DarknessRectionCrew

[69Shizume69]

Quote:

Originally Posted by Byifrozyert

Ist Themida nicht das Tool, um Trojaner zu crypten? Ich habe es mal vor langer Zeit benutzt. ö.ö

[MrSm!th]

Quote:

Originally Posted by 69Shizume69

ehm ging gar nicht darum obs schwer oder leicht ist ^^

hackshield ist nur xtrap das ist alles x_X

Ich wollte es ja nur erwähnen

Quote:

Originally Posted by Byifrozyert

Ist Themida nicht das Tool, um Trojaner zu crypten? Ich habe es mal vor langer Zeit benutzt. ö.ö

das sagt einiges......
Du kannst damit crypten was du willst <.<

Quote:

Originally Posted by freehuntx

Themida unpacken ist eigentlich kein Problem (Für einen freund von mir).
Er Macht eigene Trainer für Combat Arms und da ist der Client auch Mit Themida Gepackt.

Kommt immer drauf an, wie es genutzt wird.
Wenn die VM von Themia genutzt wird, kannste es fast vergessen.
Dann ist es nahezu unmöglich einen komplett entschlüsselten Client zu haben.
Ist aber auch nicht nötig;

Ich präsentiere:

Die Anti Themida Dll!
Sie "freezed" den Prozess.
Dann kann man mit Olly attachen ohne, dass der Client geschlossen wird und BÄMM der Client ist im Speicher komplett entschlüsselt
Allerdings nur statische Analyse.
Man kann keine Auswirkungen beobachten, da der Prozess ja "gefreezed" ist.
Aber so etwas wird auch noch folgen, eine Dll die Olly nur undetected macht^^

p.s. diese rein statische Analyse ist auch das einzige was mit 99% der Clients möglich ist, die rauskommen, wenn man Themida unpackt.

[69Shizume69]

Quote:

Originally Posted by MrSm!th

Ich wollte es ja nur erwähnen


das sagt einiges......
Du kannst damit crypten was du willst <.<



Kommt immer drauf an, wie es genutzt wird.
Wenn die VM von Themia genutzt wird, kannste es fast vergessen.
Dann ist es nahezu unmöglich einen komplett entschlüsselten Client zu haben.
Ist aber auch nicht nötig;

Ich präsentiere:

Die Anti Themida Dll!
Sie "freezed" den Prozess.
Dann kann man mit Olly attachen ohne, dass der Client geschlossen wird und BÄMM der Client ist im Speicher komplett entschlüsselt

VirusTest:

 Spoiler

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.01.26 -
AhnLab-V3 5.0.0.2 2010.01.26 -
AntiVir 7.9.1.150 2010.01.26 -
Antiy-AVL 2.0.3.7 2010.01.26 -
Authentium 5.2.0.5 2010.01.26 -
AVG 9.0.0.730 2010.01.26 -
BitDefender 7.2 2010.01.26 -
CAT-QuickHeal 10.00 2010.01.25 -
ClamAV 0.94.1 2010.01.26 -
Comodo 3718 2010.01.26 -
DrWeb 5.0.1.12222 2010.01.26 -
eSafe 7.0.17.0 2010.01.26 -
eTrust-Vet 35.2.7262 2010.01.26 -
F-Prot 4.5.1.85 2010.01.26 -
F-Secure 9.0.15370.0 2010.01.26 -
Fortinet 4.0.14.0 2010.01.26 -
GData 19 2010.01.26 -
Ikarus T3.1.1.80.0 2010.01.26 -
Jiangmin 13.0.900 2010.01.26 -
K7AntiVirus 7.10.957 2010.01.26 -
Kaspersky 7.0.0.125 2010.01.26 -
McAfee 5873 2010.01.26 -
McAfee+Artemis 5873 2010.01.26 -
McAfee-GW-Edition 6.8.5 2010.01.26 -
Microsoft 1.5405 2010.01.26 -
NOD32 4808 2010.01.26 -
Norman 6.04.03 2010.01.26 -
nProtect 2009.1.8.0 2010.01.26 -
Panda 10.0.2.2 2010.01.26 -
PCTools 7.0.3.5 2010.01.26 -
Rising 22.32.01.04 2010.01.26 -
Sophos 4.50.0 2010.01.26 -
Sunbelt 3.2.1858.2 2010.01.26 -
Symantec 20091.2.0.41 2010.01.26 -
TheHacker 6.5.0.9.165 2010.01.26 -
TrendMicro 9.120.0.1004 2010.01.26 -
VBA32 3.12.12.1 2010.01.26 -
ViRobot 2010.1.26.2156 2010.01.26 -
VirusBuster 5.0.21.0 2010.01.26 -

[MrSm!th]

Quote:

Originally Posted by 69Shizume69

VirusTest:

 Spoiler

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.01.26 -
AhnLab-V3 5.0.0.2 2010.01.26 -
AntiVir 7.9.1.150 2010.01.26 -
Antiy-AVL 2.0.3.7 2010.01.26 -
Authentium 5.2.0.5 2010.01.26 -
AVG 9.0.0.730 2010.01.26 -
BitDefender 7.2 2010.01.26 -
CAT-QuickHeal 10.00 2010.01.25 -
ClamAV 0.94.1 2010.01.26 -
Comodo 3718 2010.01.26 -
DrWeb 5.0.1.12222 2010.01.26 -
eSafe 7.0.17.0 2010.01.26 -
eTrust-Vet 35.2.7262 2010.01.26 -
F-Prot 4.5.1.85 2010.01.26 -
F-Secure 9.0.15370.0 2010.01.26 -
Fortinet 4.0.14.0 2010.01.26 -
GData 19 2010.01.26 -
Ikarus T3.1.1.80.0 2010.01.26 -
Jiangmin 13.0.900 2010.01.26 -
K7AntiVirus 7.10.957 2010.01.26 -
Kaspersky 7.0.0.125 2010.01.26 -
McAfee 5873 2010.01.26 -
McAfee+Artemis 5873 2010.01.26 -
McAfee-GW-Edition 6.8.5 2010.01.26 -
Microsoft 1.5405 2010.01.26 -
NOD32 4808 2010.01.26 -
Norman 6.04.03 2010.01.26 -
nProtect 2009.1.8.0 2010.01.26 -
Panda 10.0.2.2 2010.01.26 -
PCTools 7.0.3.5 2010.01.26 -
Rising 22.32.01.04 2010.01.26 -
Sophos 4.50.0 2010.01.26 -
Sunbelt 3.2.1858.2 2010.01.26 -
Symantec 20091.2.0.41 2010.01.26 -
TheHacker 6.5.0.9.165 2010.01.26 -
TrendMicro 9.120.0.1004 2010.01.26 -
VBA32 3.12.12.1 2010.01.26 -
ViRobot 2010.1.26.2156 2010.01.26 -
VirusBuster 5.0.21.0 2010.01.26 -

ach das vergesse ich immer <.<
Ich finde diese Regel so dämlich....
1. jeder kann sowas fälschen
2. jeder downloader sollte selbst verantwortlich sein
3. gibts false positives
4. gibts unentdeckte viren (nämlich nicht die, die dieses Scriptkiddie Explosiv runterlädt, sondern selbst geschriebene)

Naja danke^^

[freehuntx]

Also zum Crypten von dateien benutze ich meine eigene stub.
Vor 1-2 Jahren (ca.) Wurden Trojaner, Viren etc, mit Themida Gecryptet. Aber dann kamen Antivirenhersteller her und haben das ding in den antivir eingepackt und seitdem erkennt es sogut wie jedes antivirentool als Virus.
Jemand der sich als hacker bezeichnen will, sollte zumindest wissen ob er nen virus hat ohne die hilfe eines Antivirensystems, da diese leicht zu überlisten sind.
Aber als kleine Hilfe wie ich es erkenne:

1.
Verzögerung beim start des Programmes:
Sollte beim Starten eines Programmes eine verzögerung von 3-etc. sekunden auftreten, Tritt 2. in Kraft.

2.
Systemstart:
Sollte 1. der Fall sein, sollte man dies tun:

Windows XP: Start-> Ausführen-> msconfig-> Systemstart
Windows Vista: Start-> Alle Programme-> zubehör-> Ausführen-> msconfig-> Systemstart

Trojaner/Viren erkennt man häufig an solchen o.ä. namen:

uiogwhwj (irwelche buchstaben/Zahlen)
Windows Update (Zum Tarnen wird dieser name verwenden)
Java Update
MediaPlayer Update
svchost
etc.

Im Systemstart sollte (in meinem Fall) nichts angekreuzt sein außer Programme die ihr auch wirklich beim start des Pc`s haben möchtet zb. InternetAnbieter.

Alle unerwünschten Programme .. RAUS ^^
Mann sollte auch regelmäßig den Taskmanager checken ob dort Prozesse laufen wie iexplorer.exe (Während internetexplorer nicht läuft), JavaUpd.exe, Winupd.exe etc.

Das sind die "Grundkenntnisse"

ps: Bei angeblichen "Keygeneratoren o.ä" sollte man beim start zumindest einen sniffer anmachen wie z.b. WireShark, dar falls es ein stealer ist er auslesen kann ob etwas an einen ftp server gesendet wird, und welche ip er verwendet,Nutzername,passwort.
Aber die Neusten Stealer haben Sowieso Antisniff drin, d.h. ist ein sniffer an und ihr startet den "virus" wird nichts an den ftpserver gesendet und somit auch nicht eure Passwörter.

MrSm!th Funktionieren mit dem Freezer auch andere Dinge? z.B. Cheatengine?

btw: Es ist nicht nötig bei .dll`s einen Virusscan zu Posten, dar es keine Möglichkeit gibt einen Virus in eine dll zu packen.
Und es wäre schwachsinnig, dar die dll in einen Prozess injected wird, und was bringt es einen Trojaner in ein spiel zu injecten

Und wie Sm!th schon sagte, kann man solche analysen fälschen wenn ihr wollt kann ich das man demonstrieren.

[MrSm!th]

Quote:

Originally Posted by freehuntx

uiogwhwj (irwelche buchstaben/Zahlen)
Windows Update (Zum Tarnen wird dieser name verwenden)
Java Update
MediaPlayer Update
svchost

nicht zu vergessen systemdateien
wie
csrss
oder auch mal
csrrs^^


zu deiner Frage:

ja, aber bringt nix.
Was willst du denn damit?
Dann attachst du CE, suchst deine Values, und?
Gehen wir mal davon aus, sie sind nicht geändert (was sie aber sind) und du findest die erste Dmg Adresse.
Und dann?
Kannst ja später nichts machen, um sie zu verändern, dafür müsstest du einen Bypass oder meine Dll nutzen und bei letzterem wäre ja der Prozess gefreezed

btw. Nicht wundern wenn dieses "Project S4 Client funktioniert nicht mehr..."
kommt.
Einfach Olly attachen und nicht beachten.

[freehuntx]

Oh ok jetzt habe ich es erfasst ^^
Danke

[woche3]

alles hat ein anfang ich hab schon ein bisschen versucht eigene hacks zu erstellen , mit bisschen hilfe würd ichs vielleicht auch eines tages schaffen^^ , naja wenn ihr mich nicht haben wollt einfach nein sagen hab nix dagegen

mfg woche3

[freehuntx]

Ja jeder fängt mal klein an ^^
Wenn du dich für Autoit interessierst könnte ich dir ab und zu tipps geben.
Aber bisschen müsstest du schon was können ;D

[freehuntx]

Ich entschuldige mich vielmals für meinen Doppelpost, aber ich möchte Bekannt geben, dass das Forum nun wieder in Betrieb ist und ich mich demnächst darum kümmern werde.


Viel Spaß euch allen!