Crossfire HGWC Bypass

09/01/2011 16:59 Che#1

Joah hab mir mal aus Spa� nen alten Bypass zerlegt und das hier rausgefunden:

Der Bypass (der sehr gut funktioniert hat) macht nichts anderes als Crossfire mit diesem Parameter zu starten:

Code:

-HGWSK 08204BF7FDFB69342B376BEC675A1046B63256E12904B9536955558E6B22C53DB9012AA3C864E9D20A8FD5562A892E126AF7219321BB3891CAF66EF137AFCF55E9701A1FEFB29EE14EDFA8DAD9FA1D12BA2527E5C8AD68F6B860C5AA089F51E578766A7CCB58B5D62CED2B5D0430977E

Als Batch-Datei sieht das dann so aus:

Code:

start crossfire.exe -HGWSK 08204BF7FDFB69342B376BEC675A1046B63256E12904B9536955558E6B22C53DB9012AA3C864E9D20A8FD5562A892E126AF7219321BB3891CAF66EF137AFCF55E9701A1FEFB29EE14EDFA8DAD9FA1D12BA2527E5C8AD68F6B860C5AA089F51E578766A7CCB58B5D62CED2B5D0430977E

Scheint irgend n SecurityToken f�rn HGWC zu sein.. kp mir auch wurscht... ob das noch aktuell ist wei� ich auch ned, hab kein Crossfire mehr aufm Rechner, aber wenn jemand damit was anfangen kann freuts mich, ansonsten wayne^^

Joah da ich nichmehr in der Section aktiv bin, werde ich wahrscheinlich den Thread hier nichmehr so oft �ffnen und gucken ob iwelche Fragen aufkommen... also nit wundern, wenn ich erst sp�t/garnicht antworte
Am besten mir einfach zus�tzlich noch ne PM schreiben

09/02/2011 12:54 Ende!#2

#approved (kein DL)

Das Security-Token gilt (inzwischen?) jeweils nur f�r eine Session. Ich hab noch nie versucht das ganze Ding zu decrypten, dennoch wird das sp�testens mit einem Patch nutzlos geworden sein, da die Versionsnummer von CF relativ sicher �bergeben wird. Somit mach ich hier auch direkt mal dicht. Wenn diesbez�glich jemand mehr wei� als ich, kann er mir aber gerne eine PM senden :)

Edit:

Quote:

(13:42:23) Headpuster: [Only registered and activated users can see links. Click Here To Register...]
(13:42:26) Headpuster: reopen mal bitte
(13:45:49) Ende!: wozu?
(13:45:56) Headpuster: bin gerade am reversen
(13:46:10) Headpuster: und hooke dann die function zu generieren des tokens
(13:46:17) Headpuster: und pack das in ne console app
(13:46:19) Headpuster: und poste die dann

#reopened ..

09/02/2011 16:47 Che#3

Wenn bedarf besteht kann ich auch den kompletten Source vom Bypass posten.. m�sste vorher nur nochmal den Source aufr�umen

09/02/2011 17:01 TabLeT...?#4

Geht der auch bei CF EU ?

09/02/2011 18:54 vwap#5

Der "geht" garnicht.
Ich hab mir jetzt mal mit Olly den Call der Function geholt:

Code:

CPU Disasm
Address   Hex dump          Command                                  Comments
00402A08  |.  68 10764900   PUSH 00497610                            ; /<%s> = "1EBEBADF507FFAB7F43CAF34E7DA662A0C7494121DDC4234558AAF542088B2027DF97D5B64F4CB9CB00DCC5FF982DB355511E9DD682C69AD4B47DD79A200A33A704D46181B71F5A4CA19091A3F4C27D974D2D1971D768F980559A257A5C16A8806D7BC4362A40F25ECE0590F26E0A4BB"
00402A0D  |.  8D86 38080000 LEA EAX,[ESI+838]                        ; |
00402A13  |.  50            PUSH EAX                                 ; |<%s>
00402A14  |.  8D4C24 1C     LEA ECX,[LOCAL.5]                        ; |
00402A18  |.  68 5C524700   PUSH 0047525C                            ; |Format = "%s -HGWSK %s"
00402A1D  |.  51            PUSH ECX                                 ; |Arg1 => OFFSET LOCAL.5
00402A1E  |.  E8 EDEDFFFF   CALL 00401810                            ; \HGWC.00401810

Jedoch ist die Function, also 0x00497610, crypted, unzwar Themida, somit hat sich das erledigt.
:f

09/02/2011 19:27 Saedelaere*#6

�hm, du bist schon l�ngst zu weit. An 0x00497610 befindet sich keine Funktion, sondern nur der schon generierte String.

Der call muss irgendwo fr�her erfolgen.

09/02/2011 20:40 vwap#7

Hm, stimmt, werde nochmal suchen.

09/02/2011 21:28 LoveStorex3#8

Quote:

Originally Posted by TabLeT...?

Geht der auch bei CF EU ?

Und geht er nun bei EU ?

09/02/2011 23:30 vwap#9

Der "geht" garnicht, wie bereits gesagt.

09/03/2011 16:27 Che#10

nat�rlich geht er nicht, der ist steinalt xD
Wenn ihr die damaligen CF-Files braucht, sagts mir die kann ich nat�rlich hochladen, m�sste nur wissen welche Datei genau...