3. Herauslesen aus dem Quellcode

Herauslesen aus dem Quellcode

  • ?

    cooky451 schrieb:

    Na ja, hat jetzt nicht soo viel geholfen, taskkill auf svchost und das war es dann auch. Ganz lustig jedenfalls. 😉

    Und diese
    http://www58.zippyshare.com/v/51398809/file.html
    svchost.exe ist es. Da steht doch Zeug drin in Klartext.
    Auch "Cheat"

    0
  • C

    Ja, ich habe mir gerade auch gedacht, dass man vielleicht lieber in dieser .exe nachschauen sollte. In dem SYS Verzeichnis liegen übrigens noch ein paar andere lustige Sachen, unter anderem ein Bild vom Floh. "You Got Hacked By". 😃
    (Und eine mysteriöse "remove.exe")

    0
  • ?

    @volkard

    steht hinter dem zockerfloh noch eine zahl? dann ist das dass passwort

    0
  • V

    cooky451 schrieb:

    (Und eine mysteriöse "remove.exe")

    Das wird die remove-Funktion aus dem Scriptkiddy-Bauskasten sein.
    Ich starte sie mal. Könnte wetten, dann räumt er sich wieder weg (bis auf Programmierfehler).

    0
  • ?

    ja, dann räumt er sich weg, nach neustart allet wieder normal

    0
  • V

    Jo, danach bootet er ganz normal.

    0
  • V

    Als nächstes habe ich OllyDbg installiert und damit die svchost.exe gestartet.
    Die Eingabe prüft er gegen 777.
    Gibt man 777 (statt einer Zahl zwischen 1 und 11) ein, fragt er dann nach dem CheatCode.
    Als CheatCode gibt man ZockerFloh ein.
    Dann kommt man in sein Windows.
    Die Remove.exe muß man trotzdem selber aufrufen, ganz so nett ist er dann doch nicht.

    0
  • ?

    cooole sache 😃
    n fettes danke 👍
    🙂

    0
  • ?

    wie genau hast du das gemacht?

    0
  • V

    Erstmal um besser testen zu können die svchost.exe nach c:\tmp\svchost.exe gesichert und mit der Remove.exe das Zeug deinstalliert.

    So, die svchost.exe konnte ich jetzt jederzeit aufrufen und ausprobieren. Aber bei Falscheingabe hat sie noch reboot gemacht per system("shutdown..."). Also noch eine shutdown.bat dort angelegt, die nichts tut. Ist aber nicht soo wichtig.

    Dann OlliDbg runtergeladen und entpackt und gestartet und damit die svchost.exe geöffnet.

    "Run" gemacht und sie scvhost lief bis dort, wo die erste Zeile eingegeben wird. In OllyDbg auf Pase gedrückt. In svchost.exe eine Zahl eingegeben. Und dann in OlliDbg im Menu gefunden "Run till usercode", das ist klasse. Der rennt jetzt aus den dll-Sachen raus bis er wieder in der exe ist, die die Eingabe verarbeitet. Und da ein wenig mit F7 immer auf die nächste Zeile gegangen und auch rechts Registerinhalte angeschaut.
    Irgendwo stand was wie

    cmp %ax,309

    oder so. 309? Was ist das denn für eine blöde Zahl. Ah, die ist hexadezimal. Mal umrechnen, 3*256+0*16+9*1=777.
    Ja, das sieht doch nach einem Geheimcode aus.

    0
Anmelden zum Antworten