[Project FFC]Rootkit {x64}

CyberShoxx · 04/16/2011, 15:02

Youtube Kanal

Video Tut:

Vorwort

Hey, wir vom Projekt FFC wollen nun endlich unseren Bypass releasen. Er ist für alle gemacht die keinen Trainer etc. brauchen um Spaß am cheaten zu haben.

Screen

Benutzung

Also die Benutzung ist recht einfach. Ihr öffnet die [Project FFC]Bypass {x64}.exe, started die S4 Tomate, und started S4. So, nun warted ihr bis S4Client.exe erschienen ist und suspendet so schnell wie möglich. Dann klickt ihr auf den Bypass Button und resumet S4. Wenn dann die Nachricht kommt:

dann hat alles geklappt. Nur könnt ihr CE öffnen, und machen was ihr wollt.

Credits

[FFC]eXt -> Gestalten des GUI Bildes
Erik Pilsits -> InjectDLL UDF
MrSm!th -> Bypass.dll Technik
^

Spoiler

Virustotal

Es können höchstens Alarme durch UPX kommen.

Source

Dieses Programm ist:

Hier ist der Sourcecode:

Spoiler

Wenn ich den Source noch fix erklären dürfte. Erst holt sich das Programm die SeDebugPrivilegien die sich auf das öffnen von Prozesses beschränken. Dies ist für dass Injecten notwendig. Dann wird mit hilfe von GDI+ die GUI erstellt. Nun noch die bekannte While Schleife mit den Cases und schließlich die 3 UDF`s. Und falls ihr euch fragt wieso da ein Global $PIC und so ist, ich habe die Bypass.dll und das Hintergrundbild Binär gespeichert.

Das war es eignentlich. D:

Wir wünschen euch noch viel Spaß am Spiel! Bis zum nächsten Release!

mfg Projekt FFC

MrSm!th · 04/16/2011, 15:04

Lol was ist daran bitte open source? Du hast den Injector Source geposted, nicht den Bypass Source.

CyberShoxx · 04/16/2011, 15:05

*** ^.^ Das Programm is Open Source. Das mit der Bypass wäre dann ja zu schön xP

atazuri · 04/16/2011, 15:17

Doesnt work for me, S4 just kills itself before I even get to the login screen

~~KSX387~~ · 04/16/2011, 15:18

wofür braucht 64 bit ein Bypass?

MrSm!th · 04/16/2011, 15:25

Dann änder ich mal den Titel, denn der Bypass ist nicht open-source.

Nunja, eigentlich gehen Credits für die Bypass Technik an mich, schließlich habe ich genau den vor einem halben Jahr released, und zwar mit genau der Technik.
Das ist auch kein Bypass, sondern ein Rootkit.

Mein damaliger Source:

Code:

#include <windows.h>
#include <detours.h>

typedef BOOL (WINAPI *EnumProcessesType) (DWORD *, DWORD, DWORD *);

EnumProcessesType pEnumProcesses_orig = 0, pEnumProcesses_api = 0;

BOOL WINAPI EnumProcessesHook(DWORD *pProcessIds,DWORD cb,DWORD *pBytesReturned)
{
	*pBytesReturned = 0;
	return TRUE;
}

BOOL APIENTRY DllMain(HMODULE DllHandle, DWORD Reason, LPVOID Reserved)
{
	if(Reason == DLL_PROCESS_ATTACH)
	{
		pEnumProcesses_api = (EnumProcessesType) GetProcAddress(LoadLibrary(L"psapi.dll"), "EnumProcesses");

		pEnumProcesses_orig = (EnumProcessesType) DetourFunction( (PBYTE)pEnumProcesses_api, (PBYTE) EnumProcessesHook);
	}
	return TRUE;
}

So nun ist es wenigstens wirklich open-source!

Allerdings dürfte das gar nicht mehr funktionieren, da sie dann einen Check eingebaut haben, der überprüft hat, ob EnumProcesses gehookt wurde.

Das lässt sich (bis heute!!) ganz einfach umgehen, indem man nicht direkt an der Adresse hookt, sondern an Offset +7, sprich den Jump etwas weiter in der Funktion EnumProcesses platziert.

Kann auch sein, dass sie den Check mittlerweile wieder entfernt haben, dann geht es auch wieder so, wie in eurer Dll.

Das ändert nichts dran, dass die Technik von mir ist und, dass es kein Bypass, sondern ein Rootkit ist.

@All with 32bit:

It wont work for you, because XTrap protects the S4 process and hides it.
This tool, which is rather a rootkit than a bypass, can only hide CE from XTrap's hack detection; this doesnt allow you to use CE on 32bit, because the process is protected anyway.
It works on 64bit only!

Es wird nicht auf 32bit gehen, da XTrap den S4 Prozess schützt und ihn versteckt. Dieses Tool, was man lieber Rootkit anstatt Bypass nennen sollte, kann CE nur vor XTraps Hack Detection verstecken, aber der Prozess bleibt weiterhin geschützt, also geht es nur auf 64bit!

De4Su · 04/16/2011, 15:27

"Project FFC" still be leechware~ ;O not more

D.ø.N.a.T.o.R · 04/16/2011, 15:36

Was bringt eigentlich ein Bypass ? man kann doch einfach Processhacker nehmen Aegis Killen und Hgwc und Xtrap Suspenden ?

~~±¢êΠ¯№ †¿¤¥±~~ · 04/16/2011, 15:36

Funkt nich auf 64 bit q.q S4 schließt sich immer nach 10 sek >_>

MrSm!th · 04/16/2011, 15:37

Auf 64bit schon, auf 32bit würde das nichts bringen, aber da bringt dieser hier auch nichts.

CyberShoxx · 04/16/2011, 15:41

Quote:

Originally Posted by ±¢êΠ¯№ †¿¤¥±

Funkt nich auf 64 bit q.q S4 schließt sich immer nach 10 sek >_>

Die exe als Admin gestarted?

Und Smith danke fürs Open Source ^.^

coolegast01 · 04/17/2011, 10:04

What effect does it have?

Omdi · 04/17/2011, 12:01

Quote:

Originally Posted by coolegast01

What effect does it have?

it´s hide Cheat engine and xtrap can´t detect it

waldi_ · 04/17/2011, 12:19

öhm also ich starte den bypass, starte patcher, starte dann s4 und suspende s4client.exe sobald auftaucht, drücke im bypass auf den button, das programm schließt sich, s4 wieder resumen, aber keine messagebox taucht auf.. alles als admin gemacht

aber auch nochmal die frage, was is der unterschied zu dem rootkit und dazu mit dem process hacker die prozesse zu beenden/suspenden?
und wieso geht das eigentlich so einfach? / hat so lange gedauert um das rauszufinden? xD

CyberShoxx · 04/17/2011, 12:22

Hast du 64 oder 32 Bit? Programm als Admin gestarted?