[CODE/AG/EN] XINGCODE3 Bypass

Page 1 of 2 1 2
02/28/2015 20:20 .Potzi™#1
ϟ ϟ ϟ ϟ ϟ ϟ ϟ ϟ ϟ ϟ ϟ ϟ ϟ ϟ ϟ ϟ ϟ ϟ ϟ ϟ

Code:
PBYTE FindStartOfFunc(PBYTE Addy)
{
	if (!Addy) return Addy;
	while (true) if (compare((PBYTE)"\x55\x8B\xEC", "xxx", Addy--)) return ++Addy;
}

PBYTE FindPush(PBYTE sig, PCHAR mask, DWORD dwBase, DWORD dwLen)
{
	if (!dwBase) return nullptr;
	BYTE PushSig[5] = { 0x68, 0, 0, 0, 0 };
	*(PDWORD)(&PushSig[1]) = FindSignature(sig, mask, dwBase, dwLen, 0);
	if (*(PDWORD)(&PushSig[1]) == NULL) return NULL;
	return (PBYTE)FindSignature(PushSig, "xxxxx", dwBase, dwLen, 0);
}

bool bTriggered = false, bSuccess = false;
void bypass()
{
	DWORD dwCShell = FindCShell();
	if (dwCShell != NULL)
	{
		PBYTE BypassSig = FindPush((PBYTE)"XIGNCODE", "xxxxxxxxx", dwCShell, 5000000);
		if (BypassSig != nullptr)
		{
			PBYTE BypassFunc = FindStartOfFunc(BypassSig);
			if (BypassFunc && !memcmp(BypassFunc, (PBYTE)"\x55\x8B\xEC", 3))
			{
				Wrt((PBYTE)BypassFunc, (PBYTE)"\xB0\x01\xC3", 3);
				bSuccess = true;
			}
		}
	}
	bTriggered = true;
}
cBreakpoint* bp = NULL;
PBYTE pcheck = 0;
LONG WINAPI ExceptionHandler(EXCEPTION_POINTERS* e)
{
	if (e->ExceptionRecord->ExceptionCode != EXCEPTION_SINGLE_STEP) return EXCEPTION_CONTINUE_SEARCH;
	if (e->ContextRecord->Eip == (DWORD)pcheck)
	{
		e->ContextRecord->Esp -= 4;
		*(PDWORD)(e->ContextRecord->Esp) = e->ContextRecord->Eip + 0x2;

		e->ContextRecord->Eip = e->ContextRecord->Edx;
		bypass();
		return EXCEPTION_CONTINUE_EXECUTION;
	}
	return EXCEPTION_CONTINUE_SEARCH;
}

void Start()
{
	Sleep(1000);
	AntiHWIDBan();
	while (pcheck == nullptr)
	{
		Sleep(30);
		pcheck = FindPush((PBYTE)"DIRECTSHOW\x00", "xxxxxxxxxx", (DWORD)GetModuleHandleA("wolfteam.bin"), 5000000);
	}
	pcheck -= 2;
	bp = new cBreakpoint(ExceptionHandler);
	bp->SetBP((DWORD)pcheck);
	while (!bTriggered) Sleep(1000);
	delete bp;
}
BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved)
{
	if (ul_reason_for_call == DLL_PROCESS_ATTACH)
	{
		//int iStaticModule = MessageBoxA(0, "Static CShell/Obj?", "", MB_YESNO);
		//if (iStaticModule == IDYES) Hook((PBYTE)GetProcAddress(GetModuleHandleA("kernel32"), "GetTempFileNameA"), (PBYTE)&xGetTempFileNameA, 5);
		HANDLE hThread = CreateThread(NULL, NULL, (LPTHREAD_START_ROUTINE)&Start, NULL, NULL, NULL);
		if (hThread != NULL) CloseHandle(hThread);
	}
	return TRUE;
}
02/28/2015 20:25 C0RE'#2
Wenn das wirklich funktionieren sollte warum dann der Release?
02/28/2015 21:31 .Potzi™#3
Würdes es nicht funktionieren, würde ich mir doch nicht die Mühe machen und es hier veröffentlichen.

//RD
02/28/2015 21:43 C0RE'#4
Ich zweifle nicht an der funktionalität sonder warum du es veröffentlichst?
02/28/2015 22:08 ElswordHackerAgain!#5
Quote:
Ich zweifle nicht an der funktionalität sonder warum du es veröffentlichst?
(falls es funktioniert).... core es giebt auch leute die gern mal was releasen ohne gleich geld zu kassieren?
02/28/2015 23:59 MaBarker#6
Quote:
Originally Posted by ElswordHackerAgain! View Post
(falls es funktioniert).... core es giebt auch leute die gern mal was releasen ohne gleich geld zu kassieren?
Siehe auch Warrock Szene dort gibt es viele Code releases sowie public addylogger etc.
Ausserdem sind die leute dort ansich auch sehr hilfsbereit :D
Obs geht weis ich nicht ist aber ein versuch wert ^^
03/01/2015 00:25 M4L1F1C#7
ALLOT of not needed code, well this entire thing is worthless since it only removes the startup screen of xigncode.

Goodluck bypassing heartbeat :D
03/01/2015 02:34 .Potzi™#8
Quote:
Originally Posted by M4L1F1C View Post
ALLOT of not needed code, well this entire thing is worthless since it only removes the startup screen of xigncode.

Goodluck bypassing heartbeat :D
You've got a lot of 'damn' clue friend.

//RD
03/03/2015 18:52 iMostLiked#9
Lol.

[Only registered and activated users can see links. Click Here To Register...]

[Only registered and activated users can see links. Click Here To Register...]
03/03/2015 20:38 .Potzi™#10
Guck dir den Code weiter unten an.

Falls du darauf hinaus willst, dass ich ihn selber geschrieben habe, nein habe ich nicht. Hab vergessen erwähnen, dass es nur kopiert ist.
03/03/2015 21:13 Ⓜiku Ⓗatsune#11
Könnt ihr noobs mal Heartbeat emulieren undso? :D
03/04/2015 14:22 Vexallus#12
u dont even need to bypass xigncode , just bypass it's detection list and u are done ...
03/04/2015 16:19 Ⓜiku Ⓗatsune#13
Quote:
Originally Posted by D4rkAdv3rs4ry View Post
u dont even need to bypass xigncode , just bypass it's detection list and u are done ...
but but c.e? :(
03/05/2015 11:42 Vexallus#14
Quote:
Originally Posted by Ⓩone View Post
but but c.e? :(
It's easy to use C.E in wolfteam if you've bypassed a couple of things , WinLicense is not the best protecter anyway ...

Can be unpacked easily using a dumper & Decrypter [if u are welling to read the functions using ollydbg.. :D ]

Btw , here is the heartbeat check link & other needed stuff...:

[Only registered and activated users can see links. Click Here To Register...]
03/05/2015 14:43 joannis4861#15
wie kan man dissen bypass verwenden habe über sowas keinen plan also wass ich mit den code anfangen soll und wass ich machen muss
Page 1 of 2 1 2