Jump to content
Korean Random
KACTET

awesomium или попытка осмысления и отключения.

Recommended Posts

Как мы знаем в последних патчах в игре появилась так называемая папка awesomium (worldoftanks\res\awesomium).

Что говорят нам в игре про это:
Это внутри игровой браузер.
Данный файл является частью игрового клиента, не рекомендую его удалять.

Что нам говорят про это в сети:
Что это на подобии фроста.
Что выполняет не только функции браузера а ещё следит за процессами и сканирует систему.


В общем посмотрев, что ещё и создаёт лишний процесс в памяти висящий и решил я эту штуку культурно угрохать.
Был создан исполнимый файл exe ПУСТЫШКА.
 
В итоге переименовал файл awesomium_process.exe в awesomium_process0.exe
а вместо awesomium_process.exe записал созданную мной пустышку.

Итог: Всё работает!

avesonium.jpg
 
Файл заглушка: http://rghost.ru/59350862 (прошу извинить, файлы почему то не добавляться..)
Вот вирустотал: https://www.virustotal.com/ru/file/5fc62f9ee4b22f42464c3dc604bb3544683f345820e06a23bb680adc2df0be7d/analysis/1417363450/

крикнул один норман не знаю почему, пустой файл, кому не нравиться ждите кто сделает ещё заглушку...

Edited by KACTET
  • Upvote 6
  • Downvote 4

Share this post


Link to post

Short link
Share on other sites

@KACTET, то, что ты сделал пустышку, конечно, хорошо. Но не плохо было бы видеть исходник, вайнеры по этому поводу найдутся.

  • Upvote 1
  • Downvote 1

Share this post


Link to post

Short link
Share on other sites

@KACTET, то, что ты сделал пустышку, конечно, хорошо. Но не плохо было бы видеть исходник, вайнеры по этому поводу найдутся.

dizassembler.jpg

 

Вот вам код и ещё код в дизассемблере. Это пустышка т.е. в файле нету вообще кода. Есть сомнения - в интернете куча дизассемблеров и даже онлайн.

Плюс я не заставляю ставить, появиться знающий в ассемблере или в другом языке программирования и поможет нам со своей версией. Плюс в интернете этих заглушек много тоже. Главное, чтобы возвращала запросы обратно в игру. (ну я так думою)

Edited by KACTET
  • Upvote 4
  • Downvote 3

Share this post


Link to post

Short link
Share on other sites
Что выполняет не только функции браузера а ещё следит за процессами и сканирует систему.

Каждый патч вам предлагают согласится с лицензией или удалить игру, а при первом запуске спрашивают ещё и разрешение на сбор информации о конфигурации системы и (возможно) запущенных приложениях.

Всё легально, а если вам что-то не нравится - вы в праве удалить игру.

 

В общем посмотрев, что ещё и создаёт лишний процесс в памяти

Эта 38-ми килобайтовая программа конечно всем очень мешала в 15-Гигабайтном клиенте игры.

Пожалуйста, объясните мне, зачем же подобные извра.. ухищрения

 

 

который может возвращать все отданные ему запросы а не просто тупо отключаться.
в файле нету вообще кода.

Вы противоречите сами себе.

В секции .idata содержится, видимо, некоторый мусор от компилятора (Никто в здравом уме не будет писать то, что в ней написанно).

Да и это - не исходник.

Edited by Azbuka_slovensko
  • Upvote 2
  • Downvote 2

Share this post


Link to post

Short link
Share on other sites

Каждый патч вам предлагают согласится с лицензией или удалить игру, а при первом запуске спрашивают ещё и разрешение на сбор информации о конфигурации системы и (возможно) запущенных приложениях.

Всё легально, а если вам что-то не нравится - вы в праве удалить игру.

 

Эта 38-ми килобайтовая программа конечно всем очень мешала в 15-Гигабайтном клиенте игры.

Пожалуйста, объясните мне, зачем же подобные извра.. ухищрения

 

 

Вы противоречите сами себе.

В секции .idata содержится, видимо, некоторый мусор от компилятора (Никто в здравом уме не будет писать то, что в ней написанно).

Да и это - не исходник.

1). Я нажал соглашения в игре и очень рад, а сейчас отключаю процесс awesomium. :heh:

2). В шапке написано зачем эти извращения по отключению - прочитайте опять..

3). Код приведён на картинке в 2 строчках.

 

Вы просто троллите и всё а тема думаю многим интересна.

Edited by KACTET
  • Upvote 6
  • Downvote 3

Share this post


Link to post

Short link
Share on other sites

 

 

Вы просто троллите

Сперва я подумал, что вы неправы. Но после того, как я пять раз прочитал первое сообщение и почти составил развёрнутый план, то понял, что вы правы. Извините.

Я хочу понять, зачем отключать awesomium, а после могу удалиться из темы.

  • Upvote 1
  • Downvote 1

Share this post


Link to post

Short link
Share on other sites

Сперва я подумал, что вы неправы. Но после того, как я пять раз прочитал первое сообщение и почти составил развёрнутый план, то понял, что вы правы. Извините.

Я хочу понять, зачем отключать awesomium, а после могу удалиться из темы.

Да я тоже погорячился, прошу извинить.

Edited by KACTET
  • Upvote 2
  • Downvote 2

Share this post


Link to post

Short link
Share on other sites

....который может возвращать все отданные ему запросы а не просто тупо отключаться....

 

Что?? Покажи где в этом коде "возвращаются все отданные ему запросты", и что это вообще значит?

ExitProcess(0)
  • Upvote 1
  • Downvote 2

Share this post


Link to post

Short link
Share on other sites

Что?? Покажи где в этом коде "возвращаются все отданные ему запросты", и что это вообще значит?

 

 

ExitProcess(0)

 

Проще скажем правильная пустая программа невыполняющая никаких действий - заглушка.

Опять вопросы вопросы, на данный момент найдено решение и заглушка моя работает.

 

Вот помоги сделать всё по правилам EXE файлов заглушку.. Люди благодарны будут и я тоже..

(у меня сейчас программ не стоит вообще, а ставить ради заглушки как то не идёт)

 

Я как понял надо GUI заглушка, кстати пишешь же тундру и ведь знаешь какая заглушка правильней будет - ПОМОГАЙ!! :ok:

Edited by KACTET
  • Upvote 1
  • Downvote 2

Share this post


Link to post

Short link
Share on other sites

Ты мои моды [мат], а я давай помогай, не, брат, так дела не делаются.

fmryn3th6ng9.jpg

 

А не мои ты идеи постоянно воруешь? Ясно, зря я тебе отвечал, это была ошибка, думал ты хороший человек,не жадный,помогаешь людям.

Подождём значит ещё человека, который посмотрит как написана сама заглушаемая программа и сделает правильную заглушку если моя неправильная.

  • Upvote 2
  • Downvote 2

Share this post


Link to post

Short link
Share on other sites

 

 

разрешение на сбор информации о конфигурации системы и (возможно) запущенных приложениях.

Подскажите пожалуйста человеку, далекому от программирования. Идет речь о конфигурациях системы для лучшей адаптации игры или об установленных приложениях и запущенных процессах? Попытка выявить читеров? Об этом речь? Может стоит копнуть поглубже - выяснить какие именно данные отправляет эта програмка??? Хотя вариант дать ВГ соску-пустышку тоже весьма достойный. Пусть сосут!!!

  • Upvote 3

Share this post


Link to post

Short link
Share on other sites

Ясно, зря я тебе отвечал, это была ошибка, думал ты хороший человек,не жадный,помогаешь людям.

 

А я и не жадный, и всегда готов помочь людям, только если они перед этим не плюют мне в лицо.

 

А не мои ты идеи постоянно воруешь?

 

А вот это уже интересно) Это что за вброс такой? Хоть одну назовешь?

  • Upvote 2
  • Downvote 3

Share this post


Link to post

Short link
Share on other sites

файл при открытии вызывает функцию ExitProcess с параметром 0, вроде чисто. Но зачем это надо было делать? Если вг захочет проверять скрипты, то для этого есть более правильные решения/Вообще похоже на то что WG всё таки хочет сделать браузер в игре (awesomium.com). Это может быть как и веб доступ к магазину, так и к карте ГК.(они говорили вроде, что не хотят переносить Веб на клиент)

Edited by BrainRegress
  • Upvote 2
  • Downvote 2

Share this post


Link to post

Short link
Share on other sites
файл при открытии вызывает функцию ExitProcess с параметром 0, вроде чисто. Но зачем это надо было делать?

Так как в Windows нет системных прерываний, то приходится использовать стандартную процедуру (или функцию) ExitProcess из kernel32.dll.

0 - код выхода, который свидетельствует об успешном выполнении программы.

 

Вот помоги сделать всё по правилам EXE файлов заглушку..

Всё сделано верно - при обращении она просто закрывается, а так как код завершения = 0, то поводов для беспокойства быть не должно.

А если это ещё и работает, то зачем переделывать?

 

Может стоит копнуть поглубже - выяснить какие именно данные отправляет эта програмка???

Можно погуглить\поработать дизассемблером. Я попробую, но чуть позже.

========================

Я просмотрел код дизассемблированной awesomium_process.exe (оригинальной, из Awesomium SDK). 

  - Программа следит за тем, кто (или что) её запустило. Если её запускает что-то иное, то она завершается (Как ни странно, но с кодом 0)

  - Никаких сборов данных, просмотров запущенных процессов и прочего в ней нет. Есть вызовы GetModuleFileNameW и GetFileType, но они, скорее всего относятся к Microsoft Visual C++ Runtime.

  - Я убедился, что программа просто управляет потоками (процессами).

  - Единственный возможный код выхода кроме нуля - 1. Возможен он только при ошибке инициализации.

Архив с файлами прилагаю:

   header.txt - сведения о заголовках,

   disassembled.txt - вывод дизассемблера 'objdump -d'

   OllyDisassembled.txt - вывод дизассемблера Olly Debug

awesomium.zip

Теперь прошу прислать мне awesomium_process.exe из клиента WoT для сравнения.

 

Edited by Azbuka_slovensko
  • Upvote 2

Share this post


Link to post

Short link
Share on other sites

Kristen-Bell-Laughing-to-Crying.gif

 

Спасибо, что смотрите! Просто не очень симпатичные сведения появляются если в google ввести "awesomium Anti Cheat"

 

У других игр awesonium именно и выполняет роль покупок в онлайн магазине, слежки с экрана и сканирования процессов (это то что удалось найти в интернете).

 

Вот папка из игры http://rghost.ru/59373961

Если можно просмотрите ещё dll в папке, например awesomium.dll

 

Что мы на данный момент имеем, что этот awesomium соединяется с сервером и открывает процессы в виндовс.

Edited by KACTET
  • Upvote 2
  • Downvote 1

Share this post


Link to post

Short link
Share on other sites
awesomium.dll

Посмотрю...

 

Но сейчас про awesomium_process.exe:

  - Первая странность - отсутствует какая-либо информация о разработчике, версии, имени продукта в ресурсах. Возможно, их удалили, а может и не стали добавлять.

  - Код почти идентичен оригинальному, различие только в наличии этого кода в начале программы:

00401000  /$ 55             PUSH EBP
00401001  |. 8BEC           MOV EBP,ESP
00401003  |. 81EC 1C010000  SUB ESP,11C
00401009  |. A1 38904000    MOV EAX,DWORD PTR DS:[409038]
0040100E  |. 33C5           XOR EAX,EBP
00401010  |. 8945 FC        MOV DWORD PTR SS:[EBP-4],EAX
00401013  |. 56             PUSH ESI
00401014  |. 57             PUSH EDI
00401015  |. 8B7D 08        MOV EDI,DWORD PTR SS:[EBP+8]
00401018  |. 8D8D E8FEFFFF  LEA ECX,DWORD PTR SS:[EBP-118]
0040101E  |. FF15 EC604000  CALL DWORD PTR DS:[<&awesomium.??0WindowsVersion@AwesomiumTweak@@QAE@XZ>]                                     ;  awesom_1.??0WindowsVersion@AwesomiumTweak@@QAE@XZ
00401024  |. 8BC8           MOV ECX,EAX
00401026  |. FF15 F0604000  CALL DWORD PTR DS:[<&awesomium.?isVistaOrHigher@WindowsVersion@AwesomiumTweak@@QAE_NXZ>]                      ;  awesom_1.?isVistaOrHigher@WindowsVersion@AwesomiumTweak@@QAE_NXZ
0040102C  |. 84C0           TEST AL,AL
0040102E  |. 74 1E          JE SHORT awesomiu.0040104E
00401030  |. 6A 10          PUSH 10
00401032  |. E8 08010000    CALL awesomiu.0040113F
00401037  |. 8BF0           MOV ESI,EAX
00401039  |. 59             POP ECX
0040103A  |. 85F6           TEST ESI,ESI
0040103C  |. 74 10          JE SHORT awesomiu.0040104E
0040103E  |. 8BCE           MOV ECX,ESI
00401040  |. FF15 F4604000  CALL DWORD PTR DS:[<&awesomium.??0SetVolumeThread@AwesomiumTweak@@QAE@XZ>]                                    ;  awesom_1.??0SetVolumeThread@AwesomiumTweak@@QAE@XZ
00401046  |. C706 5C614000  MOV DWORD PTR DS:[ESI],awesomiu.0040615C
0040104C  |. EB 02          JMP SHORT awesomiu.00401050
0040104E  |> 33F6           XOR ESI,ESI
00401050  |> 56             PUSH ESI
00401051  |. 8D8D E4FEFFFF  LEA ECX,DWORD PTR SS:[EBP-11C]
00401057  |. FF15 F8604000  CALL DWORD PTR DS:[<&awesomium.??0StopableThreadOwner@AwesomiumTweak@@QAE@PAVStopableLoopThread@1@@Z>]        ;  awesom_1.??0StopableThreadOwner@AwesomiumTweak@@QAE@PAVStopableLoopThread@1@@Z
0040105D  |. 8D8D E8FEFFFF  LEA ECX,DWORD PTR SS:[EBP-118]
00401063  |. FF15 FC604000  CALL DWORD PTR DS:[<&awesomium.??1WindowsVersion@AwesomiumTweak@@QAE@XZ>]                                     ;  awesom_1.??1WindowsVersion@AwesomiumTweak@@QAE@XZ
00401069  |. 57             PUSH EDI
0040106A  |. FF15 00614000  CALL DWORD PTR DS:[<&awesomium.?ChildProcessMain@Awesomium@@YAHPAUHINSTANCE__@@@Z>]                           ;  awesom_1.?ChildProcessMain@Awesomium@@YAHPAUHINSTANCE__@@@Z
00401070  |. 59             POP ECX
00401071  |. 8D8D E4FEFFFF  LEA ECX,DWORD PTR SS:[EBP-11C]
00401077  |. 8BF0           MOV ESI,EAX
00401079  |. FF15 04614000  CALL DWORD PTR DS:[<&awesomium.??1StopableThreadOwner@AwesomiumTweak@@QAE@XZ>]                                ;  awesom_1.??1StopableThreadOwner@AwesomiumTweak@@QAE@XZ
0040107F  |. 8B4D FC        MOV ECX,DWORD PTR SS:[EBP-4]
00401082  |. 5F             POP EDI
00401083  |. 8BC6           MOV EAX,ESI
00401085  |. 33CD           XOR ECX,EBP
00401087  |. 5E             POP ESI
00401088  |. E8 32010000    CALL awesomiu.004011BF
0040108D  |. C9             LEAVE
0040108E  \. C3             RETN
0040108F   . 56             PUSH ESI
00401090   . 8BF1           MOV ESI,ECX
00401092   . FF15 E0604000  CALL DWORD PTR DS:[<&awesomium.??1StopableLoopThread@AwesomiumTweak@@UAE@XZ>]                                 ;  awesom_1.??1Thread@AwesomiumTweak@@UAE@XZ
00401098   . F64424 08 01   TEST BYTE PTR SS:[ESP+8],1
0040109D   . 74 07          JE SHORT awesomiu.004010A6
0040109F   . 56             PUSH ESI
004010A0   . E8 29010000    CALL awesomiu.004011CE
004010A5   . 59             POP ECX
004010A6   > 8BC6           MOV EAX,ESI
004010A8   . 5E             POP ESI
004010A9   . C2 0400        RETN 4

  - Версия Awesomium 1.7.5 (Последняя на данный момент), так как в 1.7.4 код ещё совсем другой.

 

Посмотрел awesomium.dll, различий не нашёл.

Edited by Azbuka_slovensko
  • Upvote 2

Share this post


Link to post

Short link
Share on other sites

Спасибо, значит лишний кипишь был. Хотя всё равно оставлю отключённым.

  • Upvote 1
  • Downvote 3

Share this post


Link to post

Short link
Share on other sites
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
  <trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
    <security>
      <requestedPrivileges>
        <requestedExecutionLevel level="asInvoker" uiAccess="false"></requestedExecutionLevel>
      </requestedPrivileges>
    </security>
  </trustInfo>
</assembly>

awesomium_process.exe в Redwood с http://thesz.diecru.eu/content/redwood.php

Share this post


Link to post

Short link
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...