Всем доброго времени суток ;)

На игровом сервере впилили новую защиту. Теперь при запуске l2.exe отправляет 2 пакента на адресс 81.177.24.7:80
http://shot.photo.qip.ru/2048Un8.jpg

После чего дает спокойно дойти до выбора чара, выбрать и его и при входе в мир кикнуть) (от сервера пакетов LogOutOk 7E).

Если же через CFF Explorer подкоректировать l2.exe убрав от туда строчку про client.dll
http://shot.photo.qip.ru/102MDYd.jpg

То дает спокойно зайти в игру и отлавливать пакеты, но по истечению ~32.2 секунд - кикает от сервера тем же пакетом)
http://shot.photo.qip.ru/3009Gp5.jpg

И так вопрос к знатокам :)
1) Встречали ли вы такую защиту и как боролись?
2)Какой программой можно перехватить эти 2 пакета от l2.exe и откорректировать?)


PS Не хитрыми манипуляциями выяснил что эти адреса конторы 1Gb.ru которая известна так же как удобный и халявный хостинг) Понятное дело, дальше всё уперлось в этом направлении)

видимо есть еще какой-то пакет, типа пинга, который сервер отправляет, и клиент ему должен ответить. раз кидает - значит нет ответа.

через виртуалку пашет?

да, но не вариант так работать)

При нажатии кнопки "войти" оно отсылает 2 пакета?

При нажатии кнопки "войти" оно отсылает 2 пакета?

При запуске клиента, перед тем как появляется окошко загрузки.

во первых интересует какая у тебя винда?
Во вторых защита Очень похожа на mart anticheat
только мне кажется "умные" дяденьки переименовали l2.dll в client.dll
еще если это она то в l2.ini должно быть вместо ServerAddr=Ip сервера
ServerAddr=127.0.0.1
подробнее можешь узнать ----> тут (http://zhyk.ru/forum/showpost.php?p=2360908&postcount=3)

защита 3го сорта какаято. выложи длл посматреть)

Эта защита имеет две стороны на стороне сервера 2 сторона клиента. на стороне сервера ставится она в исходниках. выдрана она с ССР поменян алгаритм ,в папке систем 2 файла. во втором находиться ключ то есть для каждого сервера он свой.

Добавлено через 6 минут
во первых интересует какая у тебя винда?
Во вторых защита Очень похожа на mart anticheat
только мне кажется "умные" дяденьки переименовали l2.dll в client.dll
еще если это она то в l2.ini должно быть вместо ServerAddr=Ip сервера
ServerAddr=127.0.0.1
подробнее можешь узнать ----> тут (http://zhyk.ru/forum/showpost.php?p=2360908&postcount=3)

Даже предположу что там стоит ИП.

Эта защита имеет две стороны на стороне сервера 2 сторона клиента. на стороне сервера ставится она в исходниках. выдрана она с ССР поменян алгаритм ,в папке систем 2 файла. во втором находиться ключ то есть для каждого сервера он свой.
название у этой защиты есть?

да, но не вариант так работать)
так я и не говорю через нее работать, там надо понаблюдать за пакетами. куданить типа коллизея уматать, чтобы тихо, никого нет и мобов в округе нет. и смотреть что за пакеты бегут.

Теперь при запуске l2.exe отправляет 2 пакента на адресс 81.177.24.7:80
кто тебе запрещает поставить порт 80 в список гейм серверов, посмотреть какие пакеты идут, затем с вируталки посмотреть какие идут сравнить их и написать мини скрипт

St1mul, в адрессной строке ссылка на сайт =) http://eltel.servegame.com

mira, вот файлик)))) (http://www.mediafire.com/?6dc40kca6ya3eq0)

memfisun, а ключик то вот он ;)
RXhjZWxsaW9uCQ==

Зашифрован в base64 =) Расшифрованным выглядит так
Excellion

Это имя одного из трансформеров из фильма =)))

Добавлено через 2 минуты
St1mul, phx их не отлавливает. Нужно что-то типа Charles Proxy только)
PS В чарли проблема что он не отлавливает пакеты с произвольных приложений, только с браузеров =(

Добавлено через 5 минут
SeregaZ, я ж говорю что если удалить вызов библиотеки client.dll то дает работать 32.2 секунды, там все чисто. Это какая-то защита которая запускаеться независимо от клиента, проверяет процессы или клиент и шлет отчет на сервер. Вот и надо как-то сделать что бы слать серверу левые пакеты от этой защиты.

я ж говорю что если удалить вызов библиотеки client.dll то дает работать 32.2 секунды, там все чисто. Это какая-то защита которая запускаеться независимо от клиента, проверяет процессы или клиент и шлет отчет на сервер. Вот и надо как-то сделать что бы слать серверу левые пакеты от этой защиты.
а я говорю запустить через виртуалку - сам говорил через виртуалку работает. и наблюдать любой мало мальски левый пакет, которого в данной ситуации быть не должно на виртуалке. чтобы выяснить что именно и как и куда.

а я говорю запустить через виртуалку - сам говорил через виртуалку работает. и наблюдать любой мало мальски левый пакет, которого в данной ситуации быть не должно на виртуалке. чтобы выяснить что именно и как и куда.

еще раз говорю, все пакеты чистые))) левых нету между клиентом и сервером. Это только защита выё***)))

дллку выложите)

дллку выложите)

Я ж тебе в этом (http://coderx.ru/showpost.php?p=179624&postcount=12) посте выложил)

Добавлено через 1 час 42 минуты
St1mul, на счет Mart Anticheat
http://shot.photo.qip.ru/301rlHe.jpg

Но все равно я нашел IP. Теперь осталось дождаться когда у них траблы с инетом пропадут :D

то есть выходит линейка два соединения создает чтоль? первый стандартный клиентский поток, второй от системы защиты, работающий раз в пол минуты?

1 не сср и не ее модификация.
2 подменяет геймгвард репли и шлет кудато контрольный код.
В нем видимо стучит о наличии пховсово хука или вредной программы или "все гладко".
Если серв не дожидаетса отчета геймгварда заданое время кикает нах сомнительного юзера.

8tomat8, че то меня заинтересовала эта клиентская защита
сервер где она стоит можешь написать? или в пм

Даже открыв в хекс видно:
защита уровня школьника 10 класса.
Написана полностью на компонентах делфи.
Длл сам не накрыта даже upx.
Для шифрации использована компонента от Hagen reddmann
использует какойто des файл видимо настроечный в папке gameguard.
Защита подписана как SPS.

заключение:обходитса такимже школьником знакомым с реверсингом на уровне новичка.

Добавлено через 5 минут
Scoria protection кароч это.

Добавлено через 2 часа 52 минуты
кстате переименуйте длл в exe и глянте на иконку)))))))))) этожнадаже.
рабочего кода отсилы килобайт и мегабайт картинок и VCL рантайма

Добавлено через 5 минут

Ñîäåðæèò ìîäóëè:
gGuard [MainUnit]
CONVUNIT
SysInit
System
JclMime [WeakUnit, OrgWeakUnit, ImplicitUnit]
SysUtils
Windows [WeakUnit, OrgWeakUnit, ImplicitUnit]
Types [ImplicitUnit]
SysConst [ImplicitUnit]
Classes
RTLConsts [ImplicitUnit]
Messages [WeakUnit, OrgWeakUnit, ImplicitUnit]
Variants [ImplicitUnit]
VarUtils [ImplicitUnit]
TypInfo [ImplicitUnit]
ActiveX [ImplicitUnit]
base64 [ImplicitUnit]
Hash [ImplicitUnit]
DECUtil [ImplicitUnit]
DECConst [ImplicitUnit]
IdHTTP [ImplicitUnit]
IdGlobal [ImplicitUnit]
IdStackWindows [ImplicitUnit]
IdException [ImplicitUnit]
IdResourceStrings [ImplicitUnit]
IdStack [ImplicitUnit]
IdStackConsts [ImplicitUnit]
IdWinSock2 [ImplicitUnit]
Registry [ImplicitUnit]
IniFiles [ImplicitUnit]
IdURI [ImplicitUnit]
SyncObjs [ImplicitUnit]
IdCoderMIME [ImplicitUnit]
IdCoder3to4 [ImplicitUnit]
IdCoder [ImplicitUnit]
IdBaseComponent [ImplicitUnit]
IdAssignedNumbers [ImplicitUnit]
IdHeaderList [ImplicitUnit]
IdHTTPHeaderInfo [ImplicitUnit]
IdAuthentication [ImplicitUnit]
IdSSLOpenSSL [ImplicitUnit]
IdSocketHandle [ImplicitUnit]
IdAntiFreezeBase [ImplicitUnit]
IdComponent [ImplicitUnit]
IdSSLOpenSSLHeaders [ImplicitUnit]
IdIOHandler [ImplicitUnit]
IdTCPServer [ImplicitUnit]
IdStrings [ImplicitUnit]
IdThreadSafe [ImplicitUnit]
IdTCPConnection [ImplicitUnit]
IdStream [ImplicitUnit]
IdTCPStream [ImplicitUnit]
IdIntercept [ImplicitUnit]
IdRFCReply [ImplicitUnit]
IdIOHandlerSocket [ImplicitUnit]
IdSocks [ImplicitUnit]
IdThread [ImplicitUnit]
IdThreadMgr [ImplicitUnit]
IdThreadMgrDefault [ImplicitUnit]
IdServerIOHandler [ImplicitUnit]
IdServerIOHandlerSocket [ImplicitUnit]
IdTCPClient [ImplicitUnit]
IdCookie [ImplicitUnit]
IdCookieManager [ImplicitUnit]
IdAuthenticationManager [ImplicitUnit]
IdMultipartFormData [ImplicitUnit]
jpeg [ImplicitUnit]
JConsts [ImplicitUnit]
Graphics [ImplicitUnit]
Consts [ImplicitUnit]
httpsend [ImplicitUnit]
synsock [ImplicitUnit]
synacode [ImplicitUnit]
synaip [ImplicitUnit]
synautil [ImplicitUnit]
synafpc [ImplicitUnit]
blcksock [ImplicitUnit]
Controls [ImplicitUnit]
Forms [ImplicitUnit]
Math [ImplicitUnit]
Printers [ImplicitUnit]
WinSpool [WeakUnit, OrgWeakUnit, ImplicitUnit]
CommCtrl [WeakUnit, OrgWeakUnit, ImplicitUnit]
FlatSB [ImplicitUnit]
StdActns [ImplicitUnit]
Clipbrd [ImplicitUnit]
StrUtils [ImplicitUnit]
ShellAPI [WeakUnit, OrgWeakUnit, ImplicitUnit]
ActnList [ImplicitUnit]
Menus [ImplicitUnit]
Contnrs [ImplicitUnit]
ImgList [ImplicitUnit]
StdCtrls [ImplicitUnit]
Themes [ImplicitUnit]
ComCtrls [ImplicitUnit]
ComStrs [ImplicitUnit]
ExtActns [ImplicitUnit]
Mapi [ImplicitUnit]
Dialogs [ImplicitUnit]
ExtCtrls [ImplicitUnit]
Dlgs [WeakUnit, OrgWeakUnit, ImplicitUnit]
CommDlg [WeakUnit, OrgWeakUnit, ImplicitUnit]
ShlObj [WeakUnit, OrgWeakUnit, ImplicitUnit]
RegStr [WeakUnit, OrgWeakUnit, ImplicitUnit]
WinInet [WeakUnit, OrgWeakUnit, ImplicitUnit]
UrlMon [WeakUnit, OrgWeakUnit, ImplicitUnit]
ExtDlgs [ImplicitUnit]
Buttons [ImplicitUnit]
UxTheme [ImplicitUnit]
RichEdit [WeakUnit, OrgWeakUnit, ImplicitUnit]
ToolWin [ImplicitUnit]
ListActns [ImplicitUnit]
WinHelpViewer [ImplicitUnit]
HelpIntfs [ImplicitUnit]
Imm [WeakUnit, OrgWeakUnit, ImplicitUnit]
MultiMon [ImplicitUnit]
ufrmSplash

тоже имхо круто

[I]Добавлено через 2 минуты
Caption = 'L2jCore Team Game Guard'
чо скория это потомок этой уеты чтоли?)))

Код:

Caption = 'L2jCore Team Game Guard'

чо скория это потомок этой уеты чтоли?)))
__________________
если ты не напутал то автор защиты - визор
http://forum.cs-la2.ru/index.php?topic=7837.0 вот обход ее
там пишут что визор сп***ил исходники с SPS 0.9
мда визор разочаровывает нас...

я то че напутал =) в этом файле имеетса подпись защиты SPS 1.0 тобиш скория.
а L2jCore Team Game Guard тамже - подпись каковато окна диалога в ресурсах... странная соседство двух защит в одном файле ;)

Добавлено через 55 секунд
к слову сказать и та и другая полное Г**** (скажу как эксперт)

Добавлено через 28 минут
еще один факт =)
вот с этого адреса она может тащить какойто 3метровый экзешник.
очевидно обновление)
http://adm-sharya.ru/l2/guard/sps/client.exe

Сайт pvp-la*два цифрой*.ru

Добавлено через 4 минуты
А еще я подумал что проще всего было бы заюзать хайд тулзу) только вот проблема))) у меня win7 x64 и рэдхэт))) Что там, что там - херня)

Добавлено через 10 минут

еще один факт =)
вот с этого адреса она может тащить какойто 3метровый экзешник.
очевидно обновление)
http://adm-sharya.ru/l2/guard/sps/client.exe

_http://adm-sharya.ru :mda:
http://shot.photo.qip.ru/302MFwy.jpg

Добавлено через 46 секунд
St1mul, все ссылки там битые)

а ты ткни по этой) там скачиваетса файл 3мб. хз че за домен у него
на самом деле это тажа самая длл переименованая в exe тока последней типа версии. (непонятен смысл этого трюка)

в ней кстате уже затерли упоминания о SPS и L2Jcore gurd
и реализовали проверку внедленных в процесс модулей через ToolHelp32 (гениально и просто)

А по факту) Как мне защиту обойти то?))))

Так в паблике описаны обходы скории везде. Опять проблема ага как хайдтулз запустить -))

Здравствуйте уважаемые. Почитал раз речь идёт о защите не подскажите как вот с этой бякой побороться? Зарегался на серве качнулся до 75 лвла, рестарт. Пошёл на coderx качнул l2phx. Поюзал без руководства неполучилось, отлегло прогу удалил брандмавер почистил. Захожу на тот серв к которому конектился, он мне пишет при выборе сервера протокол этой версии не может быть использован, пожалусто продолжайте, соответственно ничего после не происходит. Ось win 7 ультимэйт, вирусов нет проверял, IP динамика, менял mac, клиенты перебрал все от эпилога до хф. На сервере эпилог. Дико извиняюсь если залез не в ту тему (если будете посылать укажите ссылочкой направление :) ). Дело как я понимаю в защите. Буду благодарен за любой познавательный ответ.

насчет хайд тулза у меня тоже вин 7 х64 и это печально...
посмотри тут (www.softsoft.ru/system-utilities/other/40618.htm) нашел хайд тулз для вин 7 но не успел проверить писали что он работает , в крайнем случае скачай песочницу (www.sandboxie.com/index.php?DownloadSandboxie)
+ насчет битых ссылок я на АС где то видел такую же тему там норм ссылки

/мираж
если перестановка патча к серву не помогла смело ищи себя в списках банов :)
на l2пх на многих сервах автобан акка/железа в конфиге стоит.
Если пишет "попытка доступа неудачна" -бан акка. Если "другая версия протокола" обычно по железу.

насчет хайд тулза у меня тоже вин 7 х64 и это печально...
посмотри тут (www.softsoft.ru/system-utilities/other/40618.htm) нашел хайд тулз для вин 7 но не успел проверить писали что он работает , в крайнем случае скачай песочницу (www.sandboxie.com/index.php?DownloadSandboxie)
+ насчет битых ссылок я на АС где то видел такую же тему там норм ссылки

только окна пи***асина ныкает....

Добавлено через 1 минуту
PS А песочница как поможет? Там же получается 2 варианта, либо л2 и phx не видят друг друга, тогда перехвата как бы нету. И второй вариант если они видят друг друга... тогда вообще без толку песочницу юзать

l2phx и не должен видеть lа2, пакетхак ловит только трафик, клиент он не трогает, а гг ловит пакетхак
в песочнице пакетхак может работать с трафиком но другие программы его видеть не могут
если я не ошибаюсь

8tomat8 кинь в лс ссылку где там ваш "супер-хако-профи" сайт по взлому ла2. как то раз мимо пробегал и увидел авик такой же.

8tomat8 кинь в лс ссылку где там ваш "супер-хако-профи" сайт по взлому ла2. как то раз мимо пробегал и увидел авик такой же.

Я его закрыл пару лет назад.

PS И можешь не смеяться я там много чего интересного в подполье выкладывал ;-) При чем не тыренного)

/мираж
если перестановка патча к серву не помогла смело ищи себя в списках банов :)
на l2пх на многих сервах автобан акка/железа в конфиге стоит.
Если пишет "попытка доступа неудачна" -бан акка. Если "другая версия протокола" обычно по железу.

На сколько я знаю (возможно ошибаюсь) о железе инфу собирает какой то файлик и при конекте файлик доходит сверяется и.т.д. Возможно ли это каким-то образом обойти (отредактировать энный файлик, или группу файлов :), мб есть програмулина для обхода бана по железяке?).

P.S. Pb downforse пробовал не помогла. Да и ещё как поискать себя среди бана? (я так понимаю можно каким-то образом добраться до базы, сори за приметив я в этом деле немного деревянный, но быстро учусь :))

На сколько я знаю (возможно ошибаюсь) о железе инфу собирает какой то файлик и при конекте файлик доходит сверяется и.т.д. Возможно ли это каким-то образом обойти (отредактировать энный файлик, или группу файлов :), мб есть програмулина для обхода бана по железяке?).

P.S. Pb downforse пробовал не помогла. Да и ещё как поискать себя среди бана? (я так понимаю можно каким-то образом добраться до базы, сори за приметив я в этом деле немного деревянный, но быстро учусь :))
1. это отдельная тема и терлось уже не раз на подобных форумах втч тут)
2. на некоторых сайтах серверов доступен список банов

PS И можешь не смеяться я там много чего интересного в подполье выкладывал ;-) При чем не тыренного)
C чего ты взял что я смеялся?.Я просто попросил ссылку.

goodvin1709, ____megachiter.ru

Добавлено через 15 минут
St1mul,
http://shot.photo.qip.ru/3048X7g.jpg

Не ловит phx из песочницы ничего))) даже к программе не обращается)

Добавлено через 11 минут
St1mul, а если запустить и клиент и phx в песочнице то в логах phx появляеться интересная штука
26.01.2012 10:19:56 (LSP) Обнаружено соединение (Сокет 3464) IP/port 195.211.101.43:7777. Соединение будет перехвачено
26.01.2012 10:19:56 ServerListen: Обнаружено новое соединение.
26.01.2012 10:19:56 Тунель ($85290912) создан
26.01.2012 10:19:56 Тунель ($85290912) уничтожен
26.01.2012 10:19:56 На сокете: 0 ошибка: 10038: Сделана попытка выполнить операцию на объекте, не являющемся сокетом

ла2 надо в сандбоксе запускать
а пкх на машине

ла2 надо в сандбоксе запускать
а пкх на машине

http://shot.photo.qip.ru/3009IOy.jpg

Те же яйца только в профиль))):D

Добавлено через 3 минуты
ЗЫ Я нашел в нете хайд тулзу для win x64, hidecon называется. Вот ссылка (http://fyyre.ivory-tower.de/). Тольуо когда я запускаю он мне говорит что у меня нету драйвера ioport3 =)
ЗЗЫ В нете драйвера не нашел)

8tomat8, ай ушла вся инфа с подполья в топку)

Скрин удали :D
а то перса забанят

8tomat8, на кой черт ты юзаешь лсп если л2 на другой машине? юзай сокс5

St1mul, какая беда))))

supernewbie, я откровенно не представляю как песочница работает.
Когда ставлю режим socks5 не перехватывает ничего. Может надо как-то перенаправлять трафик из песочницы на phx? Проксификатор какой-то?

ясен хрен что надо

Все сделал)

Запустил в песочнице 2 клиента l2 и proxycap. проксификатор настроил переадресовывать все пакеты от L2 на phx работающий в режиме socks5 =)

Всем спасибо)

1. это отдельная тема и терлось уже не раз на подобных форумах втч тут)
2. на некоторых сайтах серверов доступен список банов


Да вот в том-то и дело что тёрлась и не притёрлась. Вапрос актуален, приму в дар бесценные ссылки желательно с мануалом:rolleyes: Или выслушаю грамотных и умных людей ;)

о хоть и я с песочницей разобрался
если кто найдет для вин 7 х64 хай тулз рабочий
ссылку в студию или пм
пошел гайд писать по защите :D

Proxifier показал что это LameGuard :( Как почитал на форуме это печально....

Нашел еще один сервер с подобной защитой, только вот проблема в том что даже через sandbox выбивает из клиента) Нужен еще вариант)

попробуй запустить пх на второй машине

попробуй запустить пх на второй машине

На второй пашит) шифрации нету) все то же самое абсолютно, только кикает даже из сендбокса)

значит палит вирт машину, очевидно же

ту защиту проще кстрировать чем разбиратса в том че она делает

значит палит вирт машину, очевидно же

не, нормально запускается и с другой и с виртуальной машины.:confused:

Добавлено через 3 часа 34 минуты
Короче пофиг) надоело париться, сменил сервер)

Все сделал)

Запустил в песочнице 2 клиента l2 и proxycap. проксификатор настроил переадресовывать все пакеты от L2 на phx работающий в режиме socks5 =)

Всем спасибо)

А можно по подробнее о сием процессе :rolleyes:

У меня Proxycap В песочнице не запускается( говорит о том что -Failed to acces proxy cap service configuration)
И как ты настроил плз покажи (настройки) .

А можно по подробнее о сием процессе :rolleyes:

У меня Proxycap В песочнице не запускается( говорит о том что -Failed to acces proxy cap service configuration)
И как ты настроил плз покажи (настройки) .

В настройках sandbox поставь галочки что бы разрешал доступ ко всем сетевым процессам

В настройках sandbox поставь галочки что бы разрешал доступ ко всем сетевым процессам

Скинь скрин(фото) где находиться эти Галочки, я их найти не могу.

Добавлено через 1 час 31 минуту
Блин я не понимаю где ты там нашел эти настройки
Покажи плз

Скинь скрин(фото) где находиться эти Галочки, я их найти не могу.

Добавлено через 1 час 31 минуту
Блин я не понимаю где ты там нашел эти настройки
Покажи плз

http://shot.photo.qip.ru/301rqaO.jpg

http://shot.photo.qip.ru/102MJzJ.jpg

Добавлено через 19 минут
насчет хайд тулза у меня тоже вин 7 х64 и это печально...
посмотри тут (www.softsoft.ru/system-utilities/other/40618.htm) нашел хайд тулз для вин 7 но не успел проверить писали что он работает , в крайнем случае скачай песочницу (www.sandboxie.com/index.php?DownloadSandboxie)
+ насчет битых ссылок я на АС где то видел такую же тему там норм ссылки

Нашел и настроил Hidetoolz под win7 x64.
Сначала скачай и установи патч (http://fyyre.ivory-tower.de/x64/disable_pg_ds.rar)
А потом запускай и юзай сам хайд тулз, в ридми читай как её юзать - она консольная. Вот ссылка. (http://fyyre.ivory-tower.de/projects/hidecon.rar)

PS Защита все равно каким-то чудом видит пакетхак.

Полюбому как назло - Failed to acces proxycap service configuration :confused:

Это патч для винды поди от fyyeri, который отключает защиту таблицы системных сервисов sst в 64 осях?)

Это патч для винды поди от fyyeri, который отключает защиту таблицы системных сервисов sst в 64 осях?)

C чего ты это взял?

C чего ты это взял?

наверна с того что в 64 осях руткиты не работают иза встроеной защиты sst.

наверна с того что в 64 осях руткиты не работают иза встроеной защиты sst.

Ну йух знает)))

ага он самый. зашол пасмарел с кампа :)
чето не веритса мне что он видит скрытый процесс да еще с LSP перехватом. наверна там все проще и тупее

хД скрипт на пх напишы чтоб игнорил пакет закрытие клиента и все дела хД

еще заблокируй покеты на разрыв соединения и покеты на бан иначе беспалезно!

хД скрипт на пх напишы чтоб игнорил пакет закрытие клиента и все дела хД

е*ать! Помогло! уже 2 недели не играю!))))