Защита сборка, клиент.

[Deazer]

По поводу не видимых мобов на офе если ты на софте и тебе такой моб попался 100% гарантированный бан , он имеет такой же id как и все остальные , ни какхи смещений по xyz у него колисиум радиус колисиум хайг равен 0 и при этом он нон атакейбл - взять его по Target Next не реально , только с софта.
Ни zranger ни валкеры шмалкеры эту проблему решить не могу,хотя

[n3k0nation]

Я тут подумал и нашел в своем софте небольшую дырку. Т.к драйвер ставит глобальный хук NtLoadDriver, он будет запрещать загрузку как обычных(легитимных) так и "злых" дров. А это может создать пользователю большие проблемы.
FIX уже есть в голове, буду проверять каждый загружаемый драйвер на наличие сертификата, и если он валиден то драйвер будет загружен а в противном случае у кого то Bombanoolo very hard.
Если у кого то есть такие "тонкие" замечания - скидывайте в тему. А то мало ли я натупил xD


Пойду спать, всем спокойной ночи.

А если драйвер кастомный? Например, для работы со своими МК.
По идее годно было бы сделать анализ этого самого драйвера, тем более, что автоматические дизассемблеры еще не перевелись, а вкупе с паттернами чека даст неплохой эффект, я думаю.

С началом пятницы всех :redlol:

[Retired]

А если драйвер кастомный? Например, для работы со своими МК.
По идее годно было бы сделать анализ этого самого драйвера, тем более, что автоматические дизассемблеры еще не перевелись, а вкупе с паттернами чека даст неплохой эффект, я думаю.

С началом пятницы всех :redlol:

С каких пор игроки L2 загружают в ядро кастомные дрова и работают с чем то там?


:redlol::redlol:

[Deazer]

Он пытается сказать что если ты делаешь действительно защиту , то она должна работать на уровне драйверов и собственно быть им и если ты не сделать подпись , то твоя защита потерпит фиаско.

[n3k0nation]

С каких пор игроки L2 загружают в ядро кастомные дрова и работают с чем то там?


:redlol::redlol:

В большей части согласен с тем, что написал Дез, но немного дополню.
Значит, к примеру, мне, надо пойти, распаять плату, вытащить кристал и отдать его назад на ебай, ибо приложение икс, не поддерживает и блокирует? Вы правы, к черту ваши микроконтроллеры!
Хорошо, что еще не удаляет драйвера... Физически... И не подает напряжение на процессор в 230 вольт. Это было бы очень эффективно
Проблема ведь в том, что загрузка нового драйвера запрещена всегда после инсталла драйвера защиты, а не только во время сеанса линягодротства. Но и это еще не все. Совершенно бесплатно, мы получаем выгрузкуотказ загружаться всех кастомных драйверов, после перезагрузки, хотя может и повезти, что некоторые кастомные драйвера будут загружаться раньше защиты и она их не увидит, но надеяться, на чудо бессмысленно, как и на состояние гонки.

Он пытается сказать что если ты делаешь действительно защиту , то она должна работать на уровне драйверов и собственно быть им и если ты не сделать подпись , то твоя защита потерпит фиаско.

Скорее не фиаско, нет. Просто она будет не лучше чем работа любого студента Васи, с 'железного' направления. Но мы ведь пишем нормальную защиту? Значит надо обдумывать и решать все ее проблемы, а не запилить за недельку, с кучей костылей.

[Retired]

В большей части согласен с тем, что написал Дез, но немного дополню.
Значит, к примеру, мне, надо пойти, распаять плату, вытащить кристал и отдать его назад на ебай, ибо приложение икс, не поддерживает и блокирует? Вы правы, к черту ваши микроконтроллеры!
Хорошо, что еще не удаляет драйвера... Физически... И не подает напряжение на процессор в 230 вольт. Это было бы очень эффективно
Проблема ведь в том, что загрузка нового драйвера запрещена всегда после инсталла драйвера защиты, а не только во время сеанса линягодротства. Но и это еще не все. Совершенно бесплатно, мы получаем выгрузкуотказ загружаться всех кастомных драйверов, после перезагрузки, хотя может и повезти, что некоторые кастомные драйвера будут загружаться раньше защиты и она их не увидит, но надеяться, на чудо бессмысленно, как и на состояние гонки.



Скорее не фиаско, нет. Просто она будет не лучше чем работа любого студента Васи, с 'железного' направления. Но мы ведь пишем нормальную защиту? Значит надо обдумывать и решать все ее проблемы, а не запилить за недельку, с кучей костылей.

С чего ты взял что драйвер будет висеть в ядре вечно? Загрузчик будет загружать и выгружать его в зависимости от того, работаем ли мы с L2 или нет.
Так что проблем с кастомными драйверами быть не должно. Защита запретит загружать драйвера без подписи только во время работы L2.

[Sisi]

Собственно подробнее :

Защита состоит из двух частей, x86 битная и x64 битная.

x86 защита грузит в систему Драйвер и работает с уровня ядра (Kernel Mode). x64 битная защита работает из Usermode(ring3). Причины и функции ниже.

Функции драйвера :

1. Перехват всех нужных вызовов API из ядра и скрытие процессов Lineage 2 на уровне пользователя от всех не нужных глаз. Так же скрываются TCP соединения процесса (Для скрытия IP cервера и псевдо защиты от DDoS. )

Однако на счет скрытия IP от таких файрволлов как Comodo я не уверен, т.к у них стоит драйвер фильтрующий IRP и имеющий намного более сложную структуру работы, которую такому нубу как мне не постичь.

Фрагменты кода на скриншоте выше.

2. Поднятие привилегий процесса в Usermode.

3. Убийство любых программ которые входят в BlackList драйвера (Это разные программы которые могут загружать,выгружать драйвера из ядра, например IceSword.)

4. Перехват NtLoadDriver , который так же не позволит грузить никакие драйвера в ядро. Есть и другие методы загрузки дров, они так же будут блокироваться. Например загрузка драйвера через Буткит. Наш софт будет мониторить все сектора HDD и предотвращать "извращения".


5. Над остальным идет работа и раздумие.



А теперь функции Usermode(x64) защиты. Хотя она работает из уровня пользователя, но все равно представляет из себя сложную систему. Причина по которой защита для x64 работает из Ring3 проста, мы не можем загрузить драйвер без цифровой подписки, а получить ее не просто. + Есть всякая защита от патчинга например PatchGuard, что усложняет работу (при SSDT хуках замечался BSOD и другая рандомная хрень!)

Что она может :

1. Перехватывать обработчик системных функций , аналог KiFastSystemCall (x86) только для x64 архитектуры. (Системный вызов немного отличается)

Т.е защита перехватывает нужные функции ДО того как они передаются в режим Ядра. А это самый низкий уровень возможный реализовать из Ring3.


2. Сканнер на боты, Эвристический анализ поведения программ, Сканер окошек и тд. Все нужное.





Плюсы :

1. Высокая надежность
2. Сложные механизмы работы которые могут помешать "хацкерам" найти решение по обходу.


Минусы :

1. Палево от AV,Firewall'ов.
2. Интеграция с клиентом L2(Я хзбля).


Ну короче расписал как мог. Если есть вопросы - задавайте.

В какую сумму оценишь исходы данного добра?
Будет очень непреодолимое желание влепить туда пару своих интересных идей, аля - поставил бота/phx убил win Ну и в таком духе

[luna9966]

В какую сумму оценишь исходы данного добра?
Будет очень непреодолимое желание влепить туда пару своих интересных идей, аля - поставил бота/phx убил win Ну и в таком духе

Какой-то бред. Кроме негатива и нежелания играть на таком сервере, у игроков никаких других эмоций не вызовет.

Абсолютная защита это утопия, это как в том известном ролике про ботов.

Сервер должен быть защищен настолько, чтобы ничего в нем нельзя было бы поломать (читайте дюпнуть), не более. А защищаться от кликеров и макросов, это уже невменяемость какая-то.

[Retired]

В какую сумму оценишь исходы данного добра?
Будет очень непреодолимое желание влепить туда пару своих интересных идей, аля - поставил бота/phx убил win Ну и в таком духе

Исходники драйвера я не буду шарить. Исходный код загрузчика будет выложен в теме защиты v1.0


v2.0 может стать платной



P.s твоя идея не очень D: