Hardware ID eines BOTS

[YatoDev]

kann mans nicht im debugger öffnen und an die stelle springen wo die hwid richtig ist?

[Tyrar]

Quote:

Originally Posted by »FlutterShy™

kann mans nicht im debugger öffnen und an die stelle springen wo die hwid richtig ist?

[tolio]

das ding ist eh .net also, obfuscator 'zurückbauen' und dann stehen einem wie immer alle wegen offen, entrypoint ändern, login logik umkehren, login rausnehmen, etc

[Pain1234]

Quote:

Originally Posted by tolio

das ding ist eh .net also, obfuscator 'zurückbauen' und dann stehen einem wie immer alle wegen offen, entrypoint ändern, login logik umkehren, login rausnehmen, etc

nur das das defuscaten ewig dauern würde, da hier kein standard obfuscator verwendet wurde.

[Requi]

Quote:

Originally Posted by Pain1234

nur das das defuscaten ewig dauern würde, da hier kein standard obfuscator verwendet wurde.

Mit etwas Kenntnis und logischen Verständnis kannst du den Algorithmus dafür nach bauen und umkehren.

[tolio]

Quote:

Originally Posted by Pain1234

nur das das defuscaten ewig dauern würde, da hier kein standard obfuscator verwendet wurde.

nachdem sowohl in den metadaten als auch in dem ordner mehrfach sachen wie "secureteam", "AgileDotNetRT", "ObfuscatedByAgileDotNet" vorkommen würde ich sagen es handelt sich um den agiledotnet obfuscator von secureteam:

aber spielt auch keine rolle, in der regel kann man, wenn man, rausgefunden hat wie der ganze spaß funktioniert mit mono cecil recht schnell programme bauen die das ganze wieder rausnehmen. kenntnisse wie man ne msgbox macht und nen programm schließt reichen dafür aber leider nicht, trotzdem sind obfuscatoren keine hexenwerk, denn was der pc kann, kann der mensch auch.

['Heaven.]

Die de4dot Version von kaio kann das ganze ohne Probleme deobfuscaten

[Pain1234]

Quote:

Originally Posted by Waka Toa

Die de4dot Version von kaio kann das ganze ohne Probleme deobfuscaten

weder die kao version, noch die normale de4dot version bekommt die version des bots deobfuscated:

Quote:

D:\Users\**\Downloads\defuscate\de4dot-3.0.3\de4dot-3.0.3>de4dot.exe iBot.
exe

de4dot v3.0.3.3405 Copyright (C) 2011-2013
Latest version and source code:

Detected Agile.NET (D:\Users\**\Downloads\defuscate\de4dot-3.0.3\de4dot-3.
0.3\iBot.exe)
Cleaning D:\Users\**\Downloads\defuscate\de4dot-3.0.3\de4dot-3.0.3\iBot.ex
e
Using dynamic method decryption
ERROR:
ERROR:
ERROR:
ERROR: Hmmmm... something didn't work. Try the latest version.
ERROR: Email me all files / installer:

D:\Users\**\Downloads\defuscate\de4dot-3.0.3\de4dot-3.0.3>

---
kao:

Quote:

D:\Users\**\Downloads\kao-de4dot-76ee0bc303ec\kao-de4dot-76ee0bc303ec\Debu
g>de4dot.exe iBot.exe

de4dot v2.0.3.3405 Copyright (C) 2011-2013
- modded by kao -
Modified source code:
Original source code:

Detected Agile.NET (D:\Users\**\Downloads\kao-de4dot-76ee0bc303ec\kao-de4d
ot-76ee0bc303ec\Debug\iBot.exe)
Cleaning D:\Users\**\Downloads\kao-de4dot-76ee0bc303ec\kao-de4dot-76ee0bc3
03ec\Debug\iBot.exe
Using dynamic method decryption
ERROR:
ERROR:
ERROR:
ERROR: Hmmmm... something didn't work. Try the latest version.
ERROR: EX: System.TypeInitializationException : message: Der Typeninitialisi
erer für "<Module>" hat eine Ausnahme verursacht.
ERROR: If it's a supported obfuscator, it could be a bug or a new obfuscator ver
sion.
ERROR: If it's an unsupported obfuscator, make sure the methods are decrypted!
ERROR: This version comes without any support. DO NOT send me emails or PMs, the
y will be ignored.
ERROR: You can report bugs on Black Storm forum: but I
make no promises to fix anything.

D:\Users\**\Downloads\kao-de4dot-76ee0bc303ec\kao-de4dot-76ee0bc303ec\Debu
g>

['Heaven.]

Hast du dir die Dateien schon mal angeschaut? Ich konnte wunderbar die ersten paar Sachen patchen

[Pain1234]

alle anderen Dateien sind doch völlig uninteressant.... Der Launcher startet nur die iBot.exe. Und die Lua Dll ist nur der Wrapper zum steuern des Clients...

[easysurfer]

Cracked + Writeup:


Greez Easy

[AllCowsAreBurgers]

1. Why habt ihr nicht gleich ma wireshark angesmissen und eventuell was an der hosts datei verändert?
2.@easysurfer: wie hastes geschafft zu decompilen, dass man es recompilen kann? Das ging bei mir bis jetzt noch nie....

[Requi]

Quote:

Originally Posted by AllCowsAreBurgers

1. Why habt ihr nicht gleich ma wireshark angesmissen und eventuell was an der hosts datei verändert?
2.@easysurfer: wie hastes geschafft zu decompilen, dass man es recompilen kann? Das ging bei mir bis jetzt noch nie....

Reflexil in Telerik nutzen (können).

[easysurfer]

Quote:

1. Why habt ihr nicht gleich ma wireshark angesmissen und eventuell was an der hosts datei verändert?

Aufwand viel zu groß. Wieso sollte man dafür nen lokalen Server emulieren, wenn es doch auch so geht? Und damit ist noch lange nicht garantiert, dass es für andere User genau so geht. Hab schon Tools gesehen, die haben den Server Traffic mit der HWID Verschlüsselt etc.
Wireshark ist nur die letzte Lösung, und bei weitem nicht die effizienteste.

EDIT: Und achja, noch ein Argument: Man braucht kein validen Account, um einmal eine gültige Request zu sniffen

['Heaven.]

Wieder im amt easysurfer? o:

Komm mal wieder in Skype on, seit Jahren nicht mehr gesehen