WPE weiterentwicklung

Wenn ich irgendwas mit Filtern gemacht habe wird mir danach als Rücksprungaddresse eine Addresse in der rpe.dll angezeigt, ich denke das sollte mal geändert werden ;)
Auch wenn das natürlich dann aktuell so ist will ich ja trotzdem eigentlich wissen wie das Programm normalerweise arbeitet :)

Habe da nen Problem kp warum aber:
Wenn ich nen Prozess wähle z.b Firefox.exe bekommen ich Packets, aber wenn ich dann neuen Prozess wähle (vorher New drück)
Und das beliebige Spiel injecte bekomme ich keine Packets...

Wüsste einer warum?
Achja der Prozess wird hinterher Versteckt.

Quote:

Wenn ich irgendwas mit Filtern gemacht habe wird mir danach als Rücksprungaddresse eine Addresse in der rpe.dll angezeigt, ich denke das sollte mal geändert werden ;) Auch wenn das natürlich dann aktuell so ist will ich ja trotzdem eigentlich wissen wie das Programm normalerweise arbeitet :)

Werde mir mal gedanken machen wie sich das aendern laesst.

Quote:

Habe da nen Problem kp warum aber: Wenn ich nen Prozess wähle z.b Firefox.exe bekommen ich Packets, aber wenn ich dann neuen Prozess wähle (vorher New drück) Und das beliebige Spiel injecte bekomme ich keine Packets... Wüsste einer warum? Achja der Prozess wird hinterher Versteckt.

Geht es wenn du rpe neustartest? Was ist denn das beliebige spiel? Was soll ich mir unter "verstecken" vorstellen?

Quote:

Originally posted by rEdoX@Jun 14 2007, 18:09 Geht es wenn du rpe neustartest? Was ist denn das beliebige spiel? Was soll ich mir unter "verstecken" vorstellen?

Habe rPE schon neugestartet funzt nicht
Naja der Prozess wird vom GameGuard via Rootkit versteckt.
Aber sonst großes Lob an dich. :rolleyes:

Gameguard konnte ich leider noch nicht testen, was passiert denn, wenn du den prozes startest (-> CreateProcess)? Gameguard laed imho einen treiber, da kann ich aus dem usermode nichts machen und kernel injection wird noch nicht unterstuetzt.

Hmmm schade...
Warte ich bis es vllt ürgendwann unterstützt wird :)
Also die exe kann ich normal Injecten aber dannach geht garnichts mehr...
Wird zwar nicht vom GG erkannt.

Achja +Karma

Quote:

Originally posted by rEdoX@Jun 14 2007, 18:09 Quote: Wenn ich irgendwas mit Filtern gemacht habe wird mir danach als Rücksprungaddresse eine Addresse in der rpe.dll angezeigt, ich denke das sollte mal geändert werden ;) Auch wenn das natürlich dann aktuell so ist will ich ja trotzdem eigentlich wissen wie das Programm normalerweise arbeitet :) Werde mir mal gedanken machen wie sich das aendern laesst.

Das Problem ist doch was anders als ich dachte.
Weils einfach nicht wegging habe ich den Ordner gelöscht und neu entpackt und festgestellt, dass ich mir ws2.0 hatte ausblenden lassen :>

Das Programm benutzt WS2.0::Send, bei dem Aufruf wird dann die richtige Rücksprungaddresse angezeigt.
Der darauffolgende Aufruf von WS1.1::Send zeigt dann aber auf die rpe.dll.

Ich hoffe ich drücke mich verständlich aus ^^

Jup, habs verstanden (: mir faellt aber auf die schnelle keine loesung ein. Ich muesste erstmal debuggen und mir angucken wieso ich bei ws2 die richtige, und bei ws1 die "falsche" ruecksprungaddrese bekomme. Dafuer fehlt mir, um ehrlich zu sein, heute abend die lust.

Erstmal muss ich mich entschuldigen, ich habe total vergessen, dass du hier einen bug report gemacht hast. Habe mal eben schnell drueber geschaut, dass problem ist das ws2.send ws1.send aufruft und an der stelle steht im stack natuerlich noch die "alte" return address. Soll heißen, wenn ws2 benutzt wird waere die return address eigentlich innerhalb von ws1. Dafuer muss ich mir nochmal eine loesung einfallen lassen.


Neue Version:

• Kernelmode Stealth
• Kernelmode based DLL injection
• GetSysCallNr.exe / Target.exe
• Antidetections fuer rPE.dll hinzugefugt
• GUI fix

Getestet auf:
WinXP SP2
Intel 32bit, single core

Um kernelmode stealth benutzt zu koennen _MUSS_ man die die richtigen callnummern, eintragen oder auf "Retrieve Syscallnumbers" clicken.

WinXP SP2:
[Only registered and activated users can see links. Click Here To Register...]

Man sollte es nur benutzen wenn man sich sicher ist das die nummern auch stimmen.

[Only registered and activated users can see links. Click Here To Register...]

hm wenn ich in Xfire injecte und ne msg an jemand schicke kommt zeigt der keine packets an :<

ja ich hab auf "Start" geklickt ;)



OS: Windows Vista Bussines
aktuellste rpe (ausm post vor mir xD)





gruß Dodge

Vista .. konnte ich leider noch nicht testen. Bekommst du denn bei anderen programmen/spielen packete angezeigt? Geht wpe, wenn ja welche funktion zum senden von packets wird verwendet?

also mit rpe:
firefox ruft google auf -> kein send oder recv
vlc startet radio stream -> 12 sends (wovon je 2 immer gleich sind, einer wsa2.0 und einer 1.1) keine recv
icq schickt und empfängt eine msg -> kein send kein recv


mit wpe kann ich grade nicht sagen muss dat erst wiederfinden^^
ich aktualisier dann hier den post wenn ich wpe finden sollte


[edit1]
ich schreib dich ma im msn an ^^

[edit2]
wpe gefunden^^
damit gehts -.-
hab in optins davon eingestellt das er wsa1.1 und wsa2 loggen soll
und in der anzeige bei detail hat der in der linken spalte gezähl in den meisnten fällen ausser bei icq da hatte er einen bei Recv in der rechten^^


[edit3]
ok, nach einigem hin und her geteste mit redox kam er auf die gloreiche idee mir eine Frage zu stellen die alle probleme in ein neues licht stellt

Quote:

(13:01) //rEdoX: öhhm, mal ne dumme frage sind send/recv beide in den options an?

ok... das kam gut, wer geht bitte davon aus recv in den standarteinstellungen aus ist? -.-'

wie auch immer es gab noch ein paar schönheits OPs und somit ne neue version^^

der einfachheit hier nochmal der Link: [Only registered and activated users can see links. Click Here To Register...]

<hr>Append on Jun 25 2007, 09:46<hr> hab noch einen BUG gefunden :)

wenn man packets gecaptured hat hat man das kleine tolle fenster, soweit ok:
[Only registered and activated users can see links. Click Here To Register...]

wenn man dieses in rPE maximiert bekommt man oben am rand die liste mit minimiern wiederherstellen udn schließen für das capture fenster was auch noch ok ist
[Only registered and activated users can see links. Click Here To Register...]

sobald man jetzt rpe maximiert ist die liste fürs capture fenster futsch -.-
[Only registered and activated users can see links. Click Here To Register...]

wenn man rpe maximiert hat und dann das capture fenster maximiert ist die liste da, aber sobald man dann rpe wieder auf normale größe macht ist die liste auch wieder Weg :(


wenn du mal zeit hast kannst ja mal gucken was da kaputt ist^^

Sorry das ich mich erst jetzt melde, habe nicht gesehen das du deinen Beitrag nochmal bearbeitet hast.

Es gibt nach langer zeit mal wieder eine neue version. Sie ist zwar schon etwas laenger fertig, doch komme ich erst heute dazu sie hier vorzusstellen.

Quote:

Version 1.4.2.0 (Sep 25 2007) ----------------------------------- - Type Search Added - "Save as html" added Version 1.4.1.0 (Sep 18 2007) ----------------------------------- - MDI Minimize/Maximize fix - Docking Added - Conversion Added Version 1.4.0.0 (Sep 8 2007) ----------------------------------- - Heavy GUI changes - IPC Method changed - Crashes fixed - GetSysCallNr.exe -> Heavy Speed increase (3m to <5s)

Downloaden koennt ihr das ganze hier [Only registered and activated users can see links. Click Here To Register...]

[Only registered and activated users can see links. Click Here To Register...]

nice :)

im archiv sind die getsyscallner.exe und die target.exe nicht drin die aber bei nem älteren release dabei waren, genau so die rpe_ex.dll.


werden die nichmehr gebraucht?

Nein, auf die target.exe kann ich jetzt verzichten und getsyscallner.exe ist jetzt als resource dabei. Die rpe_ex.dll ist die dll fuer die custom filter sie wird neu erstellt wenn sie gebraucht wird.