C1 Guard | HackMe

Page 2 of 3

10/23/2012 18:08 3Angle#16

Es geht um den Injection Schutz?!
Wenn ich noch f�r andere Sicherungen andere Tools benutze, hei�t es nicht, dass die Funktion die, umgegangen werden soll, auch mit zu den anderen Tools geh�rt.
Leider verstehst du dieses Prinzip nicht.
Viele Leute posten HackMe/CrackMe�s mit anderen Obfuscatoren/Packer und trotzdem hei�t es nicht das der Schutz geklaut ist. :facepalm:
Es geht ja darum die Sicherheitsverfahren vom Programm selbst zu umgehen, der Obfuscator/Packer erschwert dies nur zus�tzlich!

10/23/2012 19:16 Else#17

Was mir der Detector bringt? Damit wei� ich schonmal, wie ich an das HackMe ran gehen muss, ohne mich dumm-und-d�mlich zu probieren. ;-)

10/23/2012 19:38 3Angle#18

Schon gut, das kann man auch ohne Detector sehen.

10/24/2012 11:43 Mi4uric3#19

Der PE-Header wird im Arbeitsspeicher gel�scht, wenn man den wieder einf�gt, funktioniert die DLL-Injektion schonmal, aber das Programm st�rzt ab.

Den PE-Header zu l�schen ist eine ganz sch�n schlechte Idee, wenn das Programm irgendwas tut, was mit Internet zu tun hat. Nur so. Weil dann schmiert es ab.
Da dein Programm aber nichts tut, au�er die Form anzeigen gehts.

10/24/2012 14:18 3Angle#20

Danke f�rs Feedback, werde wohl eine Entdeckung f�r das Einf�gen des PE Headers einbauen und ich werde das mal mit dem Internet ausprobieren.

10/24/2012 14:23 Mi4uric3#21

Quote:

Originally Posted by 3Angle

Danke f�rs Feedback, werde wohl eine Entdeckung f�r das Einf�gen des PE Headers einbauen und ich werde das mal mit dem Internet ausprobieren.

Sollte nicht viel bringen.
Prozess pausieren, PE-Header einf�gen, DLL injezieren, PE-Header l�schen, Prozess weiterlaufen lassen.

10/24/2012 14:29 3Angle#22

Das wird wieder endeckt und das Programm crasht.
Mit dem Suspenden werde ich auch noch regeln.

Eine Frage, wie bist du an dem PE Header gekommen?

10/24/2012 14:41 Mi4uric3#23

Naja der PE-Header befindet sich am Anfang der Datei :d

Spoiler

10/24/2012 14:47 3Angle#24

Schon klar, aber der ist ja nicht direkt zug�nglich... Sondern wird ja aus einem verschl�sselten Bereich geladen.

10/24/2012 14:49 Mi4uric3#25

Quote:

Originally Posted by 3Angle

Schon klar, aber der ist ja nicht direkt zug�nglich... Sondern wird ja aus einem verschl�sselten Bereich geladen.

Ich nehm einfach den, der am Anfang der .exe ist. Das scheint f�r die Injektion zu reichen :)

10/24/2012 15:51 Ende!#26

Hier mal als Binary, falls es noch von Relevanz ist. Hatte ich gestern fix fertig gemacht und vergessen zu posten. :P

[Only registered and activated users can see links. Click Here To Register...] (einfach nach C1 Guard starten)

PS: Es ist �U�ERST hacky den PE-Header zu nullen, viele Librarys werden da gar nicht drauf klarkommen.
PS2: [Only registered and activated users can see links. Click Here To Register...]

10/24/2012 16:17 Mi4uric3#27

Quote:

Originally Posted by Ende!

Es ist �U�ERST hacky den PE-Header zu nullen, viele Librarys werden da gar nicht drauf klarkommen.

Ja das war das, was ich mit dem "Den PE-Header zu l�schen ist eine ganz sch�n schlechte Idee, wenn das Programm irgendwas tut, was mit Internet zu tun hat. Nur so. Weil dann schmiert es ab." meinte..

10/24/2012 16:56 3Angle#28

Okay ich brauche nun eine gewisse Zeit, um eure Hacks wieder funktionsunt�chtig zu machen und einige neue Schutztechniken einzubauen.

10/24/2012 17:16 Mi4uric3#29

Du solltest die Funktion mit dem L�schen des PE-Headers rausnehmen, da sie nicht praktikabel f�r ein laufendes Programm ist.

10/24/2012 19:34 MrSm!th#30

Quote:

m�chte ich die Sicherheitsl�cken herausfinden

|
v

Quote:

.NET

Page 2 of 3