[FIX]Extractor-Tool ("Der-Gerät")

[musicinstructor]

Hi,

den Opcode-Patcher für den vor wenigen Stunden veröffentlichten Extractor kann man sehr leicht unschädlich machen. Man muss nur das Pattern, nach dem er sucht, in seiner Binary verfälschen, und schon gibt er "Nix gefunden du Banane" aus, sobald man versucht, die Dateiendungsprüfung der pack.Get-Funktion zu patchen.

Wer eine 2011er Binary (Time Stamp: 0x4db00b41 - Thu Apr 21 12:47:29 2011) verwendet, kann sich glücklich schätzen, denn für denjenigen habe ich hier schon eine passende dif vorbereitet:

Code:

This difference file is created by IDA DIF-File Generator

binary
0008F847: 0F 90
0008F848: 84 90
0008F849: BB 90
0008F84A: 00 90
0008F84B: 00 90
0008F84C: 00 90

Wenn diese dif bei euch nicht richtig angewandt werden kann, folgt dieser kleinen Anleitung:
1) Addresse der pack.Get-Funktion mithilfe finden
2) In eurem Debugger zur gefundenen Addresse springen (OllyDBG: STRG+G)
3) Die folgende Stelle in der Funktion finden:

Code:

CPU Disasm
Address   Hex dump          Command                                  Comments
[COLOR="Red"]0048F847  |. /0F84 BB000000 JE 0048F908[/COLOR]
0048F84D  |. |68 B4E67300   PUSH OFFSET 0073E6B4                     ; /Arg2 = ASCII ".py"
0048F852  |. |56            PUSH ESI                                 ; |Arg1
0048F853  |. |E8 D69A1C00   CALL 0065932E                            ; \metin2client.0065932E
0048F858  |. |83C4 08       ADD ESP,8
0048F85B  |. |85C0          TEST EAX,EAX
0048F85D  |. |74 28         JE SHORT 0048F887
0048F85F  |. |68 ACE67300   PUSH OFFSET 0073E6AC                     ; /Arg2 = ASCII ".pyc"
0048F864  |. |56            PUSH ESI                                 ; |Arg1
0048F865  |. |E8 C49A1C00   CALL 0065932E                            ; \metin2client.0065932E
0048F86A  |. |83C4 08       ADD ESP,8
0048F86D  |. |85C0          TEST EAX,EAX
0048F86F  |. |74 16         JE SHORT 0048F887
0048F871  |. |68 A4E67300   PUSH OFFSET 0073E6A4                     ; /Arg2 = ASCII ".txt"
0048F876  |. |56            PUSH ESI                                 ; |Arg1
0048F877  |. |E8 B29A1C00   CALL 0065932E                            ; \metin2client.0065932E
0048F87C  |. |83C4 08       ADD ESP,8
0048F87F  |. |85C0          TEST EAX,EAX
0048F881  |. |0F85 81000000 JNE 0048F908

5) Den rot markierten Befehl ausnoppen

Nun müsst ihr eure Binary wieder speichern. In OllyDBG funktioniert das wie folgt:
1) Rechtsklick auf den Code -> Edit -> Select all
2) Rechtsklick auf den Code -> Edit -> Copy to executable
3) Rechtsklick im neuen Fenster -> Save file...
4) Speicherort auswählen und speichern

Das sollte vorerst das an die Öffentlichkeit gelangte Tool unschädlich machen.
Dieser Fix ist zwar nicht sehr sicher, da man ihn als ripper auch wieder rückgängig machen könnte, sofern man verstanden hat, was hier gemacht wurde, aber das sollte erstmal reichen, bis ein komplizierterer Fix entwickelt wurde.

[mrapc]

und wieder einmal vielen Dank.
Vllt für Anfänger ein wenig umständlich vom verstehen (ohh Gott was ist ein Binary blabalbal)
Aber sonst Danke

Aber könnte ein Scanprogramm das 24 Stunden durchläuft auch diesen Code nicht knacken?
Ich sag mal das Probiert sämtliche Kompinationen aus
00000000
00000001
00000002
00000003
...
AAAAAAAA
AAAAAAAB
?

[.Awesoome]

Unnötig das gleich Pub zu machen -.-"

Naja kann man wieder ändern.

[ToBii™]

Heisst das das der Extractor von Real und CO nicht mehr geht?

[[Cyberos]]

Vielen Dank!

[xF4ke :þ]

echt korrekt von dir
cranck wird sein tool bestimmt updaten... wäre nicht sehr toll

[TankG]

nice , also von mir haste ein thanks ganz klar , danke dir

[ToBii™]

Quote:

Originally Posted by .SiLence'

Ne, die Überschrift steht nur da, damit du weißt, was du zu Ostern bekommst.

Soll ich dir mal was sagen? Ne mach ich lieber nicht weil ich zivilisiert bin im gegensatz von anderen,
ach ja und : ich habe fast gelacht

[xCPx]

xD
ich wollte es schon mit ner in ner exe als polymorph cryptete Ressource gestarteten bin lösen

aber dass es soooo einfach ist

Ok Olli schäm dich
wenn ich nur an all die skype konversationen denke wo olli meinte das is unfixxbar

und wenn olli es updatet mach ich meine neue ethisch inkorekte lösung pub ^^
das soll olli dann mal versuchen zu umgehen

Der versuch würde ihn seinen PC kosten

[ToBii™]

Danke nachdem ich alles gerippt habe kann ich es nun fixxen und keiner klaut es haha :P

[ProfiFighter]

Danke für dieses Tutorial, denn es ist sehr ausführlich und in einem sehr schönen deutsch geschrieben worden - aber leider brauch ich deinen Fix nicht . Nochmal danke für den Link zum Function Adress Dumper der in C++ geschrieben wurde, denn ich hatte kb das selber zu übersetzen :P - von PHP zu C++.

[.Alpha.]

Quote:

Originally Posted by xCPx

xD
ich wollte es schon mit ner in ner exe als polymorph cryptete Ressource gestarteten bin lösen

aber dass es soooo einfach ist

Ok Olli schäm dich
wenn ich nur an all die skype konversationen denke wo olli meinte das is unfixxbar

und wenn olli es updatet mach ich meine neue ethisch inkorekte lösung pub ^^
das soll olli dann mal versuchen zu umgehen

Der versuch würde ihn seinen PC kosten

Das is so böse ich mein das ist nur nen Tool Fix kein Fixx der Methode

[Fever.]

So schnell gehts, wow.

[TeRRoRSiZex3]

Hab auf dich Gehofft Music^^ das du den Fix Publiezierst xD Danke


Mfg,

[s0Real]

Geht das auch anders ich verstehe nicht ganz wo bzw wie ich das machen soll