e42be02bd3591204b2a324a21e
SHA256:
950cdf197ef9f88d94f8c0353870eb7453b2e5273d8b937d9d 1c1b68bc89333f
Размер:
59480
Папка:
%PROGRAMFILES%\Microsoft Visual Studio 12.0\Common7\IDE
Цифровая подпись:
Microsoft Corporation

по неизвестным процессам google в помощь )