[Guide] How to unpack every Client (funktionsweiße)

[syηтaχ]

Bestimme Linux Distributionen hat die Funktion eingebaut man muss nur wissen welche von 1000 Linux Varianten diese Funktion hat

MfG Eazy

[Computerfreek]

Quote:

Originally Posted by xCPx

indem du einfahc egsagt nen bsd schribbselst des ne debian variante is, das in nen virtual pc oder bochs klatstscht und darüber dann mit wine mt2 startest?
du musst einfahc den scheiss soo lahm machen, dass der pc jede kleine datei bemerkt die er lädt und dann jedes mal neu anfängt zu prüfen...
ist schwierig aber möglich, so hab ich den beta client entpackt.

Kann man ja genausogut mit Olly per Hand durchsteppen bzw Taste gedrückt halten.
Wie willste mit 10 mhz in ner VMWare nen System laden bitte?

[xCPx]

debian an sich hat nichtmal 5mb ^^
wine noch drauf und metin2 damit starten ^^
geht shcon mit 10mhz ^^

wenn nicht einfach bissl erhöhen



es dauert zwar aber es geht:P

[Imdra]

Quote:

Originally Posted by Computerfreek

Kann man ja genausogut mit Olly per Hand durchsteppen bzw Taste gedrückt halten.
Wie willste mit 10 mhz in ner VMWare nen System laden bitte?

Stunden später.
....
Naja mir ist das alles viel zu hoch.
Die Aussage davon ist wohl das eine verschlüsselung der .epk + .eix nicht bringt,
weil man die Daten aus dem RAM auslesen kann? :S

[xCPx]

Quote:

Originally Posted by Imdra

Stunden später.
....
Naja mir ist das alles viel zu hoch.
Die Aussage davon ist wohl das eine verschlüsselung der .epk + .eix nicht bringt,
weil man die Daten aus dem RAM auslesen kann? :S

Wuhuu jemand hats geblickt

man kanns auch noch mit 4 andren methoden machen aber die hier ist so gut wie unfixxbar

[tim66613]

Quote:

Originally Posted by xCPx

Naja tim hatte sich derbst aufgeregt wo ich Demonen aufm Ugmt2 ts von erzählt habe

Echt? Da weißt du mehr wie ich

Quote:

Originally Posted by xCPx

weil wenn man es ordentlich anstellt kann man sich so die entpack func ausm CLient ziehen und in nen packer umschreiben

Mit dem BigReader wirste das wohl kaum gemacht haben. Einige funcs. sind eh virtualisiert.

Quote:

Originally Posted by xCPx

wie gesagt hatte das alles in nem tool ^^
Vor allem kann man mit der methode, die man ein wenig abändern muss, nen laufenden Source von so ziemlich jeden programm bekommen ^^

Source
Ich denk du meinst den maschinencode, wobei man dafür kein RAM-Dump braucht (Ist doch viel zu umständlich).

Quote:

Originally Posted by xCPx

darum macht man es ja so langsam
selbst im ram gibt es "trennzeichen" die dateien voneinander trennen
vor kriegt der pc ja mit wie die datei heist, die er gerade lädt
einfach da den namen ziehen ^^

In debug-binaries findest du vielleicht noch ein 0xDEADBEEF o.Ä aber auch da wird das (außer bei strings) schwer genug.

Kind Regards Tim

PS: Unfixbar?
Mit nem r0 treiber sollte sich wohl was machen lassen.

Kind Regards Tim

[Imdra]

Quote:

Originally Posted by xCPx

Wuhuu jemand hats geblickt

man kanns auch noch mit 4 andren methoden machen aber die hier ist so gut wie unfixxbar

Kann man irgendwie verhindern das dein Tool auf den Prozess von Metin zugreift?
Ein HS sollte das doch können oder? :d
Sonst sind Verschlüsselungen einfach nur unnötig.

[Padmak]

Ich benutz jetzt einfach mal tim für die Antwort:

Quote:

Originally Posted by tim66613

Mit nem r0 treiber sollte sich wohl was machen lassen.

Aber auch sonst weiß ich ehrlich gesagt nicht, wie du so ein Programm schreiben konntest...
Ich mein.. du redest ja fast nur Schwachsinn

@Imdra: Du kannst theoretisch ALLES aus dem Ram auslesen, problematisch wird nur es wieder in die Ursprungsdateien zurückzukriegen.. bei den EIX-Dateien mag es gehen, die werden komplett abgespeichert. Aber dann auch ohne Name

Padmak

[Imdra]

Bei den eix ist es ja nicht so schlimm .. wir wissen ja was wo drinne ist (denke es gibt keinen server der alles geändert hat)
Aber was zu Teufel ist ein r0 Treiber..
Ich bin mal ne runde googlen.
€dit: Viel finden tue ich nicht. Nur über Probleme von leuten mit Treibern.. aber das kanns ja nciht sein xD

[Padmak]

Ein Treiber der auf ring0 = Kernel-Ebene läuft
Hat so gesehen Vollstzugriff auf alles was der PC so kann^^
Dahin wollen alle Rootkits immer kommen

Padmak

[Imdra]

Quote:

Originally Posted by Padmak

Ein Treiber der auf ring0 = Kernel-Ebene läuft
Hat so gesehen Vollstzugriff auf alles was der PC so kann^^
Dahin wollen alle Rootkits immer kommen

Padmak

Ergibt Sinn das Rootkit´s dahin wollen.
Aber wie hilft das jetzt das "Tool" zu fixxen?

[IgorGlock]

Ich würde dir eher empfehle [THESE] anstatt [Guide] zu nutzen.

[Padmak]

Quote:

Originally Posted by Imdra

Ergibt Sinn das Rootkit´s dahin wollen.
Aber wie hilft das jetzt das "Tool" zu fixxen?

Musst tim fragen, ich denk mal einfach indem man den Prozess versteckt und/oder auch malloc bzw. die gehookten Funktionen hookt

Padmak

[xCPx]

Quote:

Originally Posted by tim66613

Echt? Da weißt du mehr wie ich



Mit dem BigReader wirste das wohl kaum gemacht haben. Einige funcs. sind eh virtualisiert.



Source
Ich denk du meinst den maschinencode, wobei man dafür kein RAM-Dump braucht (Ist doch viel zu umständlich).



In debug-binaries findest du vielleicht noch ein 0xDEADBEEF o.Ä aber auch da wird das (außer bei strings) schwer genug.

Kind Regards Tim

PS: Unfixbar?
Mit nem r0 treiber sollte sich wohl was machen lassen.

Kind Regards Tim

Das mit dem das du dich aufgeregt hast hat man mir gesagt ^^
und ich fands iwie witzig

Und ja den mein ich.
Ich bevorzug es halt auf die art und weise.

hmm an den hatte ich noch nicht gedacht.
Wobei alles kann man wd ausnoppen, das ist etwas was ich gerlernt habe,du kannst dir nochsoviel mühe geben was unentpackbar etc zu machen, iwie wird es immer gehen.

[Padmak]

Natürlich wirds irgendwie immer gehen.
Aber... der Aufwand rechtfertigt den Gewinn dann nur noch in den seltensten Fällen
Crashdumps.. virtualisieren.. von Hand stirbst du da irgendwann
Aber mal im Ernst.. du willst ein Programm gemacht haben, womit du das dumpst? o_O
Kann ich mir.. weniger vorstellen
Vorallem weil die höheren Filetypes erst nach dem erfolgreichen Login entpackt werden?

Padmak