Removed
[RELEASE]Undecompileable Autoit program
04/27/2011 15:50
TechnoMan#1
04/27/2011 15:58
CyberShoxx#2
Wow, gepackt ist es nicht. Vielleicht ist es gebindet aber weiß ich nicht genau. Wenn du deine Scripte sicher haben willst, nimm Themida. Das hauste einma drüber dann haben die anderen auch keine chance.
04/27/2011 16:00
Shadow992#3
Ich verspreche den Ersten, der es schafft 50 e*gold. ;)Quote:
Hallo,
ich weiss was Ihr grade denkt..
Meint Ihr?
Marcel und Ich haben uns mal drangesetzt ein undecompilierbares AutoIt Script zu erstellen.
Wer es schafft soll mir bitte den Inhalt des Scripts ! PER PN! schicken.
Download:
[Only registered and activated users can see links. Click Here To Register...]
Viel Glück ( Ihr werdet es brauchen, und selbst dann aber nicht schaffen )
Warum packen?Quote:
Wir machen das per Handarbeit und nicht mit irgendeinem Programm von Dritten.
Außerdem ist es nicht gepackt/gebunden. ;)
P.S.
Ich sag dir so wie es momentan ist, sind die Skripte schon sehr sicher. ;)
04/27/2011 16:11
CyberShoxx#4
Oo, hab es mir in PEiD angesehn. Es ist UPX gepact mkay Also, ich glaube dass du eine Binärdatei erstellen tust diese Aufrust, und sie danach wieder löschst. Kannste mir wenigstens das Hauptprinzip verraten? xD
04/27/2011 16:13
Shadow992#5
Eigentlich sollte es nicht UPX gepackt sein...Quote:
Scheinbar hat Technoman da was vergessen.
Das ändert aber nichts am eigentlichen Prinzip.
Das Prinzip nach dem das Skript arbeitet wird (zumindest jetzt) nicht verraten.
Btw.
Und nein es wird keine Binary-Datei erstellt. ;)
04/27/2011 16:21
CyberShoxx#6
*hust* UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo [Overlay] xD
Mhhh, was könnte es dann noch sein. Die Idee mit dem Binden fand ich am sinnvollsten.
43 72 79 70 74 4D 73 67 44 6C 6C 43 4E 47 49 6D 70 6F 72 74 43 6F 6E 74 65 6E 74 45 6E 63 72 79 70 74 4B 65 79
CryptMsgDllCNGImportContentEncryptKrey -> 50 e~gold ich komme :P
Mhhh, was könnte es dann noch sein. Die Idee mit dem Binden fand ich am sinnvollsten.
43 72 79 70 74 4D 73 67 44 6C 6C 43 4E 47 49 6D 70 6F 72 74 43 6F 6E 74 65 6E 74 45 6E 63 72 79 70 74 4B 65 79
CryptMsgDllCNGImportContentEncryptKrey -> 50 e~gold ich komme :P
04/27/2011 16:50
TechnoMan#7
Was willst du uns damit sagen?
Die 50 Egold gibt es wenn du das Script decompilst ;)
Desweiteren beachte die Regeln.. Hier werden keine Ergebnisse gepostet !
Diese werden mir NUR PER PN geschickt !
Achja ich habe die mit Upx gepackt.. Das stellt aber für den decompilst kein Problem da..
Und nein es gibt keine Tipps..
Die 50 Egold gibt es wenn du das Script decompilst ;)
Desweiteren beachte die Regeln.. Hier werden keine Ergebnisse gepostet !
Diese werden mir NUR PER PN geschickt !
Achja ich habe die mit Upx gepackt.. Das stellt aber für den decompilst kein Problem da..
Und nein es gibt keine Tipps..
04/27/2011 17:31
Computerfreek#8
Wenn man das ganze Script mal mit normalen Scripts vergleicht, dann sieht man auf den ersten Blick dass es nicht nur eine AU3!EA06 Signatur gibt sondern hunderte.
Ich würde mal drauf tippen dass das Script ca. so aussieht:
Das wird eben per Script automatisiert. So bekommt man den Effekt mit den hunderten Overlays hin. Theoretisch könnte man dann eins nach dem anderen per HexEdit löschen, aber das ist eine Sau Arbeit.
Dazu kommen noch einige andere Sachen die das eigentliche Script verstecken. Ich gehe mal davon aus dass nichts mit Encryptions sondern nur mit HexEditing gemacht wurde.
Ist natürlich nur eine Vermutung..
Ich würde mal drauf tippen dass das Script ca. so aussieht:
Code:
FileInstall("new.exe.overlay", "randompath0")
FileInstall("Kopie (2) von new.exe.overlay", "randompath1")
FileInstall("Kopie (3) von new.exe.overlay", "randompath2")
FileInstall("Kopie (4) von new.exe.overlay", "randompath3")
FileInstall("Kopie (5) von new.exe.overlay", "randompath4")
FileInstall("Kopie (6) von new.exe.overlay", "randompath5")
FileInstall("Kopie (7) von new.exe.overlay", "randompath6")
[Hier der richtige Code]
Dazu kommen noch einige andere Sachen die das eigentliche Script verstecken. Ich gehe mal davon aus dass nichts mit Encryptions sondern nur mit HexEditing gemacht wurde.
Ist natürlich nur eine Vermutung..
04/27/2011 17:41
TechnoMan#9
Was ist daran so schwer zu verstehen?Quote:
Wer es schafft soll mir bitte den Inhalt des Scripts ! PER PN! schicken.
Achja: Die Aufgabenstellung ist nicht zu raten sondern das Decompilte Script zu posten!
Wer nichts per PN schickt braucht auch nicht mit einer Antwort auf das Ergebniss rechnen :)
04/27/2011 17:46
Shadow992#10
Das Skript sieht nicht einmal annähernd so aus:Quote:
Ich würde mal drauf tippen dass das Script ca. so aussieht:
Das wird eben per Script automatisiert. So bekommt man den Effekt mit den hunderten Overlays hin. Theoretisch könnte man dann eins nach dem anderen per HexEdit löschen, aber das ist eine Sau Arbeit.Code:FileInstall("new.exe.overlay", "randompath0") FileInstall("Kopie (2) von new.exe.overlay", "randompath1") FileInstall("Kopie (3) von new.exe.overlay", "randompath2") FileInstall("Kopie (4) von new.exe.overlay", "randompath3") FileInstall("Kopie (5) von new.exe.overlay", "randompath4") FileInstall("Kopie (6) von new.exe.overlay", "randompath5") FileInstall("Kopie (7) von new.exe.overlay", "randompath6") [Hier der richtige Code]
Dazu kommen noch einige andere Sachen die das eigentliche Script verstecken. Ich gehe mal davon aus dass nichts mit Encryptions sondern nur mit HexEditing gemacht wurde.
Ist natürlich nur eine Vermutung..
Code:
FileInstall("new.exe.overlay", "randompath0")
FileInstall("Kopie (2) von new.exe.overlay", "randompath1")
FileInstall("Kopie (3) von new.exe.overlay", "randompath2")
FileInstall("Kopie (4) von new.exe.overlay", "randompath3")
FileInstall("Kopie (5) von new.exe.overlay", "randompath4")
FileInstall("Kopie (6) von new.exe.overlay", "randompath5")
FileInstall("Kopie (7) von new.exe.overlay", "randompath6")
[Hier der richtige Code]
04/27/2011 22:24
lolkop#11
wozu erstellt ihr bitte einen thread über ein eurer meinung nach sicheres verfahren scripte zu schützen, und verbietet das diskussionen darüber ob bzw wie man den schutz umgehen kann?
04/27/2011 22:28
Shadow992#12
Die Idee war herauszufinden, ob es wirklich sicher ist.Quote:
In der Hoffnung es weiter verbessern zu können.
Btw. Eigentlich sollte diskutieren nicht verboten werde.
04/27/2011 22:32
TechnoMan#13
Diskussionen sind nicht verboten?
Wir möchten nur eine gewisse fairniss und möchten daher das Leute die glauben Sie wissen wie man es decompilen kann sich per PN bei mir melden um anderen Usern gegenüber fair zu bleiben was die Belohnung angeht ;)
Wir möchten nur eine gewisse fairniss und möchten daher das Leute die glauben Sie wissen wie man es decompilen kann sich per PN bei mir melden um anderen Usern gegenüber fair zu bleiben was die Belohnung angeht ;)
04/28/2011 17:03
KDeluxe#14
Nichts ist unmöglich, die PN ist draußen. In der Ausführung ist es jedenfalls zu simpel, alles was man braucht ist ein Editor, die CrackMe.exe, eine beliebige AutoIt.exe (auch mit leerem Inhalt) und der übliche Decompiler. Dauert in etwa 1 Minute (zumindest bei diesem Beispiel).
Zählt das schon als "verboten"? Es ist kein wirklicher "Fortschritt" beschrieben.
Zählt das schon als "verboten"? Es ist kein wirklicher "Fortschritt" beschrieben.
04/28/2011 18:49
Shadow992#15
Er hat es geschafft, die 2. Crackme gibt es unter:Quote:
Zählt das schon als "verboten"? Es ist kein wirklicher "Fortschritt" beschrieben.
[Only registered and activated users can see links. Click Here To Register...]
Dieses mal leider (vorerst) ohne Preis. :D