eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 28 января!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: hlmadip (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Крэки, обсуждения —› чем взломать бота - исследование защиты?
Посл.ответ Сообщение

Ранг: 2.1 (гость)
Статус: Участник

Создано: 18 ноября 2016 19:37 · Поправил: 18 ноября 2016 19:38 Kenzo New!
Цитата · Личное сообщение · #1

Всем привет описываю суть данной проблемы.

Есть игровой бот, сделанный для онлайн-игры.
Сам бот судя по ресурсам написан на delphi 6.0 или выше.

если за бот нету оплаты то появиться диалоговое окошко, где будет указан некий хэш-ключ моего компа и мол не оплачено.
если же как щас у меня оплачен ботик. т.е. я скидывал свой хэш-ключ, чтобы админы бота внесли мой хэш у себя на сервере. то у меня немного другой диалог грузиться с выборкой с какой соц-сети я буду играть майл, фэйсбук или там одноклассники.

теперь по данному хэш-ключу.

LastKey=F5DACС54ВР3B9710269C3F54AF - у меня он такой храниться в файле options.ini
удалить или заменить неполучится он на конкретном компе останется тот же.

При этом если я захожу с другого компа но тот же айпи для доступа в инет. то данный хэш ключик у меня другой.

Если заходить с одного и того же компа но с разной ОС. Будет один и тот же хэш-ключ.

теперь вопрос из каких данных берется данный хэш-ключ?
предполагаю что по MAC-адресу компа, еще может он поменяется если я поменяю провайдера.

Далее с помощью Питулс и Лордом пробывал снять дамп памяти. Но процесс бота не отображается его нету среди процессов. Но через диспетчер задач бот в процессах есть.

если попробывать подключиться к процессу бота через отладчик у меня вылетает ошибка

Unable to attach to process 'bot' with ID 00000F94 (3988.)
Reason: 00000005 (ERROR_ACCESS_DENIED)

чем смотреть куда копать? посоветуете.


Ранг: 56.2 (постоянный)
Статус: Участник

Создано: 18 ноября 2016 20:16 New!
Цитата · Личное сообщение · #2

хм как я понял бот работает через сервер на котором админы должны дать вам доступ а далее бот работает и выполняет свои действия
если так то никак если сама программа выполняет свою работу без сервера авторов программы то вам нужно просто обойти проверку используя отладчик или деделфи но я подозреваю что там всё завязано на сервер авторов П0 незря тут боты не ломают)

Добавлено спустя 14 минут
да и проверте вашу программу на наличие в ней злючих протекторов через анализатор DiE
http://ntinfo.biz/index.php/detect-it-easy

Ранг: 2.1 (гость)
Статус: Участник

Создано: 18 ноября 2016 21:04 · Поправил: 19 ноября 2016 01:29 Kenzo New!
Цитата · Личное сообщение · #3

а вот там в этой программе качается в cache некоторые файлы.

Cache\GPUCache





эти файлы откуда-то загружаются я так полагаю с сервера где ботик.
и потом они удаляются когда сам бот закрываешь.
полагаю что загружается батник он же загружает эти файлы и потом удаляет когда работа завершена.

предполагаю что надо отвязать хэш-код от проверок. так чтобы можно было ввести было любой активированный. тогда можно будет зайти с рабочим ключом с любого компа.

дебагером процесс открыть нельзя пока есть обращение к серверу и проверка ключа на верность.

Добавлено спустя 29 минут
PE: protector: VMProtect(-)[-]
PE: linker: Turbo Linker(2.25*,Delphi)[EXE32,admin]

собственно по боту

Добавлено спустя 4 часа 25 минут
c.bat - который удаляет папку кэш вопрос как сделать чтобы он ее не удалял по завершению работы бота.

ping -n 1 -w 5000 10.10.254.254 >nul
del /S /Q Cache\*.*
del /S /Q c.bat

Ранг: 266.3 (наставник)
Статус: Участник

Создано: 19 ноября 2016 01:36 · Поправил: 19 ноября 2016 01:38 difexacaw New!
Цитата · Личное сообщение · #4

Как же всё запутанно. Вы вообще понимаете что сами то хотите и что вам нужно сделать, я бы не спросил, но не ясна суть запроса.

> Reason: 00000005 (ERROR_ACCESS_DENIED)

Как это делается. Запускается апликуха и антируткит. В идеале антируткит, так как защита ту же работу делает, либо как частный случай сканер/монитор етц, что бы найти модификации в ядре и в юм. ЭТО исходная точка для дальнейшего анализа.

Я бы заюзал wincheck redp как весьма сильный инструмент. Хотя хватает обычных gmer etc.

Ранг: 2.1 (гость)
Статус: Участник

Создано: 21 ноября 2016 12:25 New!
Цитата · Личное сообщение · #5

ну я так полагаю что пока программа постоянно лезет в онлайн для работы с сервером игры. мне никак нельзя ее открыть дебагером. Что-то поменять я мог редактором ресурсов.

использовать один и тот же уже раз оплаченный хэш-код на разных компьютерах.

но я незнаю из каких параметров данный хэш-код вычисляется и формулы которые используются для его получения, чтобы я мог такой же хэш-код дублировать на другом компе.

сам хэш-код из чего может быть сформирован, предполагаю:

жесткий диск - да но винда установлена на разных носителях, а хэш код тот же и остался.
сама винда использована для хэш-кода - открывал прогу на разных виндовс, но они и так были установлены уже, а новую я не устанавливал. Быть может если новую установлю измениться и хэш-код (неизвестно)
мак-адрес компа - плату я нечасто меняю. скорее всего

Ладно смысл подмены хэш-кода на оплаченный не решит проблему.
Тогда нужно подменить сервер на который идет запрос данного хэш-кода на свой сервер.
Чтобы при запросе выдавалось, что мы прошли проверку. И уже качались ресурсы бота с их сервера.

Ранг: 76.6 (постоянный)
Статус: Участник

Создано: 21 ноября 2016 16:31 · Поправил: 21 ноября 2016 16:35 v00doo New!
Цитата · Личное сообщение · #6

Kenzo пишет:
Тогда нужно подменить сервер на который идет запрос данного хэш-кода на свой сервер.
Чтобы при запросе выдавалось, что мы прошли проверку. И уже качались ресурсы бота с их сервера.

Вам рано еще о каких-то исследованиях защит вести речь, а за вас делать никто не будет.
Начните с простого:
https://exelab.ru/f/index.php?action=vthread&forum=5&topic=14847


Ранг: 56.2 (постоянный)
Статус: Участник

Создано: 21 ноября 2016 18:22 New!
Цитата · Личное сообщение · #7

я не понимат

прога накрыта вмп или уже сняли?
вы пишете что программу можно редактировать через редактор ресурсов) как же проверка crc
если файлы скачались с их сервера и они уже есть то копируем их отрубаем инет кидаем в папку с программой
, адрес сервера с проверкой затираем в теле программы или блочим через host
далее я так понимаю запустится программа и вылезит окно мол нет конекта с сервером пробуем отладчики Immunity Debugger и GoBug
далее можно найти эту проверку по тексту из памяти или по функциям вызова окон и делаем переход
например прямо там или через винхексхекс по сигнатурам я бы так сделал.

Добавлено спустя 3 минуты
но я могу ошибаться аксакалы лучше знают

Ранг: 114.6 (ветеран)
Статус: Участник

Создано: 21 ноября 2016 20:15 · Поправил: 21 ноября 2016 20:17 VOLKOFF New!
Цитата · Личное сообщение · #8

Действительно, иногда можно и не снимать прот, а просто отвязать от сервера.
Лет 5 назад столкнулся с похожим случаем, программа была накрыта фимкой и тянула в память кусок кода с сервера, после чего записывала его в нужное место.
Обошлось простым снифом траффика и написанным за 20 минут локальным сервером, воспроизводившим перехваченные пакеты на запросы программы. Адрес по которому стучится можно изменить на локальный через хостс (или подбросить патченную Ws2_32.dll в папку программы, если прот позволяет).
Но такой фокус удастся лишь если авторы не удосужились пошифровать пакеты рандомным ключем.

Судя по тому, что файлы тянутся на диск, там все не по феншую сделано, так что шанс есть
Ну или пойти правильным путем и отломать обратиться в поиск специалистов.

Ранг: 2.1 (гость)
Статус: Участник

Создано: 22 ноября 2016 17:36 · Поправил: 22 ноября 2016 20:15 Kenzo New!
Цитата · Личное сообщение · #9

script_kidis пишет:
я не понимат

прога накрыта вмп или уже сняли?


вип сделал на взломанный бот. так как текущий и новый использовали одни и те же файлы. что-то новое тока добавлено и сделали другой интерфейс.

я запустил сам ботик который с випом, с купленным випом.
который в папку Cache закачал файлы.
data_0
data_1
data_2
data_3
f00000
f00001
f00002
и т.д.
index

скопировал эту папку с випом во взломанный бот и о чудо там стал работать тоже вип.

А по вип боту там следующая вещь происходит. при закрытии бота весь кэш чиститься батником.
т.е. Cache полностью очищается. Откуда этот батник береться не ясно

Далее в файл hosts бот добавляет строку
185.68.16.139 www.ukd89.ru - что данный сайт делает и зачем непонятно.

редактировать в редакторе ресурсов нечего. там только инфа о версии программы.
Нету там RCDATA
с сервера качаются файлы для работы только после проверки бота на оплачен или нет у меня хэш-ключ.

там есть первый exe - мини диалоговое окно превьюшка. заглушка.
потом уже второе окно с рабочим ботом

отладчиком посмотреть.

Добавлено спустя 2 часа 29 минут
дело вот в чем. во взломанном боте вшит этот файл
c.bat который обновляет и потом удаляет кэш.
загрузка кэша идет с сервера или если кэш уже загружен.

clear.bat
Code:
  1. ping -1 -3000 192.168.254.254 >nul
  2. echo F | xcopy  "cache\Cookies" "Cookies" ///Q
  3. del //Q cache\*.*
  4. echo F | move "Cookies" "cache\Cookies"
  5. del //Q clear.bat


c.bat
Code:
  1. ping -1 -3000 192.168.254.254 >nul
  2. del //Q Bot_Setup_2.0.4.exe
  3. del //Q c.zip
  4. del //Q c.bat


в файле c.zip в нем содержаться файлы для работы с ботом. выше они указаны на картинке.

out.bat
Code:
  1. ping -1 -4000 192.168.254.254 >nul
  2. del //Q cache\*.*
  3. start /wait /"" "Bot.exe"
  4. del //out.bat


мне не нужно чтобы запускался данный кусок кода с удалением кэша или его обновлением.
т.е. строка del /S /Q cache\*.* ее надо убрать с батника. но как это сделать незнаю и где эти батники чем найти вопрос.

вообщем он при запуске мне пишет нету c.zip
ок я беру делаю ему c.zip
в составе которого у меня

у випа там чуток больше файликов.
но так как кэш обновляется и удаляется батниками, то затирается и випка.
я так полагаю надо сам exe смотреть отладчиком.

и еще момент когда запускался бот с этим c.zip архивчиком.
он создавал в папке cache еще одну папку с и в ней содержимое.
а нужно чтобы архив c.zip распаковался именно в папку cache без создания под папок.

в другом ломаном боте все работает. так как там нет очистки кэша при загрузке обновлении или закрытии бота.

Ранг: 0.3 (гость)
Статус: Участник

Создано: 22 ноября 2016 22:34 New!
Цитата · Личное сообщение · #10

Если проблема только в удалении, то почему бы не отобрать права на удаление у пользователя от чьего имени запускается процесс? Batch все стерпит

| Сообщение посчитали полезным: AndrewWhite


Ранг: 2.1 (гость)
Статус: Участник

Создано: 23 ноября 2016 02:18 · Поправил: 23 ноября 2016 02:26 Kenzo New!
Цитата · Личное сообщение · #11

решил посмотреть exe через ida (я незнаю как там что менять)
выдало мне две функции.
здесь я так понимаю проверка. jmp


потом в самой процедуре


и код на старт вызов процедуры:


во взломанном боте там только start функция и все.
проверка TlsCallBack_0 убрана. Вопрос как ее убрать проверку. я понимаю что команда NOP
или через winhex если можно ссылку для инфы как редактировать.


Ранг: 220.5 (наставник)
Статус: Участник
radical

Создано: 23 ноября 2016 09:09 New!
Цитата · Личное сообщение · #12

Kenzo
Ты понятия не имеешь о чем пишешь. Именно поэтому не жди здесь помощи.
Code:
  1. push const
  2. jmp addr

Прыжок в ВМ.

VMProtect
Просто забей )

Ранг: -3.2 (нарушитель)
Статус: Участник

Создано: 23 ноября 2016 09:20 New!
Цитата · Личное сообщение · #13

своей работы 0, знание материала и оценка сложности задачи отсутствуют - обращайся в запросы на взлом.

Ранг: 76.6 (постоянный)
Статус: Участник

Создано: 23 ноября 2016 18:11 New!
Цитата · Личное сообщение · #14

DimitarSerg, я ему уже тонко намекал, он не понял\не глянул, зато все продолжали смотреть на эту клоунаду

Ранг: 2.1 (гость)
Статус: Участник

Создано: 24 ноября 2016 04:47 · Поправил: Kenzo New!
Цитата · Личное сообщение · #15

запрос на взлом мне ни к чему.
Да и сделана випка. Я хочу понять как поменять кое-что в боте.

вот есть к примеру при запуске вверху заголовок. (Ботик версия - 1.0)


открываю Resource Hacker - пытаюсь отыскать этот текст в RCDATA, но там нету данного текста.
там его нету.
вопрос чем искать и менять - подобный текст. в дебаггере типа OllyDbg он закрывается с ошибкой.

и еще вопрос.

общее окно бота из-за нового интерфейса ВК сейчас отображается неправильно. Хотел узнать в какой программке можно поменять расположение фрейма с игрой.



вот как видно окошко на примере внутреннее съехало. Конечно можно каждый раз его править стрелками при запуске. Но в ресурсах с помощью того же Restorator или Resource Hacker

Я нашел только форму слева с меню, и все общее окно.
А вот окошко внутри которого загружается приложение его там нет.

в какой программе можно отредактировать значение окна?


Ранг: 56.2 (постоянный)
Статус: Участник

Создано: 24 ноября 2016 19:22 New!
Цитата · Личное сообщение · #16

text в winhex правится
кординаты окон дельфовых программ resource editor или в de-delphi смотреть и думать дальше
но надо снять сначала протектор для этого.а там вмпрот вот).


Ранг: 94.2 (постоянный)
Статус: Участник

Создано: 24 ноября 2016 20:00 New!
Цитата · Личное сообщение · #17

Я хочу понять как поменять кое-что в боте.
типа меняем и продаем под новым названием?


Ранг: 56.2 (постоянный)
Статус: Участник

Создано: 24 ноября 2016 20:38 New!
Цитата · Личное сообщение · #18

inf1kek вроде такс и есть)
все хотят заехать в рай на чужой машине не платя за бензин.

Ранг: 2.1 (гость)
Статус: Участник

Создано: 6 декабря 2016 04:19 New!
Цитата · Личное сообщение · #19

название поменял с помощью win hex
путем поиска юникодов и автозаменой на нужные мне.
я так полагаю что если ограничена фраза в байтах больше код сделать нельзя.

Теперь у меня другой вопрос как отредактировать окошко бота

мне сказали что надо смотреть через редактор ресурсов делфи буэ - но я нигде не нахожу такой.
кто знает скиньте ссылку.

второе знакомый говорит надо сделать подменный сервер и с него грузиться. как это делается?

еще один момент если я хочу что-то поменять в онлайн игре допустим я собираю там ресурсы на которые надо по каждому тыкнуть. но мне нужно их все перенести в одни координаты. с помощью каких прог эти нужные ресурсы вытаскивать? знаю что это делается снифером как-то.


Ранг: 282.5 (наставник)
Статус: Участник

Создано: 7 декабря 2016 19:35 New!
Цитата · Личное сообщение · #20

Kenzo пишет:
второе знакомый говорит надо сделать подменный сервер и с него грузиться. как это делается?


по этому пункту и по многим в --> поиск специалистов <--

Ранг: 2.1 (гость)
Статус: Участник

Создано: 8 декабря 2016 06:38 · Поправил: Kenzo New!
Цитата · Личное сообщение · #21

и еще раз всем привет.


Умный человек сказал:
да, когда создается объект хромиум - нужно искать код выравнивающий фрейм с игрой
это по моей логике

а что за фрейм где его править то.
все обыскал

есть preloader.swf который грузится вначале в боте. как координаты поменять.

translateX и translateY
если кто может мне пример как двигать фрейм внутри оболочки того же ботика.

Добавлено спустя 19 часов 55 минут


и еще


немогу прочесть эти кракозябры, хотелось узнать путь что тут написан.

Ранг: 2.1 (гость)
Статус: Участник

Создано: 15 декабря 2016 20:04 · Поправил: Kenzo New!
Цитата · Личное сообщение · #22

входе исследования пришел к тому что exe
защищен протектедом VMProect 2.70 само приложение написано на Делфи.
Ну и конечно exe упакован с энтропией 8.0

Читал что хакерская группа 3DM взломала новую защиту Denuvo которая использовалась на играх FIFA15, Lords of the Fallen и, чуть позже, Dragon Age: Inquisition. Как выяснилось она же усовершенственный вариант VMProect.

Если есть какой материал по обходу защиты протектеда напишите.

Ранг: 95.7 (постоянный)
Статус: Участник

Создано: 15 декабря 2016 22:09 New!
Цитата · Личное сообщение · #23

Kenzo пишет:
предполагаю что по MAC-адресу компа, еще может он поменяется если я поменяю провайдера.

Нет.Мак адрес уникален для сетевого устройства - карты, роутера, свитча и т.д.Его, конечно, можно подменить программными свистульками или накатить апдейт для внутренней памяти.Другой вопрос - как воспримет это провайдер, ибо некоторые из них авторизуют компы по мак адресам сетевых карт, соответственно такой прикол не прокатит вообще.А аппаратный идентификатор берется и высчитывается от железок и связанных с ним характеристик - объем памяти, наименование, дата биоса, кол-во жестких дисков, метка системного раздела, размер файла подкачки, кол-во пустого и засранного места и т.д.
Kenzo пишет:
Ну и конечно exe упакован с энтропией 8.0

В смысле упакован с энтропией ? Высокая энтропия - это тьма нулей на месте оригинального кода. Вмпротект жмет секцию кода опционально.
Kenzo пишет:
Читал что хакерская группа 3DM

Это только журнализды путают кривое с мягким.Хакеры ковыряют сервера, находят уязвимости в вебскриптах, бывают грей,вайт и блэкхэты.Из них ответвились - пентестеры, багхантеры и прочие скрипткидди с сеошниками.
Те, кто снимают защиту с исполняемых файлов игр и не 3d ПО - крякеры.Те, кто пишут кейгены и детально исследуют алгоритмы - реверсеры.
А наши строгие модераторы так и не закрыли тему с ковырянием бота:s5:
По денуве местные снимали мультик, по вмпротекту в общих чертах писалась обзорная статья, годами тремя ранее, другим человеком.Это все валяется на форуме, поэтому стоит лишь слегка напрячь свои извилины.


Ранг: 282.5 (наставник)
Статус: Участник

Создано: 16 декабря 2016 00:16 · Поправил: DenCoder New!
Цитата · Личное сообщение · #24

Kenzo пишет:
Читал что хакерская группа 3DM взломала новую защиту Denuvo


Поправлю: хакеры ломают сайты и сетевые протоколы! А когда всё находится на твоём компе - нужно намного меньше знаний и мозгов!

unknownproject пишет:
Нет.Мак адрес уникален для сетевого устройства


От тебя ли я это слышу?

unknownproject пишет:
Это только журнализды путают кривое с мягким.Хакеры ковыряют сервера, находят уязвимости в вебскриптах, бывают грей,вайт и блэкхэты


Верно!

Добавлено спустя 6 минут
unknownproject пишет:
по вмпротекту в общих чертах писалась обзорная статья, годами тремя ранее, другим человеком.


8-9 лет назад он ковырялся... И если бы что-то... - не было б вмпротекта!

По слухам автор вмпрота многократно использовал чужой код...

Ранг: 2.1 (гость)
Статус: Участник

Создано: 16 декабря 2016 13:03 New!
Цитата · Личное сообщение · #25

Добавлю в данном ботике используется код который был взят из другого бота. Написанный другим программистом. И тот бот давным давно взломан. При запуске бота о котором идет речь в папке Cache создаются файлы:
index
data_0, data_1, data_2, data_3
и f0000b, f000014, f0000a и т.п.

Если я когда бот работает скопирую данный Cache к примеру сюда:

C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Cache
то вот функционал бота будет работать в браузере хрома.
Но это временный кэш в другой день он уже не будет работать.

Есть еще вариант. Этот кэш добавить в функционал уже ранее взломанного бота и он там успешно работает до поры до времени. Есть и бесплатный бот в который если скопировать ВИП с того бота, и он также там успешно работает. Вот этот ВИП я и хочу вытащить с того бота, что платный.

С того что получилось:
в старом боте что уже сломан. Где снята защита, нету проверки на активацию и сам exe не упакован. Успешно читается win hexом. Мной были убраны пара строк.

del /S /Q c.zip - архив с нерабочей вип, который закачивался на комп с некоего сервера и вот этой строчкой удалялся.
По-сути это тот же Cache только упакован в архив и там добавлено пара тройка функций, что нету в обычном боте.
del /S /Q cache\*.* - удалено стирание кэша. Так как по умолчанию кэш чиститься по закрытию бота, или же при запуске, или при нажатии очистить кэш в самом боте. На всяк случай убрал.

Ну и сами правки сделаны с помощью снифера, подмена ссылок на свои, плюс редактирование файлов игры. В итоге получается кэш с моими правками. Который успешно работает с текущим ботиком.
 eXeL@B —› Крэки, обсуждения —› чем взломать бота - исследование защиты?

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS