WarBot NEXON v6 - Cracked

Über CoderZ erhielt ich die Anfrage zum Cracken dieses Bots für das Spiel WarRock. Dabei gibt es sowohl einen “Free”-Mode, als auch den sog. “Premium”-Mode. Für letzteres bedarf es eines Codes, den man zuvor gegen Geld erworben hat.

Leider hat sich die Person, welche mich ursprünglich um den Crack bat, nicht mehr gemeldet, seid ich ihr eine gecrackte Version zum testen zugeschickt habe. Es ist also nicht garantiert, dass die hier gepostete Version funktioniert, ich freue mich allerdings über jedes Feedback ;-)

Des weiteren hat sich der Coder des Bots zurückgezogen und wird dementsprechend auch keine Updates mehr herrausbringen. So ist durch diesen Crack auch kein Schaden entstanden :)

Zurück zum Bot: Nach dem unpacken des Crypto-Obfuscators mit de4dot 2.0.3 gab 2 Features gab es zu patchen. Das erste Feature ist ein Anti-VM Mechanismus, welcher es nicht erlaubt dass der Bot unter einer virtuellen Maschine gestartet wird. Der Check dazu befindet sich gleich im Anfang nahe des EPs:

if (Class3.smethod_4())
{
MessageBox.Show("WarBot is running on a virtual computer. Please run WarBot on a real PC.", "WarBot - Error", MessageBoxButtons.OK, MessageBoxIcon.Exclamation);
return;
}

smethod4 prüft dabei einfach, ob die DLL “SbieDll.dll” geladen ist. Das scheint wohl in jedem Prozess auf einer VM der Fall zu sein.

Härter wurde es beim Premium-Key-Check: Eine POST-Request wird an den Server geschickt und im Anschluss das Resultat abgefragt. Das interessante dabei ist, dass der POST-Wert XOR-Verschlüsselt wird, dabei ist der XOR-Key das letzte Byte (= 2 ASCII Zeichen) im Post String. Nach ein paar Security-Checks ist mir aufgefallen, dass zwar alles schön Escaped wird, aber der String dann trotzdem nochmal vom PHP Script weiterverarbeitet. Das Resultat bei einer geraden Länge des Keys in einem MySQL Error. Zudem mag es addslashes nicht, wenn als POST-Wert ein Array übergeben wird, eine Full Path Disclause ist die Folge…

Programmierer sind Faul, Reverser sind fauler. Daher wurde jeweils die Methode zum Servercheck ganz rausgepatched, so dass immer True zurückgeliefert wird. Des weiteren ist der Update-Check ebenfalls rausgefallen, ich weiß also nicht wie lange die Version noch geht :)

Das Warrock-Protokoll wurde von dem Coder so ziemlich komplett reversed, wie er u.a. in diesem Sniffer beschrieben hat. Diese Art, Pakete zu verschicken finden sich daher auch im Bot. Mein Respekt dafür!

Screenshot:

Download:

WarBot Cracked (258)

Greez Easy

3 people like this post.
Unlike
2013
01/20
KATEGORIE
C#/C++
Gamehacking
RE
Security
Kommentar schreiben

  1. Noch keine Kommentare vorhanden.

  1. Noch keine TrackBacks.


vier × 1 =