Welcome, Guest
Please Login or Register.    Lost Password?

Прячем бота. Топик переполнен паранойей :)
(1 viewing) (1) Guest
Go to bottomPage: 12345678...18
TOPIC: Прячем бота. Топик переполнен паранойей :)
#22700
Прячем бота. Топик переполнен паранойей :) 7 Years, 8 Months ago Karma: 3
Прочитал пару постов от забаненых, и решил описать как у меня спрятан бот, может кому-то это добавит крепкого сна

Коротко, как это работает:
ОС: Windows XP Prо, файловая система NTFS
PC: (не совсем)старый полудохлый комп (у меня P4 3.0 s775 2gb ram Intel GMA)
Ева запускается от юзера с ограниченными правами.
Бот запускается от другого пользователя с правами админа через Runas
EXE бота и его папка в Programm Files переименован во что-то неприметное (типа WinRAR\Rar.exe - используем воображение) , что правда ломает авто обновление, приходится в ручную после апдейта переименовывать ехе и копировать все в нашу папку
Включен Advanced File Sharing и через Properties -> Security к папке бота вырублен весь доступ кроме админов

По итогу если CCP поставит акк под подозрение, то :
ничего подозрительного в списке процессов не найдет
если будет искать бота через поиск файлов, то список содержимого директории с ботом они получить тоже не смогут, так как не будет доступа
тоже самое к настройкам бота, которые лежат в Application Data
В реестре как я понял бот ничего не хранит, кроме куска от автоапдейтера, который тоже при желании можно спрятать и который сам по себе является сторонней программой другой фирмы и только косвенно указывает на бота

Но естественно главное это не копать 24/7, тут уже ничего не поможет
lexazan
Fresh Boarder
Posts: 26
graphgraph
User Offline Click here to see the profile of this user
The administrator has disabled public write access.
 
#22702
Re: Прячем бота. Топик переполнен паранойей :) 7 Years, 8 Months ago Karma: 701
Где то я приводил ссылку на утилиту которая позволяет мониторить к каким файлам и директориям происходит обращение процессов. Тестировали процесс евы довольно долго, ева кроме как в свои папки никуда больше не лезет.
Slav2
Admin
Posts: 14840
graph
User Offline Click here to see the profile of this user
The administrator has disabled public write access.
Send logs to my mail - with subject 'log files' to pass spam filter.
How to record logs in knowledge base
 
#22704
Re: Прячем бота. Топик переполнен паранойей :) 7 Years, 8 Months ago Karma: 3
Procmon от MS может посмотреть, но еще тут может быть такое дело, что проверки делаются когда юзера маркируют как возможного бота. Вообщем better be safe than sorry

Все таки тут один колл к user32.dll - в списке EVEPilot.exe и можно сразу карать
lexazan
Fresh Boarder
Posts: 26
graphgraph
User Offline Click here to see the profile of this user
Last Edit: 2012/09/17 11:20 By lexazan.
The administrator has disabled public write access.
 
#22740
Прячем бота. Топик переполнен паранойей :) 7 Years, 8 Months ago Karma: 0
по поводу 24\7 могу поспорить )
Копали, копают и будут копать 24\7
А вот скрывать процессы да, разумная идея, думаю что воспользуюсь таким советом
ironmuaddib
Junior Boarder
Posts: 75
graphgraph
User Offline Click here to see the profile of this user
The administrator has disabled public write access.
 
#22750
Прячем бота. Топик переполнен паранойей :) 7 Years, 8 Months ago Karma: -1
главное с форума макролаба не ходить по ссылкам на евовский форум\сайт )
zorkiy
Fresh Boarder
Posts: 18
graphgraph
User Offline Click here to see the profile of this user
The administrator has disabled public write access.
 
#22995
Прячем бота. Топик переполнен паранойей :) 7 Years, 8 Months ago Karma: 0
lexazan писал(а):
Прочитал пару постов от забаненых, и решил описать как у меня спрятан бот, может кому-то это добавит крепкого сна

Коротко, как это работает:
ОС: Windows XP Prо, файловая система NTFS
PC: (не совсем)старый полудохлый комп (у меня P4 3.0 s775 2gb ram Intel GMA)
Ева запускается от юзера с ограниченными правами.
Бот запускается от другого пользователя с правами админа через Runas
EXE бота и его папка в Programm Files переименован во что-то неприметное (типа WinRAR\Rar.exe - используем воображение) , что правда ломает авто обновление, приходится в ручную после апдейта переименовывать ехе и копировать все в нашу папку
Включен Advanced File Sharing и через Properties -> Security к папке бота вырублен весь доступ кроме админов

По итогу если CCP поставит акк под подозрение, то :
ничего подозрительного в списке процессов не найдет
если будет искать бота через поиск файлов, то список содержимого директории с ботом они получить тоже не смогут, так как не будет доступа
тоже самое к настройкам бота, которые лежат в Application Data
В реестре как я понял бот ничего не хранит, кроме куска от автоапдейтера, который тоже при желании можно спрятать и который сам по себе является сторонней программой другой фирмы и только косвенно указывает на бота

Но естественно главное это не копать 24/7, тут уже ничего не поможет


Есть программа hidetools скрывает процессы и ничего невидно правдо на программу hidetools может ругатся антивирь и кинет его в карантин так, что дайте доступ для hidetools и скрывайте свой процесс. Проверял спидхак в других играх без хайд толса банят с ним все пучком :0)
MoydodbIR
Fresh Boarder
Posts: 5
graphgraph
User Offline Click here to see the profile of this user
The administrator has disabled public write access.
 
Go to topPage: 12345678...18
Moderators: Slav2
© Macro Laboratory 2020
All rights reserved!
Design by Ivan Kozyrin