[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
2. Переходим в Kernel Detective во вкладку "System Service Descriptor Table" и ищем "NtQuerySystemInformation" (должен быть красным) жмем правой кнопкой мыши и выбираем "Restore Selected", если же нету, то жмем "Refresh" и проверяем снова.
[Ссылки могут видеть только зарегистрированные пользователи. ]
Альтернативный способ: во вкладке "System Service Descriptor Table" жмем Ctrl + A (все выделяеться) далее правой кнопкой мыши и "Restore All"
3. Выполнено! Теперь ваш процесс игры виден в Диспетчере задач и с ним можно работать.
+ бонус
Не работаю кликеры? Действия аналогичны, только переходим во вкладку "System Service Descriptor Table" и жмем Ctrl + A (все выделяеться) далее правой кнопкой мыши по любой функции и "Restore All" мы разблокировали все WinAPI функции, в том числе и обработчик нажатия мыши.
P.S. на счет L2PH, у меня не запускается. Проблему так и не выяснил. Буду рад услышать ваши предложения.
________________
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
mars2107, это может работать только на хр 32 бита, потому что на висте и выше античит не хукает системные вызовы, и кернел детектив там невозможно использовать
Нашёл чем то похожую программу для х64. PowerTool файл немного по другому называется active64.sys Но пока не разобрался чем это может помочь....может кто додумается)
а я о чем говорю, это тема никакой не обход. Античит на 32 битных системах скрывает процесс просто как вдобавок, открыть процесс из-под хайда это не обход, потому что защита в ядре работает и с юзермода ее нельзя отключить
Если кому интересно инфа про АА (возможно здесь не все верно): подгружается драйвер, из него вызывается 8 функций (IoDeviceControl). Драйвер скрывает процесс клиента, проверяет целостность некоторых файлов. Так же частично в драйвере генерируется ключ для обмена с сервером, который служит для авторизации (функции GenerateA, GenerateServerKey, GenerateAdditionalKey в юзермодной части). Еще из юзермодной части проверяются таблицы tcp-соединений - насколько я понимаю здесь АА пытается палить тулзы анализирующие и модифицирующие траффик.
Если кому интересно инфа про АА (возможно здесь не все верно): подгружается драйвер, из него вызывается 8 функций (IoDeviceControl). Драйвер скрывает процесс клиента, проверяет целостность некоторых файлов. Так же частично в драйвере генерируется ключ для обмена с сервером, который служит для авторизации (функции GenerateA, GenerateServerKey, GenerateAdditionalKey в юзермодной части). Еще из юзермодной части проверяются таблицы tcp-соединений - насколько я понимаю здесь АА пытается палить тулзы анализирующие и модифицирующие траффик.
Вот эти ключи, которые он генерирует. Если создать батник с использованием одного из ключа (вопрос как его отловить?) не одноразовым ли он будет?
Подскажите снифферы которые отлавливают в отдельных приложения трафик, может там можно отловить будет этот ключ на сервер?
________________
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
1) серверный AA формирует ключ и пересылает клиенту АА. Этот ключ каждый раз новый.
2) клиент АА на основе этого ключа формирует ответный ключ и отправляет серверу.
3) Если ответный ключ клиента верный (+ все остальные проверки), то АА закпускает клиент аиона.
Это упрощенная схема, в принципе, весь этот процесс можно реализовать у себя в программе. Если не путаю, то ответный ключ формируется на основе исходного ключа, контрольных сумм файлов (skills.pak, aion.bin и еще каких-то, что-то еще, но не помню уже)
Снифать это все можно любым удобным средством. Например, wireshark с фильтром по ip и портам.