Znalazłem. Oto co dokładnie robi nam warden gdy gramy w wow:
http://www.rootkit.com/blog.php?newsid=358
Podsumowując, w uproszczeniu:
Po uruchomieniu launchera warden ściąga swój kod z sieci i uruchamia się. Co 15 sekund warden przeprowadza skan przeciw programom 3rd party, obejmujący:
1. Czyta nazwy wszystkich otwartych okienek, również zwiniętych do paska. Następnie porównuje z listą zakazanych nazw
2. Z wszystkich procesów z pamięci, pobiera 10-20 bajtów i porównuje z zakazaną listą
3. Jeśli wyniku tych testów warden znajdzie pasujące do siebie ciągi znaków, raportuje do blizza = ban
Nie wyjaśnione w artykule: lista zakazanych ciągów (banning hashes) jest także ściągana w locie razem z kodem?
Jak pamiętamy, warden jest używany już od kilku miesięcy. Powstał w międzyczasie program nadzorujący jego działania, zwany Governor. Niemniej prawie napewno trafił on na listę banned (mam na myśli że jeśli użyjesz Governora to blizz da ci bana)
Powyższe informacje są oparte na analizach wykonywanych już dość dawno, tj. zaraz po wprowadzeniu warden do walki. Na dzień dzisiejszy może być rozbudowany i sprytniejszy. Niemniej, prawie pewne jest, że działanie warden wykracza poza ramy EULA i TOU, możnaby także pokusić się o analizę prawną jego działania.