Защита сборка, клиент.

[Ramzes]

Гитао вообще пропал, хотя бы нам коммент от Убуса увидеть :redlol:

[luna9966]

Я старых волкеров детектил соотношением пакетов ValidatePosition к AttackRequest.
Как дела обстоят с текущим поколением ботов, пока не выяснял. Есть Free версия l2tower, на их сайте.
Моя защита ловит ее за 10-15 минут, в дефолтном состоянии.

ValidatePosition Да, да. Старый волкер любил спаммить этим пакетом :redlol:на что получал actionfailed() и вилял лесенкой.

[OneThunder]

Против ботов все просто, 3 варианта

1) При входе в игру чар во фризе просит ввести цифры с картинки после этого чар выходит из фриза. тобишь на подобее капчы видел чтото такое на maxcheaters

2) Через каждые 100-500 мобов появлялась табличка с вводом капчы.

3) Через каждые 3-4- N часов выводить такую табличку

еще скрин

[linliss]

Против ботов все просто, 3 варианта

1) При входе в игру чар во фризе просит ввести цифры с картинки после этого чар выходит из фриза. тобишь на подобее капчы видел чтото такое на maxcheaters

2) Через каждые 100-500 мобов появлялась табличка с вводом капчы.

3) Через каждые 3-4- N часов выводить такую табличку

еще скрин

Проблемы сервера не должны волновать игроков. Ситуация для примера: качаешся на споте, вылазит эта муть и в этот момент на тебя вары нападают, весело да?

[Ramzes]

Речь идёт не только о ботах, но ещё и стороннем ПО.

[Retired]

Против ботов один вариант и это хардкор.
Ага.
Мне делать нехер, поэтому я его пилю. За бесплатно.

Пруф :




SoBadItsMe, вот когда обойдешь, отпишешь.
Я добавлю туда блеклист всех нужных утилит, захучю функции NTLoadDriver и прочие средства по загрузке и выгрузке драйверов, так что жопа боль будет та еще.


За бесплатно. Только с клиентом я работать не буду, релизю в виде плагина (x86 , x64) а вы сами допиливаете остальное.


Работы осталось буквально на пару дней, а если не лениться на пару часов =)

[Aristocrat]

Чет это мне напоминает...
Я конечно ничего не имею против, но мы не пополним после этого вашу армию нежити?)

[Retired]

Чет это мне напоминает...
Я конечно ничего не имею против, но мы не пополним после этого вашу армию нежити?)

Нет, проверить на бекдоры можно всегда

[Ramzes]

Пеня в каком виде на выходе будет? И кто будет встраивать? Если опять же с лг то как? Как доп библиотека?
Я в шаре видал исходы лг или где то мб запилишь что ни буть =)

[Retired]

Собственно подробнее :

Защита состоит из двух частей, x86 битная и x64 битная.

x86 защита грузит в систему Драйвер и работает с уровня ядра (Kernel Mode). x64 битная защита работает из Usermode(ring3). Причины и функции ниже.

Функции драйвера :

1. Перехват всех нужных вызовов API из ядра и скрытие процессов Lineage 2 на уровне пользователя от всех не нужных глаз. Так же скрываются TCP соединения процесса (Для скрытия IP cервера и псевдо защиты от DDoS. )

Однако на счет скрытия IP от таких файрволлов как Comodo я не уверен, т.к у них стоит драйвер фильтрующий IRP и имеющий намного более сложную структуру работы, которую такому нубу как мне не постичь.

Фрагменты кода на скриншоте выше.

2. Поднятие привилегий процесса в Usermode.

3. Убийство любых программ которые входят в BlackList драйвера (Это разные программы которые могут загружать,выгружать драйвера из ядра, например IceSword.)

4. Перехват NtLoadDriver , который так же не позволит грузить никакие драйвера в ядро. Есть и другие методы загрузки дров, они так же будут блокироваться. Например загрузка драйвера через Буткит. Наш софт будет мониторить все сектора HDD и предотвращать "извращения".


5. Над остальным идет работа и раздумие.



А теперь функции Usermode(x64) защиты. Хотя она работает из уровня пользователя, но все равно представляет из себя сложную систему. Причина по которой защита для x64 работает из Ring3 проста, мы не можем загрузить драйвер без цифровой подписки, а получить ее не просто. + Есть всякая защита от патчинга например PatchGuard, что усложняет работу (при SSDT хуках замечался BSOD и другая рандомная хрень!)

Что она может :

1. Перехватывать обработчик системных функций , аналог KiFastSystemCall (x86) только для x64 архитектуры. (Системный вызов немного отличается)

Т.е защита перехватывает нужные функции ДО того как они передаются в режим Ядра. А это самый низкий уровень возможный реализовать из Ring3.


2. Сканнер на боты, Эвристический анализ поведения программ, Сканер окошек и тд. Все нужное.





Плюсы :

1. Высокая надежность
2. Сложные механизмы работы которые могут помешать "хацкерам" найти решение по обходу.


Минусы :

1. Палево от AV,Firewall'ов.
2. Интеграция с клиентом L2(Я хзбля).


Ну короче расписал как мог. Если есть вопросы - задавайте.