Приветствуем вас на форуме проекта WoW Circle. Если вы читаете это, значит не зарегистрировались у нас. Для того, чтобы получить доступ к расширенным возможностям нашего форума нажмите сюда и пройди регистрацию, которая не займет у вас много времени. После регистрации будут доступны новые, более расширенные, возможности.
О наболевшем

Упомянутые в теме пользователи:

Показано с 1 по 12 из 69

Тема: О наболевшем

Комбинированный просмотр

Предыдущее сообщение Предыдущее сообщение   Следующее сообщение Следующее сообщение
  1. 18.06.2012, 08:10 #1
    roman_pro
    roman_pro вне форума
    Активист Аватар для roman_pro
    Регистрация
    05.01.2012
    Сообщений
    15
    Поблагодарил(а)
    4
    Получено благодарностей: 13 (сообщений: 10).
    Репутация: 3
    Как бы всё опенсорсное, потому несложно самим посмотреть что за проверки сработали по известным id. Вот простыня всех проверок, если здешние админы ничего не добавили от себя или не удалили (а зная такие факторы как лень и "работает - не трогай", можно с 90% вероятностью утверждать что взяли готовое и ничего не меняли), то на сервере живёт что-то похожее. Собственно, небольшой коментарий к расшифровке этой мешанины цифр.
    Первый столбец это как раз id проверки, т.е. её уникальный номер. Второй столбец это тип проверки, их несколько типов:

    178 проверка на хэш
    191 проверка на хэш (только MZ/PE)
    152 проверка MPQ
    139 проверка LUA
    113 проверка дров
    87 тайминг проверка
    126 проверка API
    217 проверка DLL
    243 проверка памяти
    (типы проверок можно узнать из перечисления WardenCheckType, там же комментарии что они означают)

    Дальше идут данные связанные с конкретной проверкой (в зависимости от типа проверки используются различные данные) - хэш, имя драйвера, адрес, длина данных, сами данные. Последний столбец, если там не NULL - комментарий. В некоторых случаях он информативен (содержит название чита), но чаще всего отсутствует (NULL). Однако приблизительно понять что не понравилось вардену можно и в этих случаях. Возьмём вышеназванные проверки 113, 320, 72 и посмотрим.
    Все 3 имеют 243й тип, т.е. проверку памяти. Однозначно либо использовались левые программы, просто в комментариях не указано какие именно, либо ещё один вариант - использовался левый файл Wow.exe (пропатченный).

    Фактически если забанившая проверка относится к 139 типу, то это бан за левые аддоны (ибо связано с LUA), если к 152 типу, то это бан за использование модифицированных ресурсов в клиенте (замена моделей, etc). Все остальные типы проверок так или иначе связаны с левыми программами (изменения в памяти/перехват функций/внедрение DLL/etc) или патченным Wow.exe. Отдельно стоит выделить проверки на загруженные драйверы, там судя по названиям фигурируют драйверы сторонних программ, позволяющих перехватывать/модифицировать трафик (ndis_x86, IPSect), либо скрывать процессы (HideEx), так же есть ещё тройка запрещённых драйверов drvsys_mon, Afd32uu, Afde32uu назначение которых из названия понять не получается. Но думается их используют какие-то читы, раз их добавили в базу.
      Вверх

  2. 2 пользователей сказали cпасибо roman_pro за это полезное сообщение:

    Kostos (18.06.2012),mikado (18.06.2012)
« Предыдущая тема | Следующая тема »

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  

Правила форума