Hardmt2 client'ında aktif keylogger, ekran izleme?

  • Konuyu açan Konuyu açan PekerAHMED
  • Açılış Tarihi Açılış Tarihi
  • Yanıt Yanıt 36
  • Gösterim Gösterim 1K
PekerAHMED demiş ki:
Her şeyin bir noktaya kadar normalleştirilebildiğini biliyorum ve katılmasam da anlıyabiliyorum (discord ismi ,id'si , mac , ip vb hwid fingerprint olarak alıyoruz diyebilirler bahane olarak ) ama burdaki durum çok başka.Ekran görüntüleri , kopyalanan yazılar dahil her şeyin alınması normalleştiriliemez.Yine de umrumda değil ben bu sunucuyu oynarım diyen arkadaşlara tabii bir şey diyecek değilim :)
Hepsini görmek için tıklayın...
Bu incelemeyi sadece hardmt2ye özel mi yaptın peki? Yoksa diğer sunucularda da olma ihtimali var mı? Sonuçta dediğim gibi bu dosya neredeyse tüm pvp sunucularında mevcut.
 
EXTROVERT demiş ki:
Bu incelemeyi sadece hardmt2ye özel mi yaptın peki? Yoksa diğer sunucularda da olma ihtimali var mı? Sonuçta dediğim gibi bu dosya neredeyse tüm pvp sunucularında mevcut.
Hepsini görmek için tıklayın...
Senin için tekrar edeyim granny2.dll oyunun dll'sidir ve çoğu durumda zararsızdır fakat burda arkadaşlar bu ismini granny2_d.dll ismini maske olarak kullanarak normal gözükmesini sağlamışlar.Orjinal granny2.dll ile ayni değil , kendi kodları var aralarında.
 
Evet hardmt2 metin2cleint.bin alt planda ve arka planda run32dll.exe çalıştırıyor
1.webp

oda temp klasöründe granny2_d.dll aktif edior ve bu yüzden haraketleri klavye işlevlerimiz , ekran görüntülerimizi herşeyi çekmiş olabilirler malesef, umarım biri bu konuya el atar ,clienti güncelleyip kaldırmışlar siz paylaşım yaptıktan sonra ama umarım bu onlara kalmaz .
2.webp


3.webp
 
Son düzenleme:
Bu nasıl bir acemliktir arkadaş. yaptıkları düzeneği gerçekten böyle saklayabileceklerini mi sanıyorlar?

Malum (diğer herkes "rascal" yerine malum yazmış diye ben de malum yazayım madem) anticheat sahibi oyunlara şahsen giriş yapmıyorum ben zaten. Bu tarz ekran izleme olayları kulağıma gelmişti daha önceden de.

Fakat .dll'in aldığı bilgileri hardmt2 web adresine yollaması kafamı karıştırdı, onlar da uyanık olabilirler bu duruma. Belki de ticari bir faydaları var bu olayın.

Ve bu işi normalleştirici cahil cahil şeyler yazmayın şu postun altına.

KVKK çok açık arkadaşlar.
Kişilerin hakları vardır. Bir kişi:
  • Hangi verilerinin işlendiğini öğrenebilir,
  • Verilerinin düzeltilmesini isteyebilir,
  • Bazı durumlarda silinmesini talep edebilir,
  • Verilerinin kimlerle paylaşıldığını öğrenebilir.
Bilişim sistemlerinin bu talepleri karşılayabilecek şekilde tasarlanması gerekir.

Bu anticheati kullanan oyunların oyuncuları -ya da direkt hardmt2 oyuncuları- bu işlevlerden haberdar olsa kaçı girer bu oyna? kaçı indirir hatta? Kesinlikle unutulmaması gerekilen bir bulgu bu ve önlem alınıp hatta şikayet edilmeli malum anticheat üreticisi/dağıtıcısı. Emeklerin için seni tebrik ediyorum arkadaşım.
 
Aklı başında bir Metin2 oyuncusunun böyle durumlar yaşamamak için sergilemesi gereken tavır;
IMG_20260622_221437.webp


Ne varsa bizim sonradan görme millette var.
 
victory demiş ki:
Bu nasıl bir acemliktir arkadaş. yaptıkları düzeneği gerçekten böyle saklayabileceklerini mi sanıyorlar?

Malum (diğer herkes "rascal" yerine malum yazmış diye ben de malum yazayım madem) anticheat sahibi oyunlara şahsen giriş yapmıyorum ben zaten. Bu tarz ekran izleme olayları kulağıma gelmişti daha önceden de.

Fakat .dll'in aldığı bilgileri hardmt2 web adresine yollaması kafamı karıştırdı, onlar da uyanık olabilirler bu duruma. Belki de ticari bir faydaları var bu olayın.

Ve bu işi normalleştirici cahil cahil şeyler yazmayın şu postun altına.

KVKK çok açık arkadaşlar.
Kişilerin hakları vardır. Bir kişi:
  • Hangi verilerinin işlendiğini öğrenebilir,
  • Verilerinin düzeltilmesini isteyebilir,
  • Bazı durumlarda silinmesini talep edebilir,
  • Verilerinin kimlerle paylaşıldığını öğrenebilir.
Bilişim sistemlerinin bu talepleri karşılayabilecek şekilde tasarlanması gerekir.

Bu anticheati kullanan oyunların oyuncuları -ya da direkt hardmt2 oyuncuları- bu işlevlerden haberdar olsa kaçı girer bu oyna? kaçı indirir hatta? Kesinlikle unutulmaması gerekilen bir bulgu bu ve önlem alınıp hatta şikayet edilmeli malum anticheat üreticisi/dağıtıcısı. Emeklerin için seni tebrik ediyorum arkadaşım.
Hepsini görmek için tıklayın...
Maalesef bu ülkede haklarımızı aramayı bırakalı çok oluyor.Eline sağlık.
 
Metin2 oynadığımda sadece global oyunları oynuyorum, bu tarz şeyler oralarda da var. Bastığın tuşu da ekranını izlemeyi de discordunu takip etmeyi de yapıyorlar. Hatta yazıldığı gibi görsel işleme için kullanılan python kütüphanelerine sahip misin ona da bakıyorlar. Kaç kez tıklıyorsun, yang satmak için belirli sitelere giriyor musun, bilgisayarında ne var hepsine bakıyorlar. Oyunu oynadığım bilgisayarımda hiçbir şey yok, sadece oyun oynuyorum. Finansal işlemler yapmıyorum, bilgisayarımı incelemeleri zoruma gitmiyor çünkü izin verildiğinde insanların 2 client farm limiti olan oyunlarda neler yaptığını çok yakından görebiliyorum. Bilgisayarı izlemelerinin yanlış olduğunu, mümkünse başka çözümler üretilmesi gerektiğine katılıyorum ancak hilecileri durdurdukları için sıfır rahatsızlık duyuyorum. Ha kalkıp şöyle hile yapılabilir böyle methodlar var diye argüman üretilebilir ama bu aylığı 150 liraya olan hileleri alıp oynayan insanların oyunu artık yokedemeyeceğini ve çok küçük bir kitlenin bilgisayarı izlense dahi hile yapabildiği gerçeğini değiştirmiyor.
 
HardMt2 bir kaç ay öncesine kadar kendi Anti-Hile yazılımını geliştirmekle uğraşıyordu. Ancak bu konuda istediği yanıtı alamadığı için Mart ayında Rascal ile çalışmaya başladı diye biliyorum.

valkac.dll olması lazım hatta. Ancak bu granny2_d.dll bambaşka bir şey.

Doğrulamak için HardMt2'yi indirerek DLL'i edindim ve inceledim.
DLL'e sahte versiyon bilgileri eklenmiş:

Kod:
Genişlet Daralt Kopyala 
"Granny 3D Animation Runtime Library"
"RAD Game Tools, Inc."
"Copyright (C) 2000-2024 RAD Game Tools, Inc.

Yani normal biri anlamasın diye saklamaya çalışmışlar.

PDB Yolu : C:\Users\pcofi\OneDrive\Masaüstü\granny_reader\bin\Release\granny2.9.pdb

Net olarak şunları yapabilir :
  • Klavye ve Tuş takibi,
  • Clipboard hırsızlığı
  • Screen Capture
  • HTTP C2 İletişimi
  • Sistem Bilgisi Toplama
  • Anti-Debug
  • Payload İndirme ve İndirdiği Dosyayı Çalıştırma
  • Ağ Keşfi
Kabaca incelediğimde ise mac_address, modem_mac, ip_address, filename, discord_id bilgileriniz HTTP POST ile gönderilmekte.
Mac adresinizi, Modem adresinizi, IP ve Discord ID'nizi zaten RASCAL'da alıyor. Yasal olarak Discord ID almak doğru olmasa da diğerlerinde problem var mı bilmiyorum. Discord ID'nizi de discord sdk dll'i üzerinden kendi discord developer portal applicationu üzerinden çekiyorlar zaten. Bunu engellemek istiyorsanız internette her yerde nasıl engelleyeceğinizin bilgisi var.

Ancak burada sinirleneceğimiz şey filename yani ekran görüntünüz.

Ayrıca ekran görüntüzünün alınması hem TCK tarafında hem KVKK açısından büyük suç teşkil ediyor.
Para kazandıkları bir ortam, kimse PvP sunucu olup olmadığını umursamaz.

İlgili kişiler kendini istedikleri gibi savunabilirler. Ancak HttpSendRequestA'da açıkça filename olarak .jpg görsel upload ettiğiniz gözüküyor.

APTAL yerine koymak için DLL'i Granny kütüphanesi gibi gösterip, utanmadan bir de sahte versiyon bilgileri eklemişler. Ben bile buna sinirlendim. Diğer türlü banane yani isterlerse giydiğim donun ayıcıklarını saysınlar sallamazdım. Ama APTAL yerine koyulmak...

Özet:

Evinize gelip modeminizi de söküp götürseler, topluluk için problem olmaz. 1-2 gün konuşulup unutulacak bir olay.​

 
Konu sadece bununla da bitmiyor. Belki inanması zor gelecek ama Discord tarafında ciddi bir açık mevcut. Günümüzde birçok hile koruması, Discord ID’nize ya da şifrenize ihtiyaç duymadan hesabınıza erişebiliyor ve özel mesajlarınızı görüntüleyebiliyor.

Daha da kötüsü, siz bu erişimi hiçbir şekilde fark etmiyorsunuz. Ne kod geliyor, ne mail düşüyor, ne de hesabınızda görünür bir giriş izi kalıyor. 2FA açık olsa bile bu durum engellenemiyor.
 
Silverhand demiş ki:
HardMt2 bir kaç ay öncesine kadar kendi Anti-Hile yazılımını geliştirmekle uğraşıyordu. Ancak bu konuda istediği yanıtı alamadığı için Mart ayında Rascal ile çalışmaya başladı diye biliyorum.

valkac.dll olması lazım hatta. Ancak bu granny2_d. Dll bambaşka bir şey.

Doğrulamak için HardMt2'yi indirerek DLL'i edindim ve inceledim.
DLL'e sahte versiyon bilgileri eklenmiş:

Kod:
Genişlet Daralt Kopyala 
"Granny 3D Animation Runtime Library"
"RAD Game Tools, Inc."
"Copyright (C) 2000-2024 RAD Game Tools, Inc.

Yani normal biri anlamasın diye saklamaya çalışmışlar.

PDB Yolu : C:\Users\pcofi\OneDrive\Masaüstü\granny_reader\bin\Release\granny2.9.pdb

Net olarak şunları yapabilir :
  • Klavye ve Tuş takibi,
  • Clipboard hırsızlığı
  • Screen Capture
  • HTTP C2 İletişimi
  • Sistem Bilgisi Toplama
  • Anti-Debug
  • Payload İndirme ve İndirdiği Dosyayı Çalıştırma
  • Ağ Keşfi
Kabaca incelediğimde ise mac_address, modem_mac, ip_address, filename, discord_id bilgileriniz HTTP POST ile gönderilmekte.
Mac adresinizi, Modem adresinizi, IP ve Discord ID'nizi zaten RASCAL'da alıyor. Yasal olarak Discord ID almak doğru olmasada diğerlerinde problem var mı bilmiyorum. Discord ID'nizi de discord sdk dll'i üzerinden kendi discord developer portal applicationu üzerinden çekiyorlar zaten. Bunu engellemek istiyorsanız internette her yerde nasıl engelleyeceğinizin bilgisi var.

Ancak burada sinirleneceğimiz şey filename yani ekran görüntünüz.

Ayrıca ekran görüntüzünün alınması hem TCK tarafında hem KVKK açısından büyük suç teşkil ediyor.
Para kazandıkları bir ortam, kimse PvP sunucu olup olmadığını umursamaz.

İlgili kişiler kendini istedikleri gibi savunabilirler. Ancak HttpSendRequestA'da açıkça filename olarak. Jpg görsel upload ettiğiniz gözüküyor.

APTAL yerine koymak için DLL'i Granny kütüphanesi gibi gösterip, utanmadan bir de sahte versiyon bilgileri eklemişler. Ben bile buna sinirlendim. Diğer türlü banane yani isterlerse giydiğim donun ayıcıklarını saysınlar sallamazdım. Ama APTAL yerine koyulmak...

Özet:

Evinize gelip modeminizi de söküp götürseler, topluluk için problem olmaz. 1-2 gün konuşulup unutulacak bir olay.​

Hepsini görmek için tıklayın...

Doğru diyosun aga 1-2 günde Diriliş2'nin veritabanlarını silip ortadan kaybolup unutturduğunuz gibi yani?
 
Silverhand demiş ki:
HardMt2 bir kaç ay öncesine kadar kendi Anti-Hile yazılımını geliştirmekle uğraşıyordu. Ancak bu konuda istediği yanıtı alamadığı için Mart ayında Rascal ile çalışmaya başladı diye biliyorum.

valkac.dll olması lazım hatta. Ancak bu granny2_d.dll bambaşka bir şey.

Doğrulamak için HardMt2'yi indirerek DLL'i edindim ve inceledim.
DLL'e sahte versiyon bilgileri eklenmiş:

Kod:
Genişlet Daralt Kopyala 
"Granny 3D Animation Runtime Library"
"RAD Game Tools, Inc."
"Copyright (C) 2000-2024 RAD Game Tools, Inc.

Yani normal biri anlamasın diye saklamaya çalışmışlar.

PDB Yolu : C:\Users\pcofi\OneDrive\Masaüstü\granny_reader\bin\Release\granny2.9.pdb

Net olarak şunları yapabilir :
  • Klavye ve Tuş takibi,
  • Clipboard hırsızlığı
  • Screen Capture
  • HTTP C2 İletişimi
  • Sistem Bilgisi Toplama
  • Anti-Debug
  • Payload İndirme ve İndirdiği Dosyayı Çalıştırma
  • Ağ Keşfi
Kabaca incelediğimde ise mac_address, modem_mac, ip_address, filename, discord_id bilgileriniz HTTP POST ile gönderilmekte.
Mac adresinizi, Modem adresinizi, IP ve Discord ID'nizi zaten RASCAL'da alıyor. Yasal olarak Discord ID almak doğru olmasa da diğerlerinde problem var mı bilmiyorum. Discord ID'nizi de discord sdk dll'i üzerinden kendi discord developer portal applicationu üzerinden çekiyorlar zaten. Bunu engellemek istiyorsanız internette her yerde nasıl engelleyeceğinizin bilgisi var.

Ancak burada sinirleneceğimiz şey filename yani ekran görüntünüz.

Ayrıca ekran görüntüzünün alınması hem TCK tarafında hem KVKK açısından büyük suç teşkil ediyor.
Para kazandıkları bir ortam, kimse PvP sunucu olup olmadığını umursamaz.

İlgili kişiler kendini istedikleri gibi savunabilirler. Ancak HttpSendRequestA'da açıkça filename olarak .jpg görsel upload ettiğiniz gözüküyor.

APTAL yerine koymak için DLL'i Granny kütüphanesi gibi gösterip, utanmadan bir de sahte versiyon bilgileri eklemişler. Ben bile buna sinirlendim. Diğer türlü banane yani isterlerse giydiğim donun ayıcıklarını saysınlar sallamazdım. Ama APTAL yerine koyulmak...

Özet:

Evinize gelip modeminizi de söküp götürseler, topluluk için problem olmaz. 1-2 gün konuşulup unutulacak bir olay.​

Hepsini görmek için tıklayın...
"C:\Users\pcofi\OneDrive\Masaüstü\granny_reader\bin\Release\granny2.9.pdb" evet , bu detayı ben de eklemiştim normalde ama yazıyı revize ederken silmişim sonra gözümden kaçmış.Ben de belirtmiştim yorumumda bazi bilgileri "HWID TOPLUYORUZ" adı altında bir noktaya kadar meşrulaştırabilirler ama ekran görüntüsü ve kopyalanan yazıların dahi sunucularına aktarılması kabul edilebilir değil.Göz atıp incelediğin için teşekkürler.
 
Ledün Yesügey demiş ki:
Konu sadece bununla da bitmiyor. Belki inanması zor gelecek ama Discord tarafında ciddi bir açık mevcut. Günümüzde birçok hile koruması, Discord ID’nize ya da şifrenize ihtiyaç duymadan hesabınıza erişebiliyor ve özel mesajlarınızı görüntüleyebiliyor.

Daha da kötüsü, siz bu erişimi hiçbir şekilde fark etmiyorsunuz. Ne kod geliyor, ne mail düşüyor, ne de hesabınızda görünür bir giriş izi kalıyor. 2FA açık olsa bile bu durum engellenemiyor.
Hepsini görmek için tıklayın...

Buna pek inanmadım. Sadece Discord ID'ni alabiliyorlar.

ahmetpSparky demiş ki:
Doğru diyosun aga 1-2 günde Diriliş2'nin veritabanlarını silip ortadan kaybolup unutturduğunuz gibi yani?
Hepsini görmek için tıklayın...

Aslında böyle bir şey olmadı... Yani tam olarak böyle olmadı :(
Yine de üstümüzde bir leke ve utanç olarak kalacak yaşananlar.

PekerAHMED demiş ki:
"C:\Users\pcofi\OneDrive\Masaüstü\granny_reader\bin\Release\granny2.9.pdb" evet , bu detayı ben de eklemiştim normalde ama yazıyı revize ederken silmişim sonra gözümden kaçmış.Ben de belirtmiştim yorumumda bazi bilgileri "HWID TOPLUYORUZ" adı altında bir noktaya kadar meşrulaştırabilirler ama ekran görüntüsü ve kopyalanan yazıların dahi sunucularına aktarılması kabul edilebilir değil.Göz atıp incelediğin için teşekkürler.
Hepsini görmek için tıklayın...

HWID topluyoruz ya da başka bir şey değil, tabiki de hwid bilgilerinizi alacaklar. Ban sistemi için önemli.
Benim tek üzüldüğüm şey ekran görüntüsü oldu.
 
Silverhand demiş ki:
Buna pek inanmadım. Sadece Discord ID'ni alabiliyorlar.



Aslında böyle bir şey olmadı... Yani tam olarak böyle olmadı :(
Yine de üstümüzde bir leke ve utanç olarak kalacak yaşananlar.



HWID topluyoruz ya da başka bir şey değil, tabiki de hwid bilgilerinizi alacaklar. Ban sistemi için önemli.
Benim tek üzüldüğüm şey ekran görüntüsü oldu.
Hepsini görmek için tıklayın...
Hwid toplanmasına zaten bir şey demiyorum bu normal olağan bir şey eğer çok fazla dolambaçlı tehlikeli yollardan yapılmıyorsa fakat ekran görüntüsü ve dahi kopyalanan,yazılan her şeyi de alıp bunu "HWID TOPLUYORUZ" kılıfına sığdıramayacaklarını belirtiyorum.
 
Bu durum pvp piyasasında uzun süredir olan bir birşey, sadece kanıtlanıp sunulmadı.
Gerekli noktalarda botnet ağı veya pc üzerindeki verileri ele geçirme gibi olayları zaten yapıyorlardı.
Örnekteki sadece bunun 1 kısmı, illa virustotal gibi sitelerde çıkması gerekmiyor bunun çok daha fazla yolu mevcut.
Hile koruma adı altında çok fazla yasadışı işlem barınıyor fakat bu hangi hile korumaları söylemek çok doğru olmaz.
Fakat bir çoğunda pc'nize müdehaleler yapılıyor, gerek kayıt defterinize arkadan işlemeler gerek başka yollara, bunlar yapılırken sadece clienti çalıştırmanız yeterlidir, arkadan geri kalanı otomatik yapıyor.

Bunun yasa dışı olduğunu malum fakat yasal olarak birşey elde edileceğini sanmıyorum çünkü temelinde metin2 pvp server zaten yasal değil ki 1-2 tane sunucu hariç hiç biri şirket adı altında vergi ödemiyor. Sahte belgeler göstermelik başka düzenlemelerle şirket - yasalmış gibi gösteriyorlar.
 
AstarteTR demiş ki:
Bu durum pvp piyasasında uzun süredir olan bir birşey, sadece kanıtlanıp sunulmadı.
Gerekli noktalarda botnet ağı veya pc üzerindeki verileri ele geçirme gibi olayları zaten yapıyorlardı.
Örnekteki sadece bunun 1 kısmı, illa virustotal gibi sitelerde çıkması gerekmiyor bunun çok daha fazla yolu mevcut.
Hile koruma adı altında çok fazla yasadışı işlem barınıyor fakat bu hangi hile korumaları söylemek çok doğru olmaz.
Fakat bir çoğunda pc'nize müdehaleler yapılıyor, gerek kayıt defterinize arkadan işlemeler gerek başka yollara, bunlar yapılırken sadece clienti çalıştırmanız yeterlidir, arkadan geri kalanı otomatik yapıyor.

Bunun yasa dışı olduğunu malum fakat yasal olarak birşey elde edileceğini sanmıyorum çünkü temelinde metin2 pvp server zaten yasal değil ki 1-2 tane sunucu hariç hiç biri şirket adı altında vergi ödemiyor. Sahte belgeler göstermelik başka düzenlemelerle şirket - yasalmış gibi gösteriyorlar.
Hepsini görmek için tıklayın...
Açıkçası benim de yasal yoldan bir sonuç alma gibi beklentim hatta buna başvurma niyetim de yok kendi adıma konuşayım senin yorumun genel tabii , sadece gözüme çarpan ve kanıtlarıyla sunabildiğim bi olayın görünmesi için forumlarda paylaştım ve bundan sonra bu tarz eylemlerde bulunacak sunucular da buna giriştiği zaman gözüme çarparsa ve gerçekten kanıtlarıyla sunabilip bunu tahminden öteye taşıyabilirsem yine aynı şekilde forumlarda paylaşacağım belki bi nebze yararı olur.
 

Benzer konular

Forgiven
Oldschool Serverfiles v1.0
2
Yanıt
20
Gösterim
6K
szilo9905
S
diemetin2
1 - 99 Zor emek serverler için önerilerim
Yanıt
6
Gösterim
3K
layers
layers
bckntr
/ ___ Yeni Ws Lik Files Geliştirme Serisi [ 1 ] ___ /
Yanıt
7
Gösterim
801
cosion
cosion
servet7676
Port Açma GamePort V2 – Modeme Gerek Yok, Hemen Aç
Yanıt
15
Gösterim
469
mazeah321
mazeah321
Metin2University
Metin2 Files Geliştirme ve senaryo önerisi
Yanıt
0
Gösterim
221
Metin2University
Metin2University
Geri
Üst