PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [ASM]Frage zu umgehen einer Meldung



zolli
31.07.2010, 02:38
hallo Free-Hack

Mal eine ASM Frage
ihr kennt bestimmt dieses MMORPG Last chaos ich hatte ein Multi client doch nun funktioniert der nicht mehr (über 3 jahre)
Deshalb habe ich mir den ASM Code angeschaut die Meldung was kommt die diese hier
"Already Executive Game"
im OllyDbg steht vollgendes

Bild1 (http://img101.imageshack.us/f/lcolly.png/)

aber wenn ich jedoch die adresse austausche dann ist die exe kaputt
oder es komtm eine kömische melden mit "h|$" oder änliches

wo finde ich die adresse womit das spiel gestartet wird

könnt ihr mir helfen


hier die zusätzliche datei
Download (http://www.file-upload.net/download-2711699/Nksp.rar.html)

<~Engel~>
31.07.2010, 02:47
Spiele das spiel auch zufällig und use auch nen multiclient ^^
Download:
*Link erstmal entfernt wer in braucht : google nutzen oder mir eine pn schreiben*

Bild der 2 Programme

http://img844.imageshack.us/img844/9314/unbenanntk.jpg (http://img844.imageshack.us/i/unbenanntk.jpg/)


Kleines HowTo
1. Die 2 Dateien in den Bin ordner von LastChaos verschieben/kopieren danach zuerst die Datei "last.chaos-patch.exe" ausführen und auf Patch klicken das Spiel startest du über diese Datei dann "Last Chaos Loader.exe" fall er nicht geht einfach LastChaos an machen bis zum Login Bildschirm und auf dem 2.ten programm auf "Update please X)" klicken.

(Falls du mir nicht traust kannst du es vorher auf der virtuellen maschiene testen.)

zolli
31.07.2010, 02:59
ich danke dir doch mich läst es keine ruhe ich möchte es gerne wissen kannst du mir dabei helfen? oder ein andere um das problem zu lösen?

Saedelaere
31.07.2010, 03:04
Irgendwo vor der Meldung wird ein konditioneller Jump zu finden sein. Den musst du nur noppen oder mit JMP überschreiben, je nachdem halt.

Vermutlich wird vor dem Jump irgendwo CreateMutex() oder OpenMutex() aufgerufen. Ist allerdings nur eine Vermutung, da es auch zahlreiche andere Methoden gibt, um zu prüfen, ob ein Programm mehrmals gestartet wurde.

zolli
31.07.2010, 04:19
also jein Jump finde ich keinen danahc habe ich auch schon gesucht

es ist bestimmt nicht schwer ich find es einfach nicht ...

G36KV
31.07.2010, 11:52
00405406 |. /0F85 F9000000 JNZ Nksp.00405505
-> NOP
prüft ob das Programm schon läuft

004053F9 |. /0F8F 06010000 JG Nksp.00405505
-> evtl. NOP

<~Engel~>
31.07.2010, 16:50
@zolli du denkst ja wegen (Virustotal. MD5: a4e35899567697e0b9e16d1b8a4ccc61 Heuristic.BehavesLike.Win32.Trojan.H Trojan.Generic.4334579 probably a variant of Win32/HackTool.Patcher.A (http://www.virustotal.com/de/analisis/7964d16ee0a9089c5e9f88df1d4ebcb376836da38ebc911c07 62b45152f76ddb-1280587334)) das Programm ist infected . Ich kann dir nur sagen,das ich das Programm schon seit Jahren benutze und noch nicht einmal hatt mein Pc was "komisches von selbst" gemacht bzw wurde mir auch noch kein einer Account gehackt. Naja mir selbst ist es egal wolte dir eigentlich nur helfen.(aber selbst dann wird doof gemacht.)
[Kannst das Teil ja selbst mal auf einer Virtuellen Maschiene testen.)

zolli
31.07.2010, 17:38
@36KV Danke bin ein weiten schritt nach vorn gekommen doch wie bist du auf diese adressen gekommen werde ich nicht schlau drauß

@Engel sry für den vorwurf ich bin dir sehr dankbar

Hm... kann mir das einer erklären wie am auf die oben genannten Adressen kommt? Danke

zolli
02.08.2010, 10:01
Hallo Free-hack

zu meinem Problem wurde mir geholfen und es hat anfangs nicht ganz funktioniert und auf einmal habe ich ein tutorial gelesen und dies an der exe ausprobiert DAnke !! leute ich habe mein ersten Crack erstellt für ein multi client das spiel "Last Choas" ^^

mußte einfach JE to JNE machen und andersrum und dann hat es gefuntzt

Danke für die hilfe stelllung
;-)

AlterHacker
02.08.2010, 10:43
Unsauber.
Entweder ein JMP oder ein NOP.
***
Sonst startet das Programm nicht, wenn keine 2te Instanz läuft :)
Ist wie bei den ganzen crackme's. Wenn man da kein JMP/Nop als crack geused wird sondern einfach der negierte JE JNE etc. dann wird der echte key nimmer angenommen ;-)
=> Gilt für die meisten Programme, weiß natürlich nicht wie da jetzt der Überprüfungsmechanismus ist.
***

zolli
02.08.2010, 11:57
hm.. also ich habe es so getestet und es funtzt So wie es sein soll ohne jegliche probleme doch wenn ich Jumpen möchte oder es nOp dann geht die exe kaputt komtm irgednwie ein komischer fehler oder die exe gibt keine meldung und startet nicht

nemo
02.08.2010, 13:51
~

Saedelaere
02.08.2010, 18:37
Es ist möglich, dass dein Spiel bestimmte Methoden auf das Vorhandensein von NOP-Instructions überprüft. Stattdessen kannst du versuchen, das im Sprung hartkodierte Offset mit 0 zu ersetzen. Damit erzielst du dasselbe Ergebnis wie mit dem einfachen ausnopen, hast aber am Ende einen schöneren und dabei kleineren Patch (in deinem Beispiel 3 Byte statt 12).

Nicht dein Ernst oder? Das einzige was dann passiert, ist dass das Programm zur Addresse 0 springt und sich dann mit einer Access Violation verabschiedet oder fals das Offset relativ ist endest du in einer Endlosschleife. Die Methode mit noppen oder JNE JNZ JE was weiß ich mit JMP zu überschreiben, je nachdem wie es die Situation verlangt.

Dass die EXE danach nicht mehr funktioniert kann eigentlich nicht sein. Und dass so ein altes Spiel, was nichtmal irgendwie gepackt ist einen "Schutz vor NOP Opcodes" (sowas unsinniges hab ich ja noch nie gehört) hat, ist mehr als unwahrscheinlich.

l0dsb
02.08.2010, 18:46
Saedelaere (http://free-hack.com/member.php?u=67766), er meinte den Offset, den Teil im Opcode - nicht die Destination selbst. Und obwohl der Offset relativ ist, endet man nicht in einer Endlosschleife, da die Größe des Befehls in die Zielberechnung eingeschlossen wird.

zolli
02.08.2010, 18:58
Okay ich werde die bestimmte stellen mal im hex editor zu nullen was doch eigentlich dasselbe rausbekommt wie nop(en) oder?

tut mir leid ich bin in der anfangsphase von ASM habe bissle gemacht

nemo
02.08.2010, 19:02
~

zolli
02.08.2010, 21:43
Naja aber dennoch wieos Funktioniert das wenn ich JNE to JE und andersum Schreibe aufeinmal schreibe das Prob in den ersten post wurdne mir 2 adressen gennant die ich nopen konnte dann kamm ide Meldung "Already Executive Game" nicht mehr dafür eine andere fehler meldung "Blabla is on running system" dann habe ich ein tutorial gelesen was ihr bestimtm kennt mit dem webbstyle.exe Cracken so davon habe ich das nachgemacht und funktioniert

nemo
02.08.2010, 21:54
~