getestet wurde mit CD 2.10.3 erklärung und umgehung von code 10, 15, 16, 31, 32, 33, 35, 41, 49, 50 sowie wallhackblock CD und VAC --------------------------------------------------------------------------------------------- code 10: detection: CD detected 2 librarys die glBegin exportieren... umgehung: 1.) den originalen opengl32.dll export umbenennen in gsBegin (oder anderer name) oder 2.) den eigenen export (im wrapper) einen anderen namen geben und dafür half-life nach dem neuen namen suchen lassen ---------------------------------------------------------------------------------------------- code 32: detection: CD erkennt, dass die addresse zu einer funktion im treiber, die in dem funktionssegment fs:[xxx] steht ausserhalb des treibers liegt umgehung: zuerst die addresse in den treiber verlegen und von dort aus zu der eigentlichen eigenen funktion springen ---------------------------------------------------------------------------------------------- code 50: detection: im treiber ist direkt ein jump mit dem wert $E9 am anfang umgehung: zuerst irgendwelchen müll hin schreiben der nichts bewirkt wie z.b. MOV eax, eax oder CMP eax, $1 PUSH eax und POP eax oder ganz einfach: NOP und danach erst der jump oder mit mov eax, $adresse und jmp, eax springen ----------------------------------------------------------------------------------------------- code 33: detection: cd detectet einen jump ($E9) and an der export adresse von glBegin (eventl. andere) umgehung: da bei der win NT opengl32.dll die glBegin funktion (und andere) so aufgebaut sind: MOV eax, fs[$00000018] JMP dwort ptr [eax+$xxxxxxxx] man kann entweder den jump abändern oder wie code 50 vorgehen ------------------------------------------------------------------------------------------------ code 35: detection: cd erkennt das die instructionen die an der adresse der openg32.dll (eventl. andere) stehen sich mindestens 1 mal geändert haben umgehung: direkt beim laden der dll, bevor CD die addressen kennt die werte verändern. dies z.b. durch den hook auf ldrloadlibrary von der ntdll.dll ------------------------------------------------------------------------------------------------ code 31: detection: cd erkennt das der falschce rückgabe wert mit getprocaddress(findmodulehandle('opengl32.dll'),'glBegin')) (und andere fkt) ausserhalb des addressraumes von der opengl32.dll liegen umgehung: die addresse zuerst in die opengl32.dll verlegen indem man unbenutzte fkt überschreibt (z.b. glEvalCoord1d) und von dort aus zu der eigen fkt ausserhalb springt ------------------------------------------------------------------------------------------------ Wallhackblock CD/VAC (umgehung nicht selber getestet) block: für den spieler "normal" nicht sichtbare models werten an der Z-ache verschoben umgehung: model mit einem durchsichten block versehen mittels dem programm milkshape CD bzw. VAC block denkt man könnte die models sehen und verschiebt sie nicht mehr thx to fl4k ------------------------------------------------------------------------------------------------- code 16: detection: CD erkennt bei models bestimmte farben wie (RGB(255,0,0), RGB (0,255,255)) umgehung: farbwerte runtersetzen (genaue werte nicht bekannt) ------------------------------------------------------------------------------------------------- code 41: detection: cd erkennt den namen des programmfensters (nocheat.de april edition) umgehung: fenstername ändern ;) ------------------------------------------------------------------------------------------------- code 15: detection: ? umgehung: ? ich habe mit dem v4s wwcl und soundcheck-hack der laut www.nocheat.de datenbank mit code 15 erkannt werden soll, keinen code mehr bekommen -> hook auf CreateFileA mittels madhook möglich wieder gefixt / mit normalem jmp hook aber wieder möglich -------------------------------------------------------------------------------------------------- code 49: detection: entfernt umgehung: detection wurde entfernt ---------------------------------------------------------------------------------------------------