[RELEASE]Undecompileable Autoit program

TechnoMan · 04/27/2011, 15:50

Removed

CyberShoxx · 04/27/2011, 15:58

Wow, gepackt ist es nicht. Vielleicht ist es gebindet aber weiß ich nicht genau. Wenn du deine Scripte sicher haben willst, nimm Themida. Das hauste einma drüber dann haben die anderen auch keine chance.

Shadow992 · 04/27/2011, 16:00

Quote:

Originally Posted by TechnoMan

Hallo,

ich weiss was Ihr grade denkt..

Meint Ihr?

Marcel und Ich haben uns mal drangesetzt ein undecompilierbares AutoIt Script zu erstellen.

Wer es schafft soll mir bitte den Inhalt des Scripts ! PER PN! schicken.

Download:

Viel Glück ( Ihr werdet es brauchen, und selbst dann aber nicht schaffen )

Ich verspreche den Ersten, der es schafft 50 e*gold.

Quote:

Originally Posted by -CyberLinK-

Wow, gepackt ist es nicht. Vielleicht ist es gebindet aber weiß ich nicht genau. Wenn du deine Scripte sicher haben willst, nimm Themida. Das hauste einma drüber dann haben die anderen auch keine chance.

Warum packen?
Wir machen das per Handarbeit und nicht mit irgendeinem Programm von Dritten.
Außerdem ist es nicht gepackt/gebunden.

P.S.
Ich sag dir so wie es momentan ist, sind die Skripte schon sehr sicher.

CyberShoxx · 04/27/2011, 16:11

Oo, hab es mir in PEiD angesehn. Es ist UPX gepact mkay Also, ich glaube dass du eine Binärdatei erstellen tust diese Aufrust, und sie danach wieder löschst. Kannste mir wenigstens das Hauptprinzip verraten? xD

Shadow992 · 04/27/2011, 16:13

Quote:

Originally Posted by -CyberLinK-

Oo, hab es mir in PEiD angesehn. Es ist UPX gepact mkay Also, ich glaube dass du eine Binärdatei erstellen tust diese Aufrust, und sie danach wieder löschst. Kannste mir wenigstens das Hauptprinzip verraten? xD

Eigentlich sollte es nicht UPX gepackt sein...
Scheinbar hat Technoman da was vergessen.
Das ändert aber nichts am eigentlichen Prinzip.

Das Prinzip nach dem das Skript arbeitet wird (zumindest jetzt) nicht verraten.

Btw.
Und nein es wird keine Binary-Datei erstellt.

CyberShoxx · 04/27/2011, 16:21

*hust* UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo [Overlay] xD

Mhhh, was könnte es dann noch sein. Die Idee mit dem Binden fand ich am sinnvollsten.

43 72 79 70 74 4D 73 67 44 6C 6C 43 4E 47 49 6D 70 6F 72 74 43 6F 6E 74 65 6E 74 45 6E 63 72 79 70 74 4B 65 79

CryptMsgDllCNGImportContentEncryptKrey -> 50 e~gold ich komme :P

TechnoMan · 04/27/2011, 16:50

Was willst du uns damit sagen?

Die 50 Egold gibt es wenn du das Script decompilst

Desweiteren beachte die Regeln.. Hier werden keine Ergebnisse gepostet !

Diese werden mir NUR PER PN geschickt !

Achja ich habe die mit Upx gepackt.. Das stellt aber für den decompilst kein Problem da..

Und nein es gibt keine Tipps..

Computerfreek · 04/27/2011, 17:31

Wenn man das ganze Script mal mit normalen Scripts vergleicht, dann sieht man auf den ersten Blick dass es nicht nur eine AU3!EA06 Signatur gibt sondern hunderte.

Ich würde mal drauf tippen dass das Script ca. so aussieht:

Code:

FileInstall("new.exe.overlay", "randompath0")
FileInstall("Kopie (2) von new.exe.overlay", "randompath1")
FileInstall("Kopie (3) von new.exe.overlay", "randompath2")
FileInstall("Kopie (4) von new.exe.overlay", "randompath3")
FileInstall("Kopie (5) von new.exe.overlay", "randompath4")
FileInstall("Kopie (6) von new.exe.overlay", "randompath5")
FileInstall("Kopie (7) von new.exe.overlay", "randompath6")

[Hier der richtige Code]

Das wird eben per Script automatisiert. So bekommt man den Effekt mit den hunderten Overlays hin. Theoretisch könnte man dann eins nach dem anderen per HexEdit löschen, aber das ist eine Sau Arbeit.
Dazu kommen noch einige andere Sachen die das eigentliche Script verstecken. Ich gehe mal davon aus dass nichts mit Encryptions sondern nur mit HexEditing gemacht wurde.
Ist natürlich nur eine Vermutung..

TechnoMan · 04/27/2011, 17:41

Quote:

Wer es schafft soll mir bitte den Inhalt des Scripts ! PER PN! schicken.

Was ist daran so schwer zu verstehen?

Achja: Die Aufgabenstellung ist nicht zu raten sondern das Decompilte Script zu posten!

Wer nichts per PN schickt braucht auch nicht mit einer Antwort auf das Ergebniss rechnen

Shadow992 · 04/27/2011, 17:46

Quote:
Originally Posted by Computerfreek
Wenn man das ganze Script mal mit normalen Scripts vergleicht, dann sieht man auf den ersten Blick dass es nicht nur eine AU3!EA06 Signatur gibt sondern hunderte.

Ich würde mal drauf tippen dass das Script ca. so aussieht:
Code:
FileInstall("new.exe.overlay", "randompath0")
FileInstall("Kopie (2) von new.exe.overlay", "randompath1")
FileInstall("Kopie (3) von new.exe.overlay", "randompath2")
FileInstall("Kopie (4) von new.exe.overlay", "randompath3")
FileInstall("Kopie (5) von new.exe.overlay", "randompath4")
FileInstall("Kopie (6) von new.exe.overlay", "randompath5")
FileInstall("Kopie (7) von new.exe.overlay", "randompath6")

[Hier der richtige Code]
Das wird eben per Script automatisiert. So bekommt man den Effekt mit den hunderten Overlays hin. Theoretisch könnte man dann eins nach dem anderen per HexEdit löschen, aber das ist eine Sau Arbeit.
Dazu kommen noch einige andere Sachen die das eigentliche Script verstecken. Ich gehe mal davon aus dass nichts mit Encryptions sondern nur mit HexEditing gemacht wurde.
Ist natürlich nur eine Vermutung..

Das Skript sieht nicht einmal annähernd so aus:

Code:

FileInstall("new.exe.overlay", "randompath0")
FileInstall("Kopie (2) von new.exe.overlay", "randompath1")
FileInstall("Kopie (3) von new.exe.overlay", "randompath2")
FileInstall("Kopie (4) von new.exe.overlay", "randompath3")
FileInstall("Kopie (5) von new.exe.overlay", "randompath4")
FileInstall("Kopie (6) von new.exe.overlay", "randompath5")
FileInstall("Kopie (7) von new.exe.overlay", "randompath6")

[Hier der richtige Code]

lolkop · 04/27/2011, 22:24

wozu erstellt ihr bitte einen thread über ein eurer meinung nach sicheres verfahren scripte zu schützen, und verbietet das diskussionen darüber ob bzw wie man den schutz umgehen kann?

Shadow992 · 04/27/2011, 22:28

Quote:

Originally Posted by lolkop

wozu erstellt ihr bitte einen thread über ein eurer meinung nach sicheres verfahren scripte zu schützen, und verbietet das diskussionen darüber ob bzw wie man den schutz umgehen kann?

Die Idee war herauszufinden, ob es wirklich sicher ist.
In der Hoffnung es weiter verbessern zu können.

Btw. Eigentlich sollte diskutieren nicht verboten werde.

TechnoMan · 04/27/2011, 22:32

Diskussionen sind nicht verboten?

Wir möchten nur eine gewisse fairniss und möchten daher das Leute die glauben Sie wissen wie man es decompilen kann sich per PN bei mir melden um anderen Usern gegenüber fair zu bleiben was die Belohnung angeht

KDeluxe · 04/28/2011, 17:03

Nichts ist unmöglich, die PN ist draußen. In der Ausführung ist es jedenfalls zu simpel, alles was man braucht ist ein Editor, die CrackMe.exe, eine beliebige AutoIt.exe (auch mit leerem Inhalt) und der übliche Decompiler. Dauert in etwa 1 Minute (zumindest bei diesem Beispiel).

Zählt das schon als "verboten"? Es ist kein wirklicher "Fortschritt" beschrieben.

Shadow992 · 04/28/2011, 18:49

Quote:

Originally Posted by KillerDeluxe

Nichts ist unmöglich, die PN ist draußen. In der Ausführung ist es jedenfalls zu simpel, alles was man braucht ist ein Editor, die CrackMe.exe, eine beliebige AutoIt.exe (auch mit leerem Inhalt) und der übliche Decompiler. Dauert in etwa 1 Minute (zumindest bei diesem Beispiel).

Zählt das schon als "verboten"? Es ist kein wirklicher "Fortschritt" beschrieben.

Er hat es geschafft, die 2. Crackme gibt es unter:

Dieses mal leider (vorerst) ohne Preis.