Ergebnis 1 bis 2 von 2
  1. #1
    NoClose Wurm Avatar von NavanBethrax
    Registriert seit
    01.04.2009
    Beiträge
    193

    Standard DLL Analysieren ; Schadcode ?

    Ich hab mir eine DLL von einem Kollegen schicken lassen sie sollte in einem Game die Sendfunktion vor dem Crypten der Packets über nen Detour die Packets auslesen (Loggen) und auch das erneute Senden möglich machen.

    Nun frage ich mich aber ob derSource Clean ist da ich einen verdacht habe wer der coder ist und dieser schon öfters so dinge erwähnt hat das er mal vorhat den Leuten die Accs abzuziehen.

    Noch dazu mussich sagen das ich selber weiß das es in diesem Game sehr einfach ist die Logindaten auszulesen da sie unverschlüsselt im Clienten gespeichert werden und sogar mit Cheatengine ausgelesen werden können.

    Nun wollte ich wissen ob villeicht irgendwer zeit und lust hat sich die DLL mal anzugucken und mir zu sagen ob da irgendwo ne Hidden Send funktion eingebaut ist die z.b. die Daten via SMTP sendet.

    Hier die DLL:
    http://www.multiupload.com/77D4ZP9KY9

    Edit: Sorry ein bisschen dümmlich bin ich auch es geht ja um das "Reveersen" des Codes wär wohl besser in der Reveersing Section aufgehoben.
    Wenn ein Mod moven kann würd ich das gerne in anspruch nehmen.
    Geändert von NavanBethrax (19.10.2011 um 21:31 Uhr)
    _________________________________________
    [B] Hilfe wo ich nur Kann
    [Skills]
    VB.Net Gut [####]
    C++ Anfänger [#]
    Reveersing Fortgeschritten [###]
    Game Hacking Gut[####]
    [--------------------------------]


  2. #2
    Coding Contest Winner
    Registriert seit
    21.03.2008
    Beiträge
    273

    Standard

    Blöde Frage, aber warum machst Du dir nicht einfach ein "neues" Account mit dem Du die PacketAnalyse betreibst? Geht natürlich nur wenn das Spiel ein F2P oder ähnliches ist.

    Die DLL ist auf jeden Fall in Delphi geschrieben, gibt einige (mehr oder weniger) gute Decompiler dafür. Villeicht dienen die ja ein bisschen mehr als nur Code in Olly.
    Auf den ersten Blick habe ich auf jeden Fall nichts Entdeckt, aber für eine richtige Analyse braucht man den Namen des Spiels um eventuell das Teil auch zu injecten.

    Wenn die DLL Backdoored ist, so müssen die Daten ja irgendwie übertragen werden. Wenn der Coder allerdings Ahnung hat wird diese Übertragung nicht einfach über SMTP, FTP oder HTTP erfolgen, also wird Wireshark auch nicht wirklich was bringen.

    Eine weitere Idee wäre einen MemoryBreakpoint auf die Zugangsdaten zu setzen, Olly breaked dann ja und Du kannst abbrechen.
    Aber wie schon gesagt, für 100% Sicherheit schreibst/findest Du dir einen eigenen Detour oder findest am besten gleich die Ent/Verschlüsselungskeys raus. Einfach von der Socket-Send Funktion ein bisschen zurücktracen, sollte sich was finden lassen, da die verschlüsselung ja in 95% aller Fälle direkt vor dem Senden passiert.

    GReez
    Gamehacking, Coding, Reversing and Security!
    Blog @easysurfer.me

Ähnliche Themen

  1. [Global] Neue Windows-Schwachstelle: Anwendungen laden Schadcode aus dem Netz nach
    Von meckl im Forum Globale News / Szene News
    Antworten: 0
    Letzter Beitrag: 19.08.2010, 15:54
  2. E-mail Header analysieren
    Von novaca!ne im Forum Biete Tutorials
    Antworten: 2
    Letzter Beitrag: 10.07.2010, 00:32
  3. Werde Schadcode nicht los
    Von clabauterman im Forum Erkennung & Hilfe
    Antworten: 1
    Letzter Beitrag: 19.02.2010, 19:18

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •