[working] S4 League Hackshield Bypass *found*

[lalalilo]

Würd ma sagen der is detected hab alle sachen die ich auf hab mit dem hidetool versteck(rechtklich->Hide)auch injector usw. komtm trotzdem mblablabla kann nciht mit dem und dem zusamm ausgeführt werden

[MrSm!th]

nein ist er nicht
sieh doch einfach im taskmanager nach: wahrscheinlich sind alle sachen noch zu sehen->heißt irgendwo nen fehler gemacht

[.H0M3R.]

Wie funktioniert das ding bitte? wenn ich die exe starte kommt schwarzes kästchen und geht so schnell wieder weg <,<

[lalalilo]

von der seite kann ich den rootkit net runterziehen Alastor oder wie der heißt mir einen anderen link gegebn von megaupload aber da sind viren drinne und da kommen lgeich 3 stück zwei backdoor und ein Agent bla bla der Agent is einefehlermeldung weiß ich aber die anderen beiden ?!

[FichteFoll]

Quote:

Originally Posted by lalalilo

von der seite kann ich den rootkit net runterziehen Alastor oder wie der heißt mir einen anderen link gegebn von megaupload aber da sind viren drinne und da kommen lgeich 3 stück zwei backdoor und ein Agent bla bla der Agent is einefehlermeldung weiß ich aber die anderen beiden ?!

Die "Pseudo Viren" Sind überall drin, da es sich um ein programm handelt, das ander Prozesse beeinflusst.

Der Link von Adroxxx ist falsch, habe ich auch gemerkt.

Quote:

https://www.rootkit.com/vault/fuzen_op/FU_Rootkit.zip

^^falsch^^
vv richtig vv

Code:

http://www.rootkit.com/vault/fuzen_op/FU_Rootkit.zip

[lalalilo]

Sicher ? weil da gleich 3 stück drin sind ....naja ich lad den ma da runter und wenn das da auch drinen is lass ich das mal so ....

EDIT:bei dem sind nur 2 drinne also muss bei dem adner was faul gewesen sein

[MrSm!th]

Quote:

Originally Posted by S4_Gamer

Wie funktioniert das ding bitte? wenn ich die exe starte kommt schwarzes kästchen und geht so schnell wieder weg <,<

och s4 gamer.... xD noch nie was von der console gehört??? also programme ohne diese schönen buttons zum draufklicken?
es wird immer passieren, dass sich so eine exe sofort schließt, das ist normal bei dos programmen!
also lösung:

entweder start->eingabeaufforderung und da gehst du dann zum verzeichnis vom rootkit und wenn du drin bist einfach fu.exe dann bekommste die hilfe welche befehle möglich sind
2:
ein neues textdokument im ordner erstellen und von diesem die endung .txt in .dll ändern; dann einfach nen doppelklick auf die "dll" und du bist auch in der console aber im richtigen verzeichnis (das bevorzuge ich übrigens)

[lalalilo]

hab ein neues textdokument erstellt das blablabla genannt und die endung .dll wenn ich doppleklick drauf mache kommt öffnen mit und nix mit ner konsole>.<

[FichteFoll]

machts doch anders.

Um zB Das Teil zu bedienen UND die Ergebnisse kann man auch einfach ne Batch erstellen und das da rein schreiben: (.txt erstellen und in zB "Test.bat" ubenennen)

Code:

fu -pl 50
pause

fu -pl 50 führt den Befehl automatisch aus und pause bewirkt nur, dass du dann auch sehen kannst, was er dir als Fehler gibt ^^ Alle Befehle musst du dann allerdings in die Batch schreiben...

Und das mit der dll gehtz bei mir auch nicht.

[MrSm!th]

Quote:

Originally Posted by lalalilo

hab ein neues textdokument erstellt das blablabla genannt und die endung .dll wenn ich doppleklick drauf mache kommt öffnen mit und nix mit ner konsole>.<

nein du musst wenn du die dateierweiterung aus hast speichern unter dann das verzeichnis wählen und dann eben statt Neues Textdokument.txt eben .dll eingeben

[Adroxxx]

Quote:

Originally Posted by FichteFoll

Die "Pseudo Viren" Sind überall drin, da es sich um ein programm handelt, das ander Prozesse beeinflusst.

Der Link von Adroxxx ist falsch, habe ich auch gemerkt.

^^falsch^^
vv richtig vv

Code:

http://www.rootkit.com/vault/fuzen_op/FU_Rootkit.zip

Nö der Link ist nicht falsch. Wenn du über https gehst musste nur das zertifikat runterladen und die seite als sicher kennzeichnen.

[FichteFoll]

Quote:

Originally Posted by Adroxxx

Nö der Link ist nicht falsch. Wenn du über https gehst musste nur das zertifikat runterladen und die seite als sicher kennzeichnen.

Ja ok, wie mans nimmt^^ allerdings setzt das http(s) vorraus, dass dies eine sichere Seite ist, was jedoch von der Struktur usw. ja nicht der Fall ist und deswegen zickt FF. Also mir hat's so geholfen und ich finds einfacher so.

Btw: Und wie finde ich aus "fld" jetzt einen Pointer? Weil Jump-force, Alle Anchoring-Werte, Bind-Range, Hp-Hack und die Range alle nur davon beeinflusst werden. Hab hier ma 2 Sreens mit einigen Pfeilen (hust).

Hier für Anchoring:

Der opcode ist "fld [eax]". Der einzige, der auf die Adresse zugreift.
Also suche ich nach eax, um den Pointer zu finden, jedoch ist nichts vorzufinden.

Also suchte ich nach ebp, welches ja vorher in eax reingeschrieben wird "mov eax, [ebp+08]". Doch auch das ergab leider kein Ergebnis. Was muss ich also machen?

Für den Walljump-Delay:

Hier ist der code "fld [eax+1c]". Gleiches Ergebnis wie oben, er findet natürlich nichts für EAX.

Dann habe ich probiert das ganze zu nop'n, aber sofort danach crashte S4 einfach weg.

Es MUSS eine möglichkeit geben, da der Client ja ansonsten selber die Adresse nicht mehr wiederfinden würde. Kannst du mir da weiterhelfen?


Ach und kannst du meinen Bot-Thread umbenennen? . In "[Release] Sniping Bot V_1.6 *Woking" ? Danke.

MfG
FichteFoll

[MrSm!th]

hm schonmal versucht den suchraum zu vergrößern? (kann es auf dem screen nicht genau erkennen)
du suchst nach dem value, den dir der debugger nennt also dieses mit 6.....
und da kommt found 0
also entweder ist dir da ein falscher wert gegeben worden oder du hast vielleicht den suchraum nicht auf maximal sondern nur begrenzt
btw: du bist doch eigentlich recht gut im debuggen warum machstes nicht mit olly?

[mode3star]

thnxxxxxxxxxxxxxxxxxx

[FichteFoll]

Quote:

Originally Posted by xhelloselm

hm schonmal versucht den suchraum zu vergrößern? (kann es auf dem screen nicht genau erkennen)
du suchst nach dem value, den dir der debugger nennt also dieses mit 6.....
und da kommt found 0
also entweder ist dir da ein falscher wert gegeben worden oder du hast vielleicht den suchraum nicht auf maximal sondern nur begrenzt
btw: du bist doch eigentlich recht gut im debuggen warum machstes nicht mit olly?

Öhm, weil olly keine Pointer finden kann xD Ich will ja ne ct machen, in der Ich den Wert verändern kann, da bringt mir olly nix, da der Wert ja immer woanders ist. Und mit Olly kann ich mir zwar diese Prozedur (Funktion...) angucken, aber ansonsten bringt mir das leider nichts.