[Only registered and activated users can see links. Click Here To Register...]Quote:
Ist Themida nicht das Tool, um Trojaner zu crypten? Ich habe es mal vor langer Zeit benutzt. ö.ö
DarknessRectionCrew
01/26/2010 22:20
69Shizume69#91
01/26/2010 23:29
MrSm!th#92
Ich wollte es ja nur erwähnen ;)Quote:
hackshield ist nur xtrap das ist alles x_X
das sagt einiges......Quote:
Du kannst damit crypten was du willst <.<
Kommt immer drauf an, wie es genutzt wird.Quote:
Er Macht eigene Trainer für Combat Arms und da ist der Client auch Mit Themida Gepackt.
Wenn die VM von Themia genutzt wird, kannste es fast vergessen.
Dann ist es nahezu unmöglich einen komplett entschlüsselten Client zu haben.
Ist aber auch nicht nötig;
Ich präsentiere:
Die Anti Themida Dll!
Sie "freezed" den Prozess.
Dann kann man mit Olly attachen ohne, dass der Client geschlossen wird und BÄMM der Client ist im Speicher komplett entschlüsselt ;)
Allerdings nur statische Analyse.
Man kann keine Auswirkungen beobachten, da der Prozess ja "gefreezed" ist.
Aber so etwas wird auch noch folgen, eine Dll die Olly nur undetected macht^^
p.s. diese rein statische Analyse ist auch das einzige was mit 99% der Clients möglich ist, die rauskommen, wenn man Themida unpackt.
01/26/2010 23:34
69Shizume69#93
VirusTest:Quote:
das sagt einiges......
Du kannst damit crypten was du willst <.<
Kommt immer drauf an, wie es genutzt wird.
Wenn die VM von Themia genutzt wird, kannste es fast vergessen.
Dann ist es nahezu unmöglich einen komplett entschlüsselten Client zu haben.
Ist aber auch nicht nötig;
Ich präsentiere:
Die Anti Themida Dll!
Sie "freezed" den Prozess.
Dann kann man mit Olly attachen ohne, dass der Client geschlossen wird und BÄMM der Client ist im Speicher komplett entschlüsselt ;)
01/26/2010 23:49
MrSm!th#94
ach das vergesse ich immer <.<Quote:
Ich finde diese Regel so dämlich....
1. jeder kann sowas fälschen
2. jeder downloader sollte selbst verantwortlich sein
3. gibts false positives
4. gibts unentdeckte viren (nämlich nicht die, die dieses Scriptkiddie Explosiv runterlädt, sondern selbst geschriebene)
Naja danke^^
01/27/2010 00:16
freehuntx#95
Also zum Crypten von dateien benutze ich meine eigene stub.
Vor 1-2 Jahren (ca.) Wurden Trojaner, Viren etc, mit Themida Gecryptet. Aber dann kamen Antivirenhersteller her und haben das ding in den antivir eingepackt und seitdem erkennt es sogut wie jedes antivirentool als Virus.
Jemand der sich als hacker bezeichnen will, sollte zumindest wissen ob er nen virus hat ohne die hilfe eines Antivirensystems, da diese leicht zu überlisten sind.
Aber als kleine Hilfe wie ich es erkenne:
1.
Verzögerung beim start des Programmes:
Sollte beim Starten eines Programmes eine verzögerung von 3-etc. sekunden auftreten, Tritt 2. in Kraft.
2.
Systemstart:
Sollte 1. der Fall sein, sollte man dies tun:
Windows XP: Start-> Ausführen-> msconfig-> Systemstart
Windows Vista: Start-> Alle Programme-> zubehör-> Ausführen-> msconfig-> Systemstart
Trojaner/Viren erkennt man häufig an solchen o.ä. namen:
uiogwhwj (irwelche buchstaben/Zahlen)
Windows Update (Zum Tarnen wird dieser name verwenden)
Java Update
MediaPlayer Update
svchost
etc.
Im Systemstart sollte (in meinem Fall) nichts angekreuzt sein außer Programme die ihr auch wirklich beim start des Pc`s haben möchtet zb. InternetAnbieter.
Alle unerwünschten Programme .. RAUS ^^
Mann sollte auch regelmäßig den Taskmanager checken ob dort Prozesse laufen wie iexplorer.exe (Während internetexplorer nicht läuft), JavaUpd.exe, Winupd.exe etc.
Das sind die "Grundkenntnisse"
ps: Bei angeblichen "Keygeneratoren o.ä" sollte man beim start zumindest einen sniffer anmachen wie z.b. WireShark, dar falls es ein stealer ist er auslesen kann ob etwas an einen ftp server gesendet wird, und welche ip er verwendet,Nutzername,passwort.
Aber die Neusten Stealer haben Sowieso Antisniff drin, d.h. ist ein sniffer an und ihr startet den "virus" wird nichts an den ftpserver gesendet und somit auch nicht eure Passwörter.
MrSm!th Funktionieren mit dem Freezer auch andere Dinge? z.B. Cheatengine?
btw: Es ist nicht nötig bei .dll`s einen Virusscan zu Posten, dar es keine Möglichkeit gibt einen Virus in eine dll zu packen.
Und es wäre schwachsinnig, dar die dll in einen Prozess injected wird, und was bringt es einen Trojaner in ein spiel zu injecten :facepalm:
Und wie Sm!th schon sagte, kann man solche analysen fälschen wenn ihr wollt kann ich das man demonstrieren.
Vor 1-2 Jahren (ca.) Wurden Trojaner, Viren etc, mit Themida Gecryptet. Aber dann kamen Antivirenhersteller her und haben das ding in den antivir eingepackt und seitdem erkennt es sogut wie jedes antivirentool als Virus.
Jemand der sich als hacker bezeichnen will, sollte zumindest wissen ob er nen virus hat ohne die hilfe eines Antivirensystems, da diese leicht zu überlisten sind.
Aber als kleine Hilfe wie ich es erkenne:
1.
Verzögerung beim start des Programmes:
Sollte beim Starten eines Programmes eine verzögerung von 3-etc. sekunden auftreten, Tritt 2. in Kraft.
2.
Systemstart:
Sollte 1. der Fall sein, sollte man dies tun:
Windows XP: Start-> Ausführen-> msconfig-> Systemstart
Windows Vista: Start-> Alle Programme-> zubehör-> Ausführen-> msconfig-> Systemstart
Trojaner/Viren erkennt man häufig an solchen o.ä. namen:
uiogwhwj (irwelche buchstaben/Zahlen)
Windows Update (Zum Tarnen wird dieser name verwenden)
Java Update
MediaPlayer Update
svchost
etc.
Im Systemstart sollte (in meinem Fall) nichts angekreuzt sein außer Programme die ihr auch wirklich beim start des Pc`s haben möchtet zb. InternetAnbieter.
Alle unerwünschten Programme .. RAUS ^^
Mann sollte auch regelmäßig den Taskmanager checken ob dort Prozesse laufen wie iexplorer.exe (Während internetexplorer nicht läuft), JavaUpd.exe, Winupd.exe etc.
Das sind die "Grundkenntnisse"
ps: Bei angeblichen "Keygeneratoren o.ä" sollte man beim start zumindest einen sniffer anmachen wie z.b. WireShark, dar falls es ein stealer ist er auslesen kann ob etwas an einen ftp server gesendet wird, und welche ip er verwendet,Nutzername,passwort.
Aber die Neusten Stealer haben Sowieso Antisniff drin, d.h. ist ein sniffer an und ihr startet den "virus" wird nichts an den ftpserver gesendet und somit auch nicht eure Passwörter.
MrSm!th Funktionieren mit dem Freezer auch andere Dinge? z.B. Cheatengine?
btw: Es ist nicht nötig bei .dll`s einen Virusscan zu Posten, dar es keine Möglichkeit gibt einen Virus in eine dll zu packen.
Und es wäre schwachsinnig, dar die dll in einen Prozess injected wird, und was bringt es einen Trojaner in ein spiel zu injecten :facepalm:
Und wie Sm!th schon sagte, kann man solche analysen fälschen wenn ihr wollt kann ich das man demonstrieren.
01/27/2010 00:26
MrSm!th#96
nicht zu vergessen systemdateienQuote:
Windows Update (Zum Tarnen wird dieser name verwenden)
Java Update
MediaPlayer Update
svchost
wie
csrss
oder auch mal
csrrs^^
zu deiner Frage:
ja, aber bringt nix.
Was willst du denn damit?
Dann attachst du CE, suchst deine Values, und?
Gehen wir mal davon aus, sie sind nicht geändert (was sie aber sind) und du findest die erste Dmg Adresse.
Und dann?
Kannst ja später nichts machen, um sie zu verändern, dafür müsstest du einen Bypass oder meine Dll nutzen und bei letzterem wäre ja der Prozess gefreezed ;)
btw. Nicht wundern wenn dieses "Project S4 Client funktioniert nicht mehr..."
kommt.
Einfach Olly attachen und nicht beachten.
01/27/2010 00:36
freehuntx#97
Oh ok jetzt habe ich es erfasst ^^
Danke
Danke
01/27/2010 17:23
woche3#98
alles hat ein anfang ich hab schon ein bisschen versucht eigene hacks zu erstellen , mit bisschen hilfe würd ichs vielleicht auch eines tages schaffen^^ , naja wenn ihr mich nicht haben wollt einfach nein sagen hab nix dagegen
mfg woche3
mfg woche3
01/27/2010 17:47
freehuntx#99
Ja jeder fängt mal klein an ^^
Wenn du dich für Autoit interessierst könnte ich dir ab und zu tipps geben.
Aber bisschen müsstest du schon was können ;D
Wenn du dich für Autoit interessierst könnte ich dir ab und zu tipps geben.
Aber bisschen müsstest du schon was können ;D
01/30/2010 20:24
freehuntx#100
Ich entschuldige mich vielmals für meinen Doppelpost, aber ich möchte Bekannt geben, dass das Forum nun wieder in Betrieb ist und ich mich demnächst darum kümmern werde.
[Only registered and activated users can see links. Click Here To Register...]
Viel Spaß euch allen!
[Only registered and activated users can see links. Click Here To Register...]
Viel Spaß euch allen!