WPE weiterentwicklung

rEdoX · 06/09/2007, 14:20

Ich guck mal was sich machen laesst (:

//Edit:

bitte testen, danke. Packet capturen und dann rechtsklick und auf "View Disassembly"

.:Aproko:. · 06/09/2007, 16:03

meinst du sowas hier :

0048C215: POP EDI
0048C216: POP ESI
0048C217: POP EBX
0048C218: POP EBP

dann gehts

rEdoX · 06/09/2007, 16:21

Das ganze sollte dann auch mit dem was ein andere disassembler sagt uebereinstimmten.
Mein dank hierfuer geht nochmal an uall fuer seine collection, hat mir einiges an arbeit erspart (:.

BlackMaster · 06/09/2007, 17:17

Thx für den Filter.

Werde ihn mir nachher mal genauer angucken.

Ich hab ein Bug gefunden..
und zwar wenn Ich beispielsweise in Firefox injecte und dann rpe neustarte und wieder in Firefox injecte,
dann versuche zu capturen, findet er nichts wenn ich z.b. eine Seite aufrufe.
Müsste dann erst den Firefox neustarten damit das klappt.

Leonino · 06/09/2007, 19:00

danke erstmal das du dich so schnell um mein wunsch gekuemmert hast
auf korrektheit ueberpruefen konnt ich es leider noch nicht aber funktionieren scheint es schon wers es mir nachher nochmal genauer angucken

ein paar andere sachen sind mir aber aufgefallen
1. so einmal alle 10 injects gibts nen crash im targetprocess
2. es captured keine packets von cs(hab in hl.exe inected)
3. in opera zeigt es nur die gesendeten packets an

da scheinen mir noch einige schwaechen in der stabilitaet und routine des programms zu sein vielleicht polierst den code einfach nochmal nen bisschen

(btw. krieg ich die src?

)
ansonsten aber schonmal riesen thx fuer die funktion

rEdoX · 06/09/2007, 22:59

Da ich bald in urlaub fahre, kann es sein das ich mich erst etwas spaeter wieder melden werde, habe den thread aber nicht vergessen, keine sorge (:.

1)Das mit den crashes werde ich mir angucken, ich verwende dazu die uallcollection, die den EIP veraendert und sich den aufruf von CreateRemoteThread zu schenken. Ich werde aller vorraussicht nach 3 moeglichkeiten der dll injection anbieten:
1: CreateRemoteThread
2: Den EIP veraendern, also ein nachgebautes CreateRemoteThread
3: Kernel Injetion (wenn alles gut geht)

2/3)Werde, wenn ich etwas zeit habe, cs und opera installieren und es mir genau angucken.

Den source werde ich erstmal nicht weitergeben, sorry.

BlackMaster · 06/10/2007, 02:04

Kernel Injection wär klasse

Hab noch eine frage zu den Custom Filter, wie bekomme ich ihn zum laufen? (kenn mich in Delphi nicht besonders aus, hab mir aber schon ein schönes tutorial ausgesucht, das ich mal durcharbeiten werde

)
Edit: Wie ich ein Filter anmach weiß ich, ich kenn nur nicht die bedingung die erfüllt werden muss damit der filter sein dienst antritt.

Und noch eine Frage

Gibt es die möglichkeit aus ein Custom Filter eine art Trainer zu machen (eigenständige exe, ähnlich wie den vom wpe 1.3)
wenn nicht, könnte man dies einbauen?

(wär eine super erleichterung wenn man nicht allzuviel programmierkenntnise hat, und oder kaum zeit hat)

rEdoX · 06/10/2007, 09:48

Quote:

Edit: Wie ich ein Filter anmach weiß ich, ich kenn nur nicht die bedingung die erfüllt werden muss damit der filter sein dienst antritt.

Ich hatte mal eine version mir ein paar beispielen geuppt, diese werde ich im naechsten release wieder hinzufuergen.

Quote:

Und noch eine Frage smile.gif Gibt es die möglichkeit aus ein Custom Filter eine art Trainer zu machen (eigenständige exe, ähnlich wie den vom wpe 1.3)

Wird in naechsten release dabei sein.

rEdoX · 06/10/2007, 19:37

Sorry fuer den doppelpost.

Es gibt eine neue version changelog:

Syntax highlighting fuer den asm code
Standalone Filter
Ignore list
Socket ID ist jetzt bei jeden Packet dabei
Antidetections
Kleine Fixxes

mr.rattlz · 06/10/2007, 21:25

Wär gut, wenn du mal ein changelog immer ins Archiv beipacken würdest

rEdoX · 06/10/2007, 22:39

Ok, habe jetzt den changelog mit ins archiv gepackt und den schoenheitsfehler beseitigt (:.

mr.rattlz · 06/11/2007, 00:32

Ich hätte da mal ein Problem.
Und zwar habe ich mit SetThreadContext in einen Firefox injeziert, der mittels OllyDbg gestartet wurde, weil ich gerade nem Crash auf der Spur bin.
Jedenfalls ist da irgendwas sehr merkwürdig mit dem Disassembly:

rEdoX · 06/11/2007, 13:22

Ohh man, dass kommt davon wenn man nur die exe aktualisiert und die dll beibehaelt, sorry.

Bitte nochmal laden, danke.

Dodge · 06/11/2007, 13:55

Quote:

Originally posted by rEdoX@Jun 11 2007, 13:22
Ohh man, dass kommt davon wenn man nur die exe aktualisiert und die dll beibehaelt, sorry.

Bitte nochmal laden, danke.

hi redox,

ich finde es super das du doch weitermachst

könntest du vllt bei einer der nächsten versionen "machen" das wenn man zb 2 capture fenster auf hat man bei dem im hintergrund liegenden *irgendwo* hinklicken kann um den nach vorne zu holen? (im moment muss man entweder am rand wo der pfeil so wird zum größe ändern oder in der titelzeile klicken)

brauchst dafür aber jetzt nicht extra ne neue version rausbringen, kannst das mit einer der nächsten größeren endungen machen :P

MfG Dodge

killyou · 06/11/2007, 21:35

findet rpe wohl doch noch bei ePvP seinen großen durchbruch??
hoffe auf weiterhin gute arbeit von dir ;-)

falls wir uns nicht mehr sprechen wünsch ich schonmal nen schönen urlaub!