Beiträge von florian0

    Dein sro_client ist einfach nur mit Themida oder VMProtect geschützt. Das machen einige der Cancer Community in der Hoffung sie würden verhindern, dass andere ihre fantatischen (geklauten) Werke klauen.


    Du kannst einfach versuchen den Standard vsro sro_client zu verwenden, evtl. geht der ja. Ansonsten VM verstecken, andere Möglichkeit gibts nicht.

    Bei uns werden vorallem die Bücher vom RRZN empfohlen. Die kann man meines Wissens aber nicht einfach so kaufen ... schau mal hier nach dem Ansprechpartner für deine Uni.

    • C-Programmierung – eine Einführung
    • Die Programmiersprache C. Ein Nachschlagewerk


    Unter "meinen" Studis ebenfalls beliebt ist das von dir genannte: Erlenkötter: C Programmieren von Anfang an. War für einige (zumindest die, die am Ende mehr als 50% in der Klausur hatten) ein treuer Begleiter. Von daher: Ja, es taugt.

    Das finde ich auch cool allerdings hat man ja beim UMTS Stick laufende kosten oder?
    Da wäre mir wlan lieber denke ich.


    Kommt die Kamera auch zum Einsatz oder war das nur ein Projekt?
    Wie groß habt ihr die Solarzelle gewählt damit auch mit Wolken genug Stom ankommt?

    Das Ding steht auf einem Feld mitten in der Pampa und streamt Einzelbilder an eine Webseite, Wlan gibts da leider nicht, Internet per Kabel sowieso nicht. Das Gerät erstellt parallel ein WLan Netz, damit man es bequem administrieren kann, ohne jedes mal auf den Mast zu klettern. Und mit einem kleinen Trick, kann man über die Kamera auch surfen.


    Die Solarzelle hat 30W und speißt 2 Bleigelakkus á 43 W/h. Nachts ist die Kamera aus.
    Wir haben nicht gemessen, aber die Kamera sollte so an die 300mA verbrauchen, bisher gabs keine Probleme mit der Stromversorgung.


    Kauft ihr fuer eure Projekte fertige Module oder Loetet ihr die auch selber?
    Manche komponenten kann man ja direkt anschließen und manche brauchen einen Mikrokontroller als preprozessor fuer die Daten.


    Ich bin generell ein Fan von selbst-bauen, weils einfach mehr Spaß macht. In dem Fall haben wir allerdings nur fertige Module verwendet. Gäbe auch nicht so viel zu bauen; Spannungsregler für den Raspberry, wow (2€ im Einkauf - lohnt nicht).

    Das ist Programmierungung für fortgeschrittene. Ich empfehle dir, kleiner anzufangen. :verwirrt: 

    Korrekt. Die Lernkurve ist für jemanden ohne Programmiererfahrung enorm steil.


    Wir können gerne über Skype oder ICQ (schreib mir ne PM) schreiben. Aber ich werd kein Reverse-Engineering-händchen-halten machen :P

    Mein aktuelles Setup ist:

    • Windows 7
    • x64dbg
    • ScyllaHide


    sro_client laden, PUSH, CALL und JMP erkennen. Breakpoint auf den JMP setzen. Ausführen. Wenn der Breakpoint erreicht ist, über EAX -> Rechtsklick -> Follow in Disassembler in die Dll wechseln.


    Die "neue" neue Dll ist mit dem Trick von vorher nur sehr "zufällig" zu knacken, da LastThief nun die GetVolumeInformation()-Abfrage in das Timer-Event gepackt hat. Damit werden aus "beliebig viel Zeit zum patchen" etwa einge 100ns, was die ganze Sache schwierig macht.

    Ja, das tut die Dll dank Themida (die Schutz-Software außenrum) sowieso. Daher fällt eine gepatchte Dll sowieso raus, außer ich lerne übernacht Themida zu entpacken (etwa auf einem Level mit Sanskrit in 24h erlernen).


    Ich hab die Dll geladen und einfach stumpf die gelesene VolumeID überschrieben, dann ändert sich die Checksumme der Dll nicht. Das hatte bei der simpleren Vorgängerversion auch geklappt (siehe ein paar Seiten vorher), nur hier anscheinend nicht. Keine Ahnung ob Themida da seine Finger im Spiel hatte, oder ob ich einfach nur zu blöd war :D


    Edit: War zu blöd. Geht jetzt:




    Hab 5 derzeit Accounts online.


    Edit: Anti-AntiVM ist einfacher als gedacht.


    Gruß
    florian0

    Obs sich lohnt sei mal dahingestellt :D Spaß machts (mir) auf alle Fälle:


    Der Code für den Paketaufbau lässt sich in etwa so zusammenfassen:



    Das ganze lässt sich also tatsächlich wieder auf die VolumeID reduzieren. Leider geht nach meinem ersten Patch die Dll garnicht mehr ... schade. Ich schau morgen mal weiter.


    Gruß
    florian0

    Hab grad mal reingeschaut,



    ist die selbe 0815-Kacke wie vorher auch. Den Client-Side-Packet-Injection Kartoffel-Code von Drew copy&pasted und Themida drübergejagt. Selbst die Debugausgaben sind immernoch drin, man muss nur die Konsole anschalten (den EP ein paar Byte nach oben und CALL AllocConsole).
    Runtime-Protection gibts wiedermal keine. Einmal Themida umgangen debuggts sich ganz angenehm.



    Security by Obscurity ... Ein Proof of Concept :D



    Das größte Problem ist eher, das unter Windows 10 mein geliebtes OllyDBG nicht mehr so richtig wörkt.



    Inzwischen kann das Ding auch Anti-VM, d.H. man kann nicht mehr auf einer virtuellen Maschine botten. Gelöst wurde das ganze per String-Vergleich auf Device- und BIOS-Namen. Nach Auffassung der Entwickler kommt hier aber nur VirtualBox in Frage, daher sollten alle anderen VM-Platformen weiterhin funktionieren. VirtualBox wird nach minimalen Änderungen ebenfalls funktionieren, wie man gleich sieht:




    Die "Hardware-ID" selbst habe ich noch nicht genauer untersucht. Es findet sich im Handler des Timers ein auffällig riesiger Codeblock der entweder aus Copy&Paste oder aus Loop-unrolling (Optimierung des Compilers) entstanden ist. In meiner Boshaftigkeit unterstelle ich den Entwicklern gerne ersteres :P



    Es sind ~ 16 Durchläufe die sich scheinbar mit einem String in 16 Byte Blöcken beschäftigen und danach nochmal einige Durchläufe auf die ich noch keine Lust hatte. Woher die Daten kommen, habe ich ebenfalls noch nicht untersucht. Aus dem VM-Check vermutlich nicht, der hat nur einen Rückgabewert über VM=true/false, alles andere scheint in den Funktionen zu bleiben.
    Die kryptografische Funktion dahinter, wenn da überhaupt was krytografisch ist, zu reversen lohnt warscheinlich nur für einen Lacher :D 
    Während der DllMain erfolgt ein unbekannter Library-Call mit "C:\" als Parameter. Könnte wieder meine Lieblingsfunktion GetVolumeInformation(), die wir ja schon aus der Vorgängerversion kennen, sein.



    FUNFACT: Die DLL enthält einige male den String "Electus" aber exakt 0x den String "Onyx". Meines Wissens gehört die DLL doch zu einem Paket das man auf epvpers kaufen kann ... hat da etwa einer ... Recycling betrieben?



    Gruß
    florian0

    Du brauchst den Original VSRO-Client der dazugehört. Die Clienten die bei den meisten öffentlichen PServern dabei sind, sind verändert und haben meist schon bei Auslieferung eine höhere Versionsnummer als dein Server erwartet.


    Ich hab keine Ahnung wie der Epvper-Release aufgebaut ist. Ist das das Blitzkrieg-Release ohne Client?
    Wir haben hier im Forum ein "eigenes" Release, da ist der Client auf alle fälle dabei.
    [Lunixx's Repack] Silkroad-Files incl. clean SROClient and more.. - Silkroad - Seite 18


    Bei mir ist der MEGA-Ordner nichmehr verfügbar ... kann auch sein das es wieder mal buggt.