Herauslesen aus dem Quellcode
-
Wenn man die Zahl nicht in 3 Versuchen rät, öffnet er eine Box, die fragt, ob der Datenträger gelöscht werden soll. Man drückt "nein". Und er rebootet.
Nach dem Reboot ist das Prog wieder an. Wenn man die Zahl rät, kommt man normal ins Windows rein. Taskmanager und regedit werden sofort wieder geschlossen, wenn man sie öffnet. Aber sie werden nur am Namen erkannt. Soeben taskmgr.exe nach taskmgr2.exe kopiert und die geht auf.
-
ja, genau, das is das programm
aber anstatt der zahl, kann maneingeben: "Enter cheat code: x"
anstatt dem x is da halt ein passwort, und das möchte ich rausbekommen
-
sakul95 schrieb:
ja, genau, das is das programm
aber anstatt der zahl, kann maneingeben: "Enter cheat code: x"
anstatt dem x is da halt ein passwort, und das möchte ich rausbekommenWir kommst Du zu der Abfrage "Enter cheat code:" ?
In der Gegend steht recht ZusammenhanglosZockerFloh
-
Na ja, ich habe es mal gestartet, mit mir kann man den Spaß ja machen. Erstmal ist Windows gar nicht mehr gestartet, etwas fail. Na gut, abgesicherter Modus ging. Zahl beim ersten Mal erraten (lol?). So.. lustigerweise sah man den Programmnamen der einen gefragt hat. Taskmanager geöffnet - wurde vom Programm sofort wieder geschlossen. Genau so wie auch regedit. Na ja, hat jetzt nicht soo viel geholfen, taskkill auf svchost und das war es dann auch. Ganz lustig jedenfalls.
Das mit dem Cheatcode kann ich mal testen, aber in der .exe stand jedenfalls nichts drin..Edit: Also in meiner .exe steht nicht mal "cheat"? Ist da was kaputt?
-
cooky451 schrieb:
Na ja, hat jetzt nicht soo viel geholfen, taskkill auf svchost und das war es dann auch. Ganz lustig jedenfalls.
Und diese
http://www58.zippyshare.com/v/51398809/file.html
svchost.exe ist es. Da steht doch Zeug drin in Klartext.
Auch "Cheat"
-
Ja, ich habe mir gerade auch gedacht, dass man vielleicht lieber in dieser .exe nachschauen sollte. In dem SYS Verzeichnis liegen übrigens noch ein paar andere lustige Sachen, unter anderem ein Bild vom Floh. "You Got Hacked By".
(Und eine mysteriöse "remove.exe")
-
steht hinter dem zockerfloh noch eine zahl? dann ist das dass passwort
-
cooky451 schrieb:
(Und eine mysteriöse "remove.exe")
Das wird die remove-Funktion aus dem Scriptkiddy-Bauskasten sein.
Ich starte sie mal. Könnte wetten, dann räumt er sich wieder weg (bis auf Programmierfehler).
-
ja, dann räumt er sich weg, nach neustart allet wieder normal
-
Jo, danach bootet er ganz normal.
-
Als nächstes habe ich OllyDbg installiert und damit die svchost.exe gestartet.
Die Eingabe prüft er gegen 777.
Gibt man 777 (statt einer Zahl zwischen 1 und 11) ein, fragt er dann nach dem CheatCode.
Als CheatCode gibt man ZockerFloh ein.
Dann kommt man in sein Windows.
Die Remove.exe muß man trotzdem selber aufrufen, ganz so nett ist er dann doch nicht.
-
cooole sache
n fettes danke
-
wie genau hast du das gemacht?
-
Erstmal um besser testen zu können die svchost.exe nach c:\tmp\svchost.exe gesichert und mit der Remove.exe das Zeug deinstalliert.
So, die svchost.exe konnte ich jetzt jederzeit aufrufen und ausprobieren. Aber bei Falscheingabe hat sie noch reboot gemacht per system("shutdown..."). Also noch eine shutdown.bat dort angelegt, die nichts tut. Ist aber nicht soo wichtig.
Dann OlliDbg runtergeladen und entpackt und gestartet und damit die svchost.exe geöffnet.
"Run" gemacht und sie scvhost lief bis dort, wo die erste Zeile eingegeben wird. In OllyDbg auf Pase gedrückt. In svchost.exe eine Zahl eingegeben. Und dann in OlliDbg im Menu gefunden "Run till usercode", das ist klasse. Der rennt jetzt aus den dll-Sachen raus bis er wieder in der exe ist, die die Eingabe verarbeitet. Und da ein wenig mit F7 immer auf die nächste Zeile gegangen und auch rechts Registerinhalte angeschaut.
Irgendwo stand was wiecmp %ax,309oder so. 309? Was ist das denn für eine blöde Zahl. Ah, die ist hexadezimal. Mal umrechnen, 3*256+0*16+9*1=777.
Ja, das sieht doch nach einem Geheimcode aus.