[RELEASE]M2Bob - Cracked by .Pwnr
Hallo Metin2-Communitiy,
wir sind heute auf einen Thread im offiziellen Metin2-Forum aufmerksam geworden, in dem ein User namens Hoink scheinbare Fakten über die Cheatsoftware M2Bob von Sandmann und Slait verbreitet. Daraufhin haben wir uns mal rangesetzt und angefangen, den ach so beliebten M2Bob zu sezieren. Dabei herausgekommen sind einige schöne Details, die im Nachfolgenden auch noch näher erläutert werden. Rubrik 1: Programmierung Im Allgemeinen ist der Bot sehr sehr schlecht geschrieben. Das ganze fängt beim Compiler (Borland) an und hört beim Autologin auf (eine einfache Textdatei -> loginsettings.py). Weiter ins Detail brauche ich nicht gehen, das würde hier kaum einer verstehen. Wer dazu Fragen hat, bitte einfach per PN fragen (oder hier im Thread) 1) Der Bot besitzt keinerlei Debugging-Protection 2) Weder die ausführbare Datei (.exe) noch die Bibliothek (.dll) sind geschützt, Manipulationen sind sehr einfach möglich 3) Die gesamte Serverkommunikation findet in komplett unverschlüsseltem HTTP-Verkehr statt Rubrik 2: Manipulationen am PC Durch M2Bob wird unter anderem der Zugriff auf den Loginserver von EasyMetin2 verboten. Das ist zwar sehr nett und zuvorkommend, meines Erachtens sollte das jedoch lieber jedem selbst überlassen sein. Ich/wir hasse/n es, wenn ein Programm irgendwas unerlaubt(und ungewollt) am PC herumbastelt. Das Blockieren der IPs passiert über die Windows-internen route-Befehle, die Kommandos hierfür (und für vieles andere) sind 4-fach Base64-verschlüsselt im Speicher vorhanden, hier einige Auszüge: V1RJd05VMVhVa2hXVjJSaFVqRmFlbGRzYUZOaVJXeENVRlF3UF ZGQg==M= -> "route delete \0" V1RJd05VMVhVa2hXVjJSTlYwVkdibFZXVmxOU1ZXeENVRlF3UF ZGQg==M= -> "route -p ADD \0" VTFWVmVGRnNWWGRqTW1ST1lXeFZlRlJIY0VwTlZUVlVUa2hzVD FaR1ZqRlVWM0JXVFZWc1FsQlVNRDFSUVE9PQ==M= -> " MASK 255.255.255.255 \0" Rubrik 3: Verschlüsselung Das witzige an dieser Rubrik ist: Es gibt keine direkten Verschlüsselungen. Alle interessanten Strings sind x-mal mit Base64 "verschlüsselt" (Meist 4x) Rubrik 4: Debug-Schutz Naja, die Prozessnamen, auf die überprüft werden soll, stehen im RAM/in der EXE -> Kurz leeren, fertig. Ergo -> Kein wirklicher Schutz, sehr lachhaft Rubrik 5: Herausgefundene Informationen Zum Login: Der obere Link wird aufgerufen, daraufhin wird einer der unteren Werte zurückgegeben [Only registered and activated users can see links. Click Here To Register...] Beispiel: [Only registered and activated users can see links. Click Here To Register...] Rückgabewerte: Bei falscher ID: id Bei falschem Passwort: pw Bei erfolgreichem Login (NORMAL): normal Bei erfolgreichem Login (+1 Slot): p1 Bei erfolgreichem Login (+3 Slot): p2 Bei erfolgreichem Login (+4 Slot): p3 Wir haben dies für euch so verarbeitet, dass ihr absofort auch ohne nur einen Cent bezahlen zu müssen Premium3 habt. (Ihr könnt auch auswählen was ihr haben wollt, wäre aber dämlich, da Premium3 das beste ist) Dafür mussten wir zwar ein wenig unserer kostbaren Zeit opfern, aber für die Community tut man ja so einiges! ;) Rubrik 6: Beunruhigende Ansätze Wir haben mal ein paar Aktionen nachvollzogen, z.B. haben wir mal untersucht, welche Mutexes vom Prozess erstellt werden.. Darunter war z.B. "Local\_!MSFTHISTORY!_", dieser String ergibt ganz interessante Google-Ergebnisse: [Only registered and activated users can see links. Click Here To Register...] Wir wollen hier nichts unterstellen, etwas seltsam wirkt das jedoch schon Aus diesem Ansatz heraus konnten wir aber auch problemlos das mehrfache Starten von M2Bob ermöglichen. Es ist nun absolut kein Problem mehr, den Bot öfters als ein Mal zu starten. Hierdurch sind weitere Metinfenster möglich da trotz Premium3 die Bergrenzung auf 5 Fenstern liegt, sogar ohne auch nur einen Cent bezahlen zu müssen! Zusammenfassung: Durch unsere Arbeit ist es möglich, M2Bob in der aktuellen Version (1.3.2) kostenlos mit vollen Premium-Rechten zu verwenden. Wer uns nicht 100% traut, kann's auch gleich wieder lassen. Im Anhang sind einmal nur die Dll (pwnr.dll) und einmal die modifizierte M2Bob 1.3.2.exe Die Exe wurde nur insofern modifiziert, dass die pwnr.dll beim Start automatisch mitgeladen wird, MEHR WURDE NICHT GEMACHT! Wer also komplett paranoid ist, kann die DLL per UPX entpacken, sie analysieren und danach von Hand injecten.. macht aber meiner Meinung nach kaum Sinn Kleine Anleitung zum Crack (hierbei gehe ich vom Standardweg aus -> Exe & Dll laden, beide in den gleichen Ordner, die M2Bob_Dll noch dazukopieren und fertig): - M2Bob.exe starten - Unser Fenster geht auf (Bild:) [Only registered and activated users can see links. Click Here To Register...] - Dieses Fenster noch ignorieren, erstmal in M2Bob auf Deutsch [oder jede beliebige Sprache] stellen, die metin2client.bin wählen und FALSCHE Accountdaten (bzw. völlig willkürliche) eingeben, auf Weiter klicken - Jetzt kommt unser Fenster ins Spiel, einfach die gewünschte Premium-Version auswählen und auf "CrackIt!" klicken - Ein Bestätigungsfenster geht auf, unser Fenster verschwindet und alles ist bereit zum botten Dem aufmerksamen Spieler fallen nun mehrere Sachen auf: a) Er kann mehrmals M2Bob starten b) Er kann in einem Bot 6x Metin öffnen c) Er ist wunschlos glücklich <3 Ich hoffe, euch hats gefallen :) Wir sehen uns eventuell beim nächsten Crack wieder :P Ps: Für ganz ängstliche: Das Teil verbindet sich momentan auf pwnr.bplaced.net/pyc.php Da steht aber nur p3 drin. Sollte durch eine erfolgreiche Abuse-Meldung pwnr.bplaced.net gelöscht werden, funktioniert der Crack nach wie vor ;) Euer .Pwnr |
[Only registered and activated users can see links. Click Here To Register...]
Okay, scheint ausnahmsweise mal sauber zu sein. Die Detection könnte von UPX kommen. Wäre bei "Cracks" trotzdem immer vorsichtig. Das, was im Text steht hab ich aber grade auch nachgeprüft.. Scheint alles plausibel und ist nachvollziehbar.. hm. €dit: Okay, hier die mit UPX entpackte Version der Datei, dieses mal komplett ohne Detection. VT nach also komplett sauber, wobei die Imports schon seltsam aussehen. [Only registered and activated users can see links. Click Here To Register...] |
ITS WORK!
Nice!! Es Klappt Nice. Seehr Guut gemacht :D |
Quote:
Und das heißt das ding is Clean wobei ich mir vlt doch eher den Premium zulegen würde.. um weitere Risiken vorzubeugen.. |
Lol.
Das Ding geht wirklich! Beweis: [Only registered and activated users can see links. Click Here To Register...] Whut da fuq... gleich mal selber die Exe anschaun *gier* Padmak |
awas Hammerhart Das ist ja echt der Hammer was aus dem Nichts erscheint
|
Quote:
Ich nehm die Datei morgen mal genauer unter die Lupe, aber soweit gibts die Freigabe. |
Also bei mir Funkts nicht
€: ups verlesen Also geht bei mir nicht wird die alte .dll sein wo auf Win XP nich ging |
Hab es doch gesagt, das es geht...
und habs bestätigt oder meint ihr ich bin ein Dieb? :o |
Also jetzt is das Botfenster offen aber ich hab kein Premium komisch..
|
Also bei mir gings einwandfrei, einfach auf Crack und dann stand da "Erfolgreich eingeloggt"
Ingame war dann das alles da^^ Keine Ahnung, hab ihn grad nur zu diesem Zweck geladen :D Padmak |
Also ich hab gedownloaded beides aufn desktop exe gestartet sprache .bin etc ausgewählt eingeloggt mit asfha (willkürlich) kam fehler zur datenbank/erfolgreich eingeloggt auf weiter. crack it gedrückt kam wurde gecrackt ok fenster weg fehler zur datenbank bot gestarrtet eingeloggt kein premium
|
Nein, das is falsch
Du musst alles eingeben, auf Crack drücken und dann einloggen.. so gehts bei mir zumindest Padmak |
oke versuch ichs mal so danke schonmal
€: also egal ob ich vorher crack, bevor ich mich einlogge beim m2bob client oder erst wenn er geöffnet ist ich bekomme keinen premium habe Win XP |
Seltsam, dann hab ich auch keine Ahnung
Musst du wohl warten bis sich der TE drum kümmert xD Padmak |
All times are GMT +2. The time now is 13:57. |
Powered by vBulletin®
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.