C1 Guard | HackMe

3Angle · 10/23/2012, 18:08

Es geht um den Injection Schutz?!
Wenn ich noch für andere Sicherungen andere Tools benutze, heißt es nicht, dass die Funktion die, umgegangen werden soll, auch mit zu den anderen Tools gehört.
Leider verstehst du dieses Prinzip nicht.
Viele Leute posten HackMe/CrackMe´s mit anderen Obfuscatoren/Packer und trotzdem heißt es nicht das der Schutz geklaut ist.

Es geht ja darum die Sicherheitsverfahren vom Programm selbst zu umgehen, der Obfuscator/Packer erschwert dies nur zusätzlich!

Else · 10/23/2012, 19:16

Was mir der Detector bringt? Damit weiß ich schonmal, wie ich an das HackMe ran gehen muss, ohne mich dumm-und-dämlich zu probieren. ;-)

3Angle · 10/23/2012, 19:38

Schon gut, das kann man auch ohne Detector sehen.

Mi4uric3 · 10/24/2012, 11:43

Der PE-Header wird im Arbeitsspeicher gelöscht, wenn man den wieder einfügt, funktioniert die DLL-Injektion schonmal, aber das Programm stürzt ab.

Den PE-Header zu löschen ist eine ganz schön schlechte Idee, wenn das Programm irgendwas tut, was mit Internet zu tun hat. Nur so. Weil dann schmiert es ab.
Da dein Programm aber nichts tut, außer die Form anzeigen gehts.

3Angle · 10/24/2012, 14:18

Danke fürs Feedback, werde wohl eine Entdeckung für das Einfügen des PE Headers einbauen und ich werde das mal mit dem Internet ausprobieren.

Mi4uric3 · 10/24/2012, 14:23

Quote:

Originally Posted by 3Angle

Danke fürs Feedback, werde wohl eine Entdeckung für das Einfügen des PE Headers einbauen und ich werde das mal mit dem Internet ausprobieren.

Sollte nicht viel bringen.
Prozess pausieren, PE-Header einfügen, DLL injezieren, PE-Header löschen, Prozess weiterlaufen lassen.

3Angle · 10/24/2012, 14:29

Das wird wieder endeckt und das Programm crasht.
Mit dem Suspenden werde ich auch noch regeln.

Eine Frage, wie bist du an dem PE Header gekommen?

Mi4uric3 · 10/24/2012, 14:41

Naja der PE-Header befindet sich am Anfang der Datei :d

Spoiler

3Angle · 10/24/2012, 14:47

Schon klar, aber der ist ja nicht direkt zugänglich... Sondern wird ja aus einem verschlüsselten Bereich geladen.

Mi4uric3 · 10/24/2012, 14:49

Quote:

Originally Posted by 3Angle

Schon klar, aber der ist ja nicht direkt zugänglich... Sondern wird ja aus einem verschlüsselten Bereich geladen.

Ich nehm einfach den, der am Anfang der .exe ist. Das scheint für die Injektion zu reichen :)

Ende! · 10/24/2012, 15:51

Hier mal als Binary, falls es noch von Relevanz ist. Hatte ich gestern fix fertig gemacht und vergessen zu posten. :P

(einfach nach C1 Guard starten)

PS: Es ist ÄUßERST hacky den PE-Header zu nullen, viele Librarys werden da gar nicht drauf klarkommen.
PS2:

Mi4uric3 · 10/24/2012, 16:17

Quote:

Originally Posted by Ende!

Es ist ÄUßERST hacky den PE-Header zu nullen, viele Librarys werden da gar nicht drauf klarkommen.

Ja das war das, was ich mit dem "Den PE-Header zu löschen ist eine ganz schön schlechte Idee, wenn das Programm irgendwas tut, was mit Internet zu tun hat. Nur so. Weil dann schmiert es ab." meinte..

3Angle · 10/24/2012, 16:56

Okay ich brauche nun eine gewisse Zeit, um eure Hacks wieder funktionsuntüchtig zu machen und einige neue Schutztechniken einzubauen.

Mi4uric3 · 10/24/2012, 17:16

Du solltest die Funktion mit dem Löschen des PE-Headers rausnehmen, da sie nicht praktikabel für ein laufendes Programm ist.

MrSm!th · 10/24/2012, 19:34

Quote:

möchte ich die Sicherheitslücken herausfinden

|
v

Quote:

.NET