Salve,non avendo nulla da fare vi scrivo questa semplice guida su come bypassare l'HShield di 4Story IT.
Leggi:
Quando viene avviato il processo TClient.exe,in righe di codice c'è scritto di avviare anche l'HShield,ma io vi insegnerò come non farlo aprire.
Attenzione:
Requisiti:
PEiD: http://www.peid.info/getfile.php?id=1
UPX: http://upx.sourceforge.net/download/upx308w.zip
OllyDbg: http://www.ollydbg.de/odbg110.zip
1: Analizzare il file
Per analizzare il file,utilizzeremo PEiD
Quindi aprire peid,caricare il file TClient.exe e controllare le informazioni:
Il client è packato da UPX1,che è un packer e riguardo l'unpacker vi darò successivamente il link per il download.
2: Unpacking
Creare un nuovo blocco note,inserire questo codice dentro di esso:
e salvarlo con estensione.BAT ( unpacker.BAT )
Creare una nuova cartella,e mettere i file upx,TClient e l'unpacker.BAT
Avviare il file BAT ed otterrete il file TClient_unpacked.exe,e copiarlo nella cartella di 4Story.
3: Reversing
Per iniziare il reversing,utilizzeremo OllyDbg.
Aprire OllyDbg e caricare il file TClient_unpacked.exe
Aprire l'Executable Modules List
Doppio click al primo modulo
Tasto destro ---> Analyse Code
Click destro ---> Search for ---> All intermodular calls
bClick sort list ---> cercare LoadLibraryA ---> Tasto destro ---> Set breakpoint every call to LoadLibraryA
Premere F9 fino a trovare una dll in /HShield/EhSvc.dll
Scorrere fino al punto d ingresso della funzione. Tutti i punti di accesso sono contrassegnati dal segno $
Ripetere fino ad arrivare fuori dal codice HShield.
Una volta raggiunta la cima ---> Tasto destro ---> Binary ---> Fill with NOP's
Rimuovere i BreakPoint sulle funzioni LoadLibraryA,dal momento che non ne hanno più bisogno.
Resettare il client,ripetere la patch appena fatta ed eseguire il Client per vedere se funziona.
Non funzionerà:
Il client ha un altra protezione,andiamo a bypassarla
Ritornare nell'Intermodular Calls Window
Scendere nel breakpoint e funzioni del MessageBoxA ed eseguire quanto vedete nello screen:
Resettare il client di nuovo,e applicare la patch.
Avviare il Client
Il clienteinterrompela funzioneMsgBox.Scorrerefino all'entrata della funzione efarla risalire
NOP's:
Rimuovere i breakpoints dalla funzione MessageBoxA
Resettare il client,applicare la patch,salvare il client e aprirlo.
4: Fine
L'Hshield è stato ByPassato con successo!
Crediti: T3CkToNiCk - lolkop
Questo metodo abbastanza semplice lo scoprimmo io e lolkop,cosi lui scrisse la guida su epvp e io non avendo tempo lo scritta ora su Inforge,anche se un pò troppo tardi.
Leggi:
Quando viene avviato il processo TClient.exe,in righe di codice c'è scritto di avviare anche l'HShield,ma io vi insegnerò come non farlo aprire.
Attenzione:
Codice:
ByPassare l'HShield è facilmente detectabile dal server,perchè questo manda dei pacchetti al server in pochi minuti (In seguito scriverò una guida su come bloccare l'invio dei pacchetti.
Vi consiglio di usare solo degli account che usate per fare dei test.
Requisiti:
PEiD: http://www.peid.info/getfile.php?id=1
UPX: http://upx.sourceforge.net/download/upx308w.zip
OllyDbg: http://www.ollydbg.de/odbg110.zip
1: Analizzare il file
Per analizzare il file,utilizzeremo PEiD
Quindi aprire peid,caricare il file TClient.exe e controllare le informazioni:
Il client è packato da UPX1,che è un packer e riguardo l'unpacker vi darò successivamente il link per il download.
2: Unpacking
Creare un nuovo blocco note,inserire questo codice dentro di esso:
Codice:
[LEFT][COLOR=#000000]upx [/COLOR][COLOR=#666600]-[/COLOR][COLOR=#000000]d [/COLOR][COLOR=#666600]-[/COLOR][COLOR=#000000]o [/COLOR][COLOR=#660066]TClient_unpacked[/COLOR][COLOR=#666600].exe TClient.exe[/COLOR][COLOR=#666600]
[/COLOR][/LEFT]
e salvarlo con estensione.BAT ( unpacker.BAT )
Creare una nuova cartella,e mettere i file upx,TClient e l'unpacker.BAT
Avviare il file BAT ed otterrete il file TClient_unpacked.exe,e copiarlo nella cartella di 4Story.
3: Reversing
Per iniziare il reversing,utilizzeremo OllyDbg.
Aprire OllyDbg e caricare il file TClient_unpacked.exe
Aprire l'Executable Modules List
Doppio click al primo modulo
Tasto destro ---> Analyse Code
Click destro ---> Search for ---> All intermodular calls
Premere F9 fino a trovare una dll in /HShield/EhSvc.dll
Scorrere fino al punto d ingresso della funzione. Tutti i punti di accesso sono contrassegnati dal segno $
Ripetere fino ad arrivare fuori dal codice HShield.
Una volta raggiunta la cima ---> Tasto destro ---> Binary ---> Fill with NOP's
Rimuovere i BreakPoint sulle funzioni LoadLibraryA,dal momento che non ne hanno più bisogno.
Resettare il client,ripetere la patch appena fatta ed eseguire il Client per vedere se funziona.
Non funzionerà:
Il client ha un altra protezione,andiamo a bypassarla
Ritornare nell'Intermodular Calls Window
Scendere nel breakpoint e funzioni del MessageBoxA ed eseguire quanto vedete nello screen:
Resettare il client di nuovo,e applicare la patch.
Avviare il Client
Il clienteinterrompela funzioneMsgBox.Scorrerefino all'entrata della funzione efarla risalire
NOP's:
Rimuovere i breakpoints dalla funzione MessageBoxA
Resettare il client,applicare la patch,salvare il client e aprirlo.
4: Fine
L'Hshield è stato ByPassato con successo!
Crediti: T3CkToNiCk - lolkop
Questo metodo abbastanza semplice lo scoprimmo io e lolkop,cosi lui scrisse la guida su epvp e io non avendo tempo lo scritta ora su Inforge,anche se un pò troppo tardi.