.exe Entschl�sseln

Page 2 of 2

08/17/2015 22:04 tolio#16

dann pn pls

08/17/2015 22:30 RatexIndex#17

Quote:

Originally Posted by tolio

dann pn pls

Hast PN bekommen schon was raus gefunden ?

08/17/2015 23:49 tolio#18

vm war nicht rdy wegen win10 update, ich schau nachher mal rein, kann aber nix versprechen.

08/17/2015 23:51 W_E_L_C_O_M_E#19

Es gab mal f�r wenige Stunden einen decompiler f�r CE Trainer. Es ist m�glich, ich wei� nur nicht ob das bei jeder .exe geht.

08/18/2015 04:03 tolio#20

also vorab, folgende assembly wird geladen, ich denke da muss man nicht mehr zu sagen:

Quote:

{SteamFileStealerExtreme, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null}

weil da jemand ganze arbeit beim obfuscaten geleistet hat hab ich mal per reflection nen paar informationen gesammelt, folgendes sind die enthaltenen member, teilweise ohne namen, aber auch diese sachen sprechen f�r sich:

Spoiler

Quote:

[000][Method] "Int32 Main(System.String[])"
[001][Method] "- [-](UInt32, UInt32)"
[002][Method] "- [-](UInt32, UInt32)"
[003][Method] "- [-](UInt32, UInt32)"
[004][Method] "- [-](UInt32, UInt32)"
[005][Method] "- [-](UInt32, UInt32)"
[006][Method] "- [-](UInt32, UInt32)"
[007][Method] "- [-](UInt32, UInt32)"
[008][Method] "- [-](UInt32, UInt32)"
[009][Method] "- [-](UInt32, UInt32)"
[010][Method] "- [-](UInt32, UInt32)"
[011][Method] "- [-](UInt32, UInt32)"
[012][Method] "- [-](UInt32, UInt32)"
[013][Method] "- [-](UInt32, UInt32)"
[014][Method] "- [-](UInt32, UInt32)"
[015][Method] "Boolean (IntPtr, UInt32, UInt32, UInt32 ByRef)"
[016][Method] "Void ()"
[017][Method] "System.Runtime.InteropServices.GCHandle Decrypt(UInt32[], UInt32)"
[018][Method] "System.Reflection.Assembly Resolve(System.Object, System.ResolveEventArgs)"
[019][Method] "Byte[] Decompress(Byte[])"
[020][Method] "Void ()"
[021][Method] "UInt32 ()"
[022][Method] "Boolean (IntPtr)"
[023][Method] "Boolean ()"
[024][Method] " ()"
[025][Method] "IntPtr ()"
[026][Method] "Boolean ()"
[027][Method] "Boolean ()"
[028][Method] "Boolean ()"
[029][Method] " ()"
[030][Method] "Void ()"
[031][Method] "IntPtr (System.Collections.Generic.Dictionary`2[System.IntPtr,System.Int32], Int32)"
[032][Method] "Boolean (Byte*, Int32, UInt32, UInt32 ByRef)"
[033][Method] "Void ()"
[034][Method] "Void (System.Array, Int32, Int32)"
[035][Method] "Double (Double, Double)"
[036][Method] "Double (Double, Double)"
[037][Method] "UInt32 (Double)"
[038][Method] "Void (System.Array, System.RuntimeFieldHandle)"
[039][Method] "System.Reflection.Assembly ()"
[040][Method] "System.Reflection.Module (System.Reflection.Assembly)"
[041][Method] "System.Text.Encoding ()"
[042][Method] "System.String (System.ResolveEventArgs)"
[043][Method] "Byte[] (System.Text.Encoding, System.String)"
[044][Method] "System.String (Byte[])"
[045][Method] "System.Reflection.Assembly ()"
[046][Method] "System.IO.Stream (System.Reflection.Assembly, System.String)"
[047][Method] "Int64 (System.IO.Stream)"
[048][Method] "Void (System.Array, Int32, System.Array, Int32, Int32)"
[049][Method] "Int32 (System.IO.Stream, Byte[], Int32, Int32)"
[050][Method] "Int32 (Double)"
[051][Method] "System.IO.MemoryStream (Byte[])"
[052][Method] "Int32 (System.IO.Stream)"
[053][Method] "System.IO.MemoryStream (Byte[], Boolean)"
[054][Method] "Void (System.String)"
[055][Method] "Void (System.String)"
[056][Method] "System.Version ()"
[057][Method] "Int32 (System.Version)"
[058][Method] "System.Version ()"
[059][Method] "Int32 (System.Version)"
[060][Method] "System.Version ()"
[061][Method] "Int32 (System.Version)"
[062][Method] "System.Version ()"
[063][Method] "Int32 (System.Version)"
[064][Method] "System.Type (System.RuntimeTypeHandle)"
[065][Method] "System.Reflection.Module (System.Type)"
[066][Method] "IntPtr (System.Reflection.Module)"
[067][Method] "System.String (System.Reflection.Module)"
[068][Method] "Char (System.String, Int32)"
[069][Method] "Void (Byte[], Int32, IntPtr, Int32)"
[070][Method] "Void (Byte[], Int32, IntPtr, Int32)"
[071][Method] "Byte[] (Byte[])"
[072][Method] "Void ()"
[073][Method] "- [-](UInt32, UInt32)"
[074][Method] "- [-](UInt32, UInt32)"
[075][Method] "- [-](UInt32, UInt32)"
[076][Method] "- [-](UInt32, UInt32)"
[077][Method] "- [-](UInt32, UInt32)"
[078][Method] "- [-](UInt32, UInt32)"
[079][Method] "- [-](UInt32, UInt32)"
[080][Method] "- [-](UInt32, UInt32)"
[081][Method] "- [-](UInt32, UInt32)"
[082][Method] "- [-](UInt32, UInt32)"
[083][Method] "- [-](UInt32, UInt32)"
[084][Constructor] "Void .cctor()"
[085][Field] "Byte[] key"
[086][Field] "Int32 xx"
[087][Field] "DataType DataField"
[088][Field] " "
[089][Field] "Byte[] "
[090][Field] " "
[091][NestedType] "<Module>+DataType"
[092][NestedType] "<Module>+BitDecoder"
[093][NestedType] "<Module>+BitTreeDecoder"
[094][NestedType] "<Module>+Decoder"
[095][NestedType] "<Module>+LzmaDecoder"
[096][NestedType] "<Module>+OutWindow"
[097][NestedType] "<Module>+State"
[098][NestedType] "<Module>+"
[099][NestedType] "<Module>+"
[100][NestedType] "<Module>+"
[101][NestedType] "<Module>+"
[102][NestedType] "<Module>+"
[103][NestedType] "<Module>+"
[104][NestedType] "<Module>+"
[105][NestedType] "<Module>+"
[106][NestedType] "<Module>+"
[107][NestedType] "<Module>+"
[108][NestedType] "<Module>+"
[109][NestedType] "<Module>+"
[110][NestedType] "<Module>+"

wenn man jetzt dran kommen will wo die daten hingehen muss man das ding entweder ausf�hren oder komplett reversen.

€dit: nachtrag, ist mit ConfuserEx gepackt oder zumindest auf dessen basis, denn die eingef�gten klassen zum entpacken der methodenk�rper tragen die selben namen. (DataType, LzmaDecoder,...)

08/18/2015 07:49 _Roman_#21

Quote:

Originally Posted by tolio

also vorab, folgende assembly wird geladen, ich denke da muss man nicht mehr zu sagen:

weil da jemand ganze arbeit beim obfuscaten geleistet hat hab ich mal per reflection nen paar informationen gesammelt, folgendes sind die enthaltenen member, teilweise ohne namen, aber auch diese sachen sprechen f�r sich:

wenn man jetzt dran kommen will wo die daten hingehen muss man das ding entweder ausf�hren oder komplett reversen.

�dit: nachtrag, ist mit ConfuserEx gepackt oder zumindest auf dessen basis, denn die eingef�gten klassen zum entpacken der methodenk�rper tragen die selben namen. (DataType, LzmaDecoder,...)

Ich hab jetzt hier mal bisschen mitgelesen und mal rein aus Interesse, was genau spricht da f�r sich? Also sowohl im ersten Teil als auch im Zweiten. Kann daraus jetzt nicht wirklich was ableiten, was in Verbindung mit Viren steht.

08/18/2015 08:00 tolio#22

Quote:

Originally Posted by _Roman_

Ich hab jetzt hier mal bisschen mitgelesen und mal rein aus Interesse, was genau spricht da f�r sich? Also sowohl im ersten Teil als auch im Zweiten. Kann daraus jetzt nicht wirklich was ableiten, was in Verbindung mit Viren steht.

naja gut, der assemblyname ist: SteamFileStealerExtreme und das ist dieses produkt hier: [Only registered and activated users can see links. Click Here To Register...] , das sollte eigendlich f�r sich sprechen und wenn dann noch jemand confuser dr�ber laufen l�sst braucht man nicht mehr viel fantasie um zu merken das da jemand etwas verstecken will ;)

08/18/2015 08:59 RatexIndex#23

Danke f�r die Informationen ;)
War sehr Hilfreich das Du dir die M�he gemacht hast. Habe auch �ber whois seinen namen und alles weitere raus gefunden Anschliesent noch sein Facebook Profil Entdeckt 12 Jahre altes Kind Trade Banned des �fteren usw.

Meinste ein 12-15 J�hriger k�nnte sowas erstellen ?

08/18/2015 09:11 tolio#24

hm naja das kann man da auf der seite kaufen, das wird auch ein junger mensch schaffen. und confuser kann man warscheinlich auch mit drag n drop bedienen

08/18/2015 09:14 lennihsv#25

Quote:

Originally Posted by RatexIndex

Danke f�r die Informationen ;)
War sehr Hilfreich das Du dir die M�he gemacht hast. Habe auch �ber whois seinen namen und alles weitere raus gefunden Anschliesent noch sein Facebook Profil Entdeckt 12 Jahre altes Kind Trade Banned des �fteren usw.

Meinste ein 12-15 J�hriger k�nnte sowas erstellen ?

Copy & Paste

08/18/2015 09:34 Ares#26

F�r Dateien unter 8 MB kannst du �brigens auch testweise mal [Only registered and activated users can see links. Click Here To Register...] verwenden.

08/18/2015 09:57 Error-404#27

Quote:

Originally Posted by RatexIndex

Danke f�r die Informationen ;)
War sehr Hilfreich das Du dir die M�he gemacht hast. Habe auch �ber whois seinen namen und alles weitere raus gefunden Anschliesent noch sein Facebook Profil Entdeckt 12 Jahre altes Kind Trade Banned des �fteren usw.

Meinste ein 12-15 J�hriger k�nnte sowas erstellen ?

Den SteamStealerExtreme (alter Name) konnte man sich f�r 20 USD kaufen.

08/18/2015 11:25 AllCowsAreBurgers#28

Schieb mal die exe r�ber, vll l�sst sich da was machen.

08/19/2015 10:56 RatexIndex#29

Quote:

Originally Posted by AllCowsAreBurgers

Schieb mal die exe r�ber, vll l�sst sich da was machen.

Habe schon alle Notwendigen Informationen dennoch Danke f�rs Interesse.
Und Danke nochmals allen die Kommentare Hinterlassen haben ;)

#Closerequest Send

Page 2 of 2