KACTET Posted November 30, 2014 Share Posted November 30, 2014 (edited) Как мы знаем в последних патчах в игре появилась так называемая папка awesomium (worldoftanks\res\awesomium).Что говорят нам в игре про это:Это внутри игровой браузер.Данный файл является частью игрового клиента, не рекомендую его удалять.Что нам говорят про это в сети:Что это на подобии фроста.Что выполняет не только функции браузера а ещё следит за процессами и сканирует систему.В общем посмотрев, что ещё и создаёт лишний процесс в памяти висящий и решил я эту штуку культурно угрохать.Был создан исполнимый файл exe ПУСТЫШКА. В итоге переименовал файл awesomium_process.exe в awesomium_process0.exeа вместо awesomium_process.exe записал созданную мной пустышку.Итог: Всё работает! Файл заглушка: http://rghost.ru/59350862 (прошу извинить, файлы почему то не добавляться..)Вот вирустотал: https://www.virustotal.com/ru/file/5fc62f9ee4b22f42464c3dc604bb3544683f345820e06a23bb680adc2df0be7d/analysis/1417363450/крикнул один норман не знаю почему, пустой файл, кому не нравиться ждите кто сделает ещё заглушку... Edited November 30, 2014 by KACTET 6 4 @ Quote Link to comment Short link Share on other sites More sharing options...
Kotyarko_O Posted November 30, 2014 Share Posted November 30, 2014 @KACTET, то, что ты сделал пустышку, конечно, хорошо. Но не плохо было бы видеть исходник, вайнеры по этому поводу найдутся. 1 1 @ Quote Link to comment Short link Share on other sites More sharing options...
Uti-Puti Posted November 30, 2014 Share Posted November 30, 2014 @KACTET, а где исходники?) 2 1 @ Quote Link to comment Short link Share on other sites More sharing options...
KACTET Posted November 30, 2014 Author Share Posted November 30, 2014 (edited) @KACTET, то, что ты сделал пустышку, конечно, хорошо. Но не плохо было бы видеть исходник, вайнеры по этому поводу найдутся. Вот вам код и ещё код в дизассемблере. Это пустышка т.е. в файле нету вообще кода. Есть сомнения - в интернете куча дизассемблеров и даже онлайн. Плюс я не заставляю ставить, появиться знающий в ассемблере или в другом языке программирования и поможет нам со своей версией. Плюс в интернете этих заглушек много тоже. Главное, чтобы возвращала запросы обратно в игру. (ну я так думою) Edited November 30, 2014 by KACTET 4 3 @ Quote Link to comment Short link Share on other sites More sharing options...
Azbuka Posted November 30, 2014 Share Posted November 30, 2014 (edited) Что выполняет не только функции браузера а ещё следит за процессами и сканирует систему. Каждый патч вам предлагают согласится с лицензией или удалить игру, а при первом запуске спрашивают ещё и разрешение на сбор информации о конфигурации системы и (возможно) запущенных приложениях. Всё легально, а если вам что-то не нравится - вы в праве удалить игру. В общем посмотрев, что ещё и создаёт лишний процесс в памяти Эта 38-ми килобайтовая программа конечно всем очень мешала в 15-Гигабайтном клиенте игры. Пожалуйста, объясните мне, зачем же подобные извра.. ухищрения который может возвращать все отданные ему запросы а не просто тупо отключаться. в файле нету вообще кода. Вы противоречите сами себе. В секции .idata содержится, видимо, некоторый мусор от компилятора (Никто в здравом уме не будет писать то, что в ней написанно). Да и это - не исходник. Edited November 30, 2014 by Azbuka_slovensko 2 2 @ Quote Link to comment Short link Share on other sites More sharing options...
KACTET Posted November 30, 2014 Author Share Posted November 30, 2014 (edited) Каждый патч вам предлагают согласится с лицензией или удалить игру, а при первом запуске спрашивают ещё и разрешение на сбор информации о конфигурации системы и (возможно) запущенных приложениях. Всё легально, а если вам что-то не нравится - вы в праве удалить игру. Эта 38-ми килобайтовая программа конечно всем очень мешала в 15-Гигабайтном клиенте игры. Пожалуйста, объясните мне, зачем же подобные извра.. ухищрения Вы противоречите сами себе. В секции .idata содержится, видимо, некоторый мусор от компилятора (Никто в здравом уме не будет писать то, что в ней написанно). Да и это - не исходник. 1). Я нажал соглашения в игре и очень рад, а сейчас отключаю процесс awesomium. 2). В шапке написано зачем эти извращения по отключению - прочитайте опять.. 3). Код приведён на картинке в 2 строчках. Вы просто троллите и всё а тема думаю многим интересна. Edited December 1, 2014 by KACTET 6 3 @ Quote Link to comment Short link Share on other sites More sharing options...
Azbuka Posted November 30, 2014 Share Posted November 30, 2014 Вы просто троллите Сперва я подумал, что вы неправы. Но после того, как я пять раз прочитал первое сообщение и почти составил развёрнутый план, то понял, что вы правы. Извините. Я хочу понять, зачем отключать awesomium, а после могу удалиться из темы. 1 1 @ Quote Link to comment Short link Share on other sites More sharing options...
KACTET Posted November 30, 2014 Author Share Posted November 30, 2014 (edited) Сперва я подумал, что вы неправы. Но после того, как я пять раз прочитал первое сообщение и почти составил развёрнутый план, то понял, что вы правы. Извините. Я хочу понять, зачем отключать awesomium, а после могу удалиться из темы. Да я тоже погорячился, прошу извинить. Edited December 1, 2014 by KACTET 2 2 @ Quote Link to comment Short link Share on other sites More sharing options...
DrWebber Posted November 30, 2014 Share Posted November 30, 2014 ....который может возвращать все отданные ему запросы а не просто тупо отключаться.... Что?? Покажи где в этом коде "возвращаются все отданные ему запросты", и что это вообще значит? ExitProcess(0) 1 2 @ Quote Link to comment Short link Share on other sites More sharing options...
KACTET Posted November 30, 2014 Author Share Posted November 30, 2014 (edited) Что?? Покажи где в этом коде "возвращаются все отданные ему запросты", и что это вообще значит? ExitProcess(0) Проще скажем правильная пустая программа невыполняющая никаких действий - заглушка. Опять вопросы вопросы, на данный момент найдено решение и заглушка моя работает. Вот помоги сделать всё по правилам EXE файлов заглушку.. Люди благодарны будут и я тоже.. (у меня сейчас программ не стоит вообще, а ставить ради заглушки как то не идёт) Я как понял надо GUI заглушка, кстати пишешь же тундру и ведь знаешь какая заглушка правильней будет - ПОМОГАЙ!! Edited November 30, 2014 by KACTET 1 2 @ Quote Link to comment Short link Share on other sites More sharing options...
DrWebber Posted November 30, 2014 Share Posted November 30, 2014 Ты мои моды [мат], а я давай помогай, не, брат, так дела не делаются. 1 4 @ Quote Link to comment Short link Share on other sites More sharing options...
KACTET Posted November 30, 2014 Author Share Posted November 30, 2014 Ты мои моды [мат], а я давай помогай, не, брат, так дела не делаются. А не мои ты идеи постоянно воруешь? Ясно, зря я тебе отвечал, это была ошибка, думал ты хороший человек,не жадный,помогаешь людям. Подождём значит ещё человека, который посмотрит как написана сама заглушаемая программа и сделает правильную заглушку если моя неправильная. 2 2 @ Quote Link to comment Short link Share on other sites More sharing options...
BogdanF1 Posted December 1, 2014 Share Posted December 1, 2014 разрешение на сбор информации о конфигурации системы и (возможно) запущенных приложениях. Подскажите пожалуйста человеку, далекому от программирования. Идет речь о конфигурациях системы для лучшей адаптации игры или об установленных приложениях и запущенных процессах? Попытка выявить читеров? Об этом речь? Может стоит копнуть поглубже - выяснить какие именно данные отправляет эта програмка??? Хотя вариант дать ВГ соску-пустышку тоже весьма достойный. Пусть сосут!!! 3 @ Quote Link to comment Short link Share on other sites More sharing options...
DrWebber Posted December 1, 2014 Share Posted December 1, 2014 Ясно, зря я тебе отвечал, это была ошибка, думал ты хороший человек,не жадный,помогаешь людям. А я и не жадный, и всегда готов помочь людям, только если они перед этим не плюют мне в лицо. А не мои ты идеи постоянно воруешь? А вот это уже интересно) Это что за вброс такой? Хоть одну назовешь? 2 3 @ Quote Link to comment Short link Share on other sites More sharing options...
PinkElfant Posted December 1, 2014 Share Posted December 1, 2014 (edited) файл при открытии вызывает функцию ExitProcess с параметром 0, вроде чисто. Но зачем это надо было делать? Если вг захочет проверять скрипты, то для этого есть более правильные решения/Вообще похоже на то что WG всё таки хочет сделать браузер в игре (awesomium.com). Это может быть как и веб доступ к магазину, так и к карте ГК.(они говорили вроде, что не хотят переносить Веб на клиент) Edited December 1, 2014 by BrainRegress 2 2 @ Quote Link to comment Short link Share on other sites More sharing options...
Azbuka Posted December 1, 2014 Share Posted December 1, 2014 (edited) файл при открытии вызывает функцию ExitProcess с параметром 0, вроде чисто. Но зачем это надо было делать? Так как в Windows нет системных прерываний, то приходится использовать стандартную процедуру (или функцию) ExitProcess из kernel32.dll. 0 - код выхода, который свидетельствует об успешном выполнении программы. Вот помоги сделать всё по правилам EXE файлов заглушку.. Всё сделано верно - при обращении она просто закрывается, а так как код завершения = 0, то поводов для беспокойства быть не должно. А если это ещё и работает, то зачем переделывать? Может стоит копнуть поглубже - выяснить какие именно данные отправляет эта програмка??? Можно погуглить\поработать дизассемблером. Я попробую, но чуть позже. ======================== Я просмотрел код дизассемблированной awesomium_process.exe (оригинальной, из Awesomium SDK). - Программа следит за тем, кто (или что) её запустило. Если её запускает что-то иное, то она завершается (Как ни странно, но с кодом 0) - Никаких сборов данных, просмотров запущенных процессов и прочего в ней нет. Есть вызовы GetModuleFileNameW и GetFileType, но они, скорее всего относятся к Microsoft Visual C++ Runtime. - Я убедился, что программа просто управляет потоками (процессами). - Единственный возможный код выхода кроме нуля - 1. Возможен он только при ошибке инициализации. Архив с файлами прилагаю: header.txt - сведения о заголовках, disassembled.txt - вывод дизассемблера 'objdump -d' OllyDisassembled.txt - вывод дизассемблера Olly Debug awesomium.zip Теперь прошу прислать мне awesomium_process.exe из клиента WoT для сравнения. Edited December 1, 2014 by Azbuka_slovensko 2 @ Quote Link to comment Short link Share on other sites More sharing options...
KACTET Posted December 1, 2014 Author Share Posted December 1, 2014 (edited) Спасибо, что смотрите! Просто не очень симпатичные сведения появляются если в google ввести "awesomium Anti Cheat" У других игр awesonium именно и выполняет роль покупок в онлайн магазине, слежки с экрана и сканирования процессов (это то что удалось найти в интернете). Вот папка из игры http://rghost.ru/59373961 Если можно просмотрите ещё dll в папке, например awesomium.dll Что мы на данный момент имеем, что этот awesomium соединяется с сервером и открывает процессы в виндовс. Edited December 1, 2014 by KACTET 2 1 @ Quote Link to comment Short link Share on other sites More sharing options...
Azbuka Posted December 2, 2014 Share Posted December 2, 2014 (edited) awesomium.dll Посмотрю... Но сейчас про awesomium_process.exe: - Первая странность - отсутствует какая-либо информация о разработчике, версии, имени продукта в ресурсах. Возможно, их удалили, а может и не стали добавлять. - Код почти идентичен оригинальному, различие только в наличии этого кода в начале программы: 00401000 /$ 55 PUSH EBP 00401001 |. 8BEC MOV EBP,ESP 00401003 |. 81EC 1C010000 SUB ESP,11C 00401009 |. A1 38904000 MOV EAX,DWORD PTR DS:[409038] 0040100E |. 33C5 XOR EAX,EBP 00401010 |. 8945 FC MOV DWORD PTR SS:[EBP-4],EAX 00401013 |. 56 PUSH ESI 00401014 |. 57 PUSH EDI 00401015 |. 8B7D 08 MOV EDI,DWORD PTR SS:[EBP+8] 00401018 |. 8D8D E8FEFFFF LEA ECX,DWORD PTR SS:[EBP-118] 0040101E |. FF15 EC604000 CALL DWORD PTR DS:[<&awesomium.??0WindowsVersion@AwesomiumTweak@@QAE@XZ>] ; awesom_1.??0WindowsVersion@AwesomiumTweak@@QAE@XZ 00401024 |. 8BC8 MOV ECX,EAX 00401026 |. FF15 F0604000 CALL DWORD PTR DS:[<&awesomium.?isVistaOrHigher@WindowsVersion@AwesomiumTweak@@QAE_NXZ>] ; awesom_1.?isVistaOrHigher@WindowsVersion@AwesomiumTweak@@QAE_NXZ 0040102C |. 84C0 TEST AL,AL 0040102E |. 74 1E JE SHORT awesomiu.0040104E 00401030 |. 6A 10 PUSH 10 00401032 |. E8 08010000 CALL awesomiu.0040113F 00401037 |. 8BF0 MOV ESI,EAX 00401039 |. 59 POP ECX 0040103A |. 85F6 TEST ESI,ESI 0040103C |. 74 10 JE SHORT awesomiu.0040104E 0040103E |. 8BCE MOV ECX,ESI 00401040 |. FF15 F4604000 CALL DWORD PTR DS:[<&awesomium.??0SetVolumeThread@AwesomiumTweak@@QAE@XZ>] ; awesom_1.??0SetVolumeThread@AwesomiumTweak@@QAE@XZ 00401046 |. C706 5C614000 MOV DWORD PTR DS:[ESI],awesomiu.0040615C 0040104C |. EB 02 JMP SHORT awesomiu.00401050 0040104E |> 33F6 XOR ESI,ESI 00401050 |> 56 PUSH ESI 00401051 |. 8D8D E4FEFFFF LEA ECX,DWORD PTR SS:[EBP-11C] 00401057 |. FF15 F8604000 CALL DWORD PTR DS:[<&awesomium.??0StopableThreadOwner@AwesomiumTweak@@QAE@PAVStopableLoopThread@1@@Z>] ; awesom_1.??0StopableThreadOwner@AwesomiumTweak@@QAE@PAVStopableLoopThread@1@@Z 0040105D |. 8D8D E8FEFFFF LEA ECX,DWORD PTR SS:[EBP-118] 00401063 |. FF15 FC604000 CALL DWORD PTR DS:[<&awesomium.??1WindowsVersion@AwesomiumTweak@@QAE@XZ>] ; awesom_1.??1WindowsVersion@AwesomiumTweak@@QAE@XZ 00401069 |. 57 PUSH EDI 0040106A |. FF15 00614000 CALL DWORD PTR DS:[<&awesomium.?ChildProcessMain@Awesomium@@YAHPAUHINSTANCE__@@@Z>] ; awesom_1.?ChildProcessMain@Awesomium@@YAHPAUHINSTANCE__@@@Z 00401070 |. 59 POP ECX 00401071 |. 8D8D E4FEFFFF LEA ECX,DWORD PTR SS:[EBP-11C] 00401077 |. 8BF0 MOV ESI,EAX 00401079 |. FF15 04614000 CALL DWORD PTR DS:[<&awesomium.??1StopableThreadOwner@AwesomiumTweak@@QAE@XZ>] ; awesom_1.??1StopableThreadOwner@AwesomiumTweak@@QAE@XZ 0040107F |. 8B4D FC MOV ECX,DWORD PTR SS:[EBP-4] 00401082 |. 5F POP EDI 00401083 |. 8BC6 MOV EAX,ESI 00401085 |. 33CD XOR ECX,EBP 00401087 |. 5E POP ESI 00401088 |. E8 32010000 CALL awesomiu.004011BF 0040108D |. C9 LEAVE 0040108E \. C3 RETN 0040108F . 56 PUSH ESI 00401090 . 8BF1 MOV ESI,ECX 00401092 . FF15 E0604000 CALL DWORD PTR DS:[<&awesomium.??1StopableLoopThread@AwesomiumTweak@@UAE@XZ>] ; awesom_1.??1Thread@AwesomiumTweak@@UAE@XZ 00401098 . F64424 08 01 TEST BYTE PTR SS:[ESP+8],1 0040109D . 74 07 JE SHORT awesomiu.004010A6 0040109F . 56 PUSH ESI 004010A0 . E8 29010000 CALL awesomiu.004011CE 004010A5 . 59 POP ECX 004010A6 > 8BC6 MOV EAX,ESI 004010A8 . 5E POP ESI 004010A9 . C2 0400 RETN 4 - Версия Awesomium 1.7.5 (Последняя на данный момент), так как в 1.7.4 код ещё совсем другой. Посмотрел awesomium.dll, различий не нашёл. Edited December 2, 2014 by Azbuka_slovensko 2 @ Quote Link to comment Short link Share on other sites More sharing options...
KACTET Posted December 3, 2014 Author Share Posted December 3, 2014 Спасибо, значит лишний кипишь был. Хотя всё равно оставлю отключённым. 1 3 @ Quote Link to comment Short link Share on other sites More sharing options...
BoBaH 13 Posted December 5, 2014 Share Posted December 5, 2014 <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0"> <trustInfo xmlns="urn:schemas-microsoft-com:asm.v3"> <security> <requestedPrivileges> <requestedExecutionLevel level="asInvoker" uiAccess="false"></requestedExecutionLevel> </requestedPrivileges> </security> </trustInfo> </assembly> awesomium_process.exe в Redwood с http://thesz.diecru.eu/content/redwood.php @ Quote Link to comment Short link Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.