|
|||||||
| Программинг Форум для тем связанных с программированием |
 |
|
|
Опции темы | Опции просмотра |
12.05.2011, 12:27
|
#12 |
|
Местный
Регистрация: 23.09.2009
Сообщений: 1,232
Сказал Спасибо: 119
Имеет 172 спасибок в 134 сообщенях
 |
типо фроста?
__________________
Начало. |
|
|
|
12.05.2011, 12:48
|
#13 |
|
Местный
Регистрация: 16.08.2009
Сообщений: 1,224
Сказал Спасибо: 4
Имеет 229 спасибок в 182 сообщенях
 |
я доковырялся
 подцепил или трояна, или чего... тремя антивирусами гонял, без толку - клиент не пускает пишет что я читор, хотя вообще ничего не запущено. автозагрузку почистил по самые помидоры. л2пх тут и не пахнет, а клиент все равно ругается и не пускает авторизацию. такое может быть в случае если трояном ехе файл попортился, или он висит все время в памяти и пытается внедрится в л2.ехе, а клиент из-за этого верещит, что его хакнуть пытаются. AVZой гонял туда суда, автозагрузку смотрел, драйвера, ну чистый же зараза, и все равно не пускает уже и патч скачал по новой, сверху кинул, запустил - аналогично. мысль только бан по мак адресу, а выглядит как "сработала защита клиента". чего теперь виндовс чтоль переустанавливать? пожже обратно л2пх через прокси подключу и еще раз гляну. будет крайне весело, если без читорских программ клиент не работает, а если с читорскими то работает.и еще вопрос. л2пхой можно заэмулировать клиент, но сам клиент для прохождения авторизации надо бы запустить, а потом можно выйти. а как самим л2пхой сделать подобную эмуляцию авторизации чтобы вообще не зависеть от клиента? и есть ли особая хитрая версия л2пх, которая будет видеть пакеты сразу как только клиент запустился, а то моя видит только с момента выбора чара, а процесс авторизации не видит. хотелось бы видеть цепь пакетов в момент авторизации. честное пионерское не для кражи паролей если бы я видел эти самые пакеты, возможно можно было бы заблочить отсылку пакета типа "запущен л2пх" на сервер, и продолжить авторизацию как нивчем не было.а еще хотело бы видеть потоки в л2пх. по сути л2пх практически готовый сервер, а немного разбираясь в коде л2пх хочу сделать что-то типа одиночной рпг, или может даже игру для небольшой пати на основе линейки. но без потоков думаю будет сложновато
__________________
хочу картинку в подпись!
 |
|
|
|
|
12.05.2011, 12:55
|
#14 |
|
Местный
Регистрация: 10.08.2010
Сообщений: 634
Сказал Спасибо: 22
Имеет 95 спасибок в 70 сообщенях
|
Фрост это вообще адский руткит хукающий полсистемы )
тут все проще. чтоб скрыть нежелательное по от защиты типа вышеописаной думаю достаточно заинжектить длл и перехватить ченеть типа creattoolhelpsnapshot и enumerateprocess + enumwindows. Фрост так ненаепеш он сам хукает много чего и палит свои хуки. Добавлено через 3 минуты А вообще больше ниче не пишу тут про обходы. argot со своим ссрexpert тоже старый боец с кодера) смеетса поди щас над нами
__________________
читернуть бы ништяг Последний раз редактировалось mira, 12.05.2011 в 12:55. Причина: Добавлено сообщение |
|
|
|
|
13.05.2011, 01:02
|
#15 |
|
Местный
Регистрация: 16.08.2009
Сообщений: 1,224
Сказал Спасибо: 4
Имеет 229 спасибок в 182 сообщенях
|
так! кто может подсказать что-то типа дебагера, может оли, только я ей пользоваться не умею - чтобы выяснить, что пытается влесть в клиент, что клиент материться, хотя я вообще ничего не запускал. этот троян, руткит, или кто он там меня достал. весь день пытаюсь запустить - не выходит.
перекинул клиент на второй комп - все нормально, заходит. а на этом никак. Добавлено через 7 часов 3 минуты я уже зае..лсяяяяя... антивирус снес, еще раз погонял различными антивирусами, поудалял все что можно, один хрен не пускает в игру. на втором компе пускает, посмотрел разница только в одном на "забаненом" л2.ехе подгружает ADVAPI32.DLL удалить её нельзя - бсод. вот теперь вопрос - как узнать что за приложение запускает эту длл? затрахался я... переустанавливать ХР не буду принципиально
__________________
хочу картинку в подпись!
Последний раз редактировалось SeregaZ, 13.05.2011 в 01:02. Причина: Добавлено сообщение |
|
|
|
|
13.05.2011, 10:57
|
#16 |
|
Местный
Регистрация: 10.08.2010
Сообщений: 634
Сказал Спасибо: 22
Имеет 95 спасибок в 70 сообщенях
|
Адвапи это одна из критических системных библиотек) через нее все приложения в частности работают с реестром итд. Тока не говори что чистый клиент ее не юзает) если там канеш не своя адвапи в патче для маскировки
Добавлено через 2 минуты Для начала какимнить petools найди из какова каталога она подгружена
__________________
читернуть бы ништяг Последний раз редактировалось mira, 13.05.2011 в 10:57. Причина: Добавлено сообщение |
|
|
|
|
13.05.2011, 18:50
|
#17 |
|
Местный
Регистрация: 16.08.2009
Сообщений: 1,224
Сказал Спасибо: 4
Имеет 229 спасибок в 182 сообщенях
|
да догонялся, что снес удаленные подключения. пришлось делать переустановку, сейчас виндовс у меня белая и пушистая. в игру пускает.
но при переустановке полетели все вкладки и пароли в мозиле. я скопировал профиль, думал прикручу его в новой мозиле и все будет в ажуре, а хрен там. оказывается выгружать надо было специальным софтом, которого естественно не было, и о котором я ничего не знал. кароче гавномозиллой решил больше никогда не пользоваться. для теста оставил, но теперь туда ни ногой... мозильные программеры-уроды делать надо любой продукт казуальным по самые помидоры, чтобы любая домохозяйка могла одним кликом делать что надо, а не читать вагон литературы, перед тем как использовать.
__________________
хочу картинку в подпись!
|
|
|
|
|
13.05.2011, 21:57
|
#19 |
|
Местный
Регистрация: 16.08.2009
Сообщений: 1,224
Сказал Спасибо: 4
Имеет 229 спасибок в 182 сообщенях
|
да опять переустанавливать походу
вобщем у меня 2 теории. или он может слать клиенту команду на "отключение", и мой клиент где-то гадит в системе. момент к сожалению не отследил, и после этого клиент не работает.или я опять своим чит софтом запустил заразу, которая мне подпортила систему. но я всетаки склоняюсь к первому варианту, так как троянов и вирей прошлый раз я так и не нашел. нашел портаху на жестком диске, что кой какие файлы виндовса не удалялись. только форматированием пришлось... Добавлено через 14 минут кароче нужен доавторизационный сниффер, чтобы поглядеть что он там отсылает на сервер. возможно какую-то информацию о железе. потому что при неправильном пароле - пишет что пароль не верный, а при правильном - аксесс фейл. аксес фейл пишет при подозрении клиента, что его ломают. и в теории - когда ему после авторизации приходит команда "не пускать, так как клиент забанен". где-то я читал что-то типа про клиентский ID. кто что знает про это? еще можно попытаться сменить имя компьютера и рабочей группы, еще нужно что-то типа файл-монитор, чтобы видеть что и где в реестре читает клиент при запуске, на случай если по команде с сервера мне клиент где-то нагадил. Добавлено через 1 час 27 минут я решил что капаю не в том направлении. поэтому скачал какую-то защиту для сервера. установить конечно у меня ума не хватит, но я надеялся найти там подсказку. и вроде бы нашел. в той защите есть три варианта наказания - просто выкидывание, бан по айпи и ban by hwid - видимо этот последний и есть "железный бан". что за hwid и откуда его получает клиент и как я могу его подделать? он определенно связан с windows, так как после переустановки клиент нормально работал, пока я не спровоцировал одного толстого админа меня забанить. замена имени компьютера, изменение разрешения монитора и разрядности цвета, перенос на другой жесткий диск - не помогли
__________________
хочу картинку в подпись!
Последний раз редактировалось SeregaZ, 13.05.2011 в 21:57. Причина: Добавлено сообщение |
|
|
|
|
|
Линейный вид
|
|
Часовой пояс GMT +4, время: 21:15.