KO Developers

Go Back   KO Developers > Mini KO Forum (Yardım & İstek) > Genel Yardım > Çözülen Konular


Çözülen Konular Forum üyelerimiz tarafından çözüme kavuşturulmuş konular.


Beğeni Geçmişi2Beğeniler
  • 1 Post By infiltrate
  • 1 Post By infiltrate

 
LinkBack Seçenekler Stil
Okunmamış 25 Eylül 2017, 11:10   #1 (permalink)
Çalışkan Üye

infiltrate - ait Kullanıcı Resmi (Avatar)


Üyelik tarihi: 08 Eylül 2017
Bulunduğu yer: Istanbul
Mesajlar: 176[+]
Kredi Bakiyeniz: 7.120
Ettiği teşekkür sayısı: 83
17 Mesaja 27 Kez Teşekkür Aldı
Kullanıcı Envanteri İsim Değiştirme (kalıcı)

Standart Launcher'siz KnightOnline.exe başlatma hakkında.

Kendimi RCE konularında geliştirmek için böyle denemeler yapıyorum.Unpacking işinde iyi olmadığım için Launcher üzerinde denemelere başladım.KnightOnline.exe'yi nasıl çalıştırdığına bakmak için ShellExecute ve CreateProcess api'lerine breakpoint koyarak baktım.

Kod:
HINSTANCE ShellExecute(
  _In_opt_ HWND    hwnd,
  _In_opt_ LPCTSTR lpOperation,
  _In_     LPCTSTR lpFile,
  _In_opt_ LPCTSTR lpParameters,
  _In_opt_ LPCTSTR lpDirectory,
  _In_     INT     nShowCmd
);
Run ettiğimde ShellExecute'deki breakpointte duruyor.



Stack'de bu parametreleri görüyorum.Aynı parametreler ile C++'da yazdığım bir console app'de ShellExecute api'sine bu parametreleri geçiyorum fakat "Launcherden çalıştırın" hatası veriyor.

LPCTSTR lpParameters parametresine geçilen 14600 parametresi sürekli değişiyor.Acaba bu yüzden mi bu hatayı alıyorum?Yeni olduğum için o değerin nerede/nasıl üretildiğini takip edemiyorum.

@[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...] @[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...] @[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...] @[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]
(Etiketlemem sıkıntı ise; k.bakmayın.)

Yardımlar için şimdiden teşekkürler.
COBB bunu beğendi
infiltrate isimli Üye şimdilik offline konumundadır  
Okunmamış 25 Eylül 2017, 13:24   #2 (permalink)

PENTAGRAM - ait Kullanıcı Resmi (Avatar)


Üyelik tarihi: 04 Temmuz 2017
Mesajlar: 363[+]
Ettiği teşekkür sayısı: 83
178 Mesaja 614 Kez Teşekkür Aldı
Kullanıcı Envanteri Renkli konu başlığı (aylık)Kişisel Rütbe Şekillendirme (kalıcı)İsim Şekillendirme (kalıcı)Sabit Konu (Haftalık)Server Tanıtımı Alt Forum (Aylık)

Standart

Evet, o yüzden alıyorsun. Yapman gereken şey, 246E148 konumuna memory write bp koyup, hangi fonksiyon(lar) bu adresteki veriyi değiştiriyor onu takip etmelisin. Bulduğunda, parametrenin neye göre üretildiğini fonksiyondan çıkartabilirsin. Tahminimce zaman bazlı bir değer olabilir.

__________________

İmzalardaki resim ve linkleri görebilmeniz için mesaj sayınız 10 veya daha fazla olmalı. Şu anda 0 mesajınız var.

'You' are only your limit.
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...] |
İmzalardaki resim ve linkleri görebilmeniz için mesaj sayınız 10 veya daha fazla olmalı. Şu anda 0 mesajınız var.
| skype | [Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]
PENTAGRAM isimli Üye şimdilik offline konumundadır  
PENTAGRAM Üyemize Teşekkür Edenler:
infiltrate (25 Eylül 2017)
Okunmamış 25 Eylül 2017, 13:30   #3 (permalink)
Çalışkan Üye

infiltrate - ait Kullanıcı Resmi (Avatar)


Üyelik tarihi: 08 Eylül 2017
Bulunduğu yer: Istanbul
Mesajlar: 176[+]
Kredi Bakiyeniz: 7.120
Ettiği teşekkür sayısı: 83
17 Mesaja 27 Kez Teşekkür Aldı
Kullanıcı Envanteri İsim Değiştirme (kalıcı)

Standart

Alıntı:
PENTAGRAM Nickli Üyeden Alıntı Mesajı göster
Evet, o yüzden alıyorsun. Yapman gereken şey, 246E148 konumuna memory write bp koyup, hangi fonksiyon(lar) bu adresteki veriyi değiştiriyor onu takip etmelisin. Bulduğunda, parametrenin neye göre üretildiğini fonksiyondan çıkartabilirsin. Tahminimce zaman bazlı bir değer olabilir.
memory write bp koysam bile değer üretildiği için bir işlevi olmuyor.yeniden debug etsem o adress değişiyor.Ne yapabilirim başka?
infiltrate isimli Üye şimdilik offline konumundadır  
Okunmamış 25 Eylül 2017, 14:11   #4 (permalink)
Çalışkan Üye

infiltrate - ait Kullanıcı Resmi (Avatar)


Üyelik tarihi: 08 Eylül 2017
Bulunduğu yer: Istanbul
Mesajlar: 176[+]
Kredi Bakiyeniz: 7.120
Ettiği teşekkür sayısı: 83
17 Mesaja 27 Kez Teşekkür Aldı
Kullanıcı Envanteri İsim Değiştirme (kalıcı)

Standart

O değişen değer launcherin processId'si onu buldum.Fakat hala çalıştıramıyorum Başka bir fikri olan var mı?
infiltrate isimli Üye şimdilik offline konumundadır  
Okunmamış 25 Eylül 2017, 14:17   #5 (permalink)
HKS
Çalışkan Üye

HKS - ait Kullanıcı Resmi (Avatar)


Üyelik tarihi: 13 Temmuz 2017
Bulunduğu yer: 41.6271982,27.5074658
Mesajlar: 194[+]
Kredi Bakiyeniz: 9.767
Ettiği teşekkür sayısı: 123
43 Mesaja 216 Kez Teşekkür Aldı

Standart

Örnek: ShellExecute('KnightOnline.exe E03ED890-8E94-4B42-B1C5-3CDA401AA9C2')

Yaparak başlatabilirsin
HKS isimli Üye şimdilik offline konumundadır  
HKS Üyemize Teşekkür Edenler:
infiltrate (25 Eylül 2017)
Okunmamış 25 Eylül 2017, 14:26   #6 (permalink)
Çalışkan Üye

infiltrate - ait Kullanıcı Resmi (Avatar)


Üyelik tarihi: 08 Eylül 2017
Bulunduğu yer: Istanbul
Mesajlar: 176[+]
Kredi Bakiyeniz: 7.120
Ettiği teşekkür sayısı: 83
17 Mesaja 27 Kez Teşekkür Aldı
Kullanıcı Envanteri İsim Değiştirme (kalıcı)

Standart

Alıntı:
HKS Nickli Üyeden Alıntı Mesajı göster
Örnek: ShellExecute('KnightOnline.exe E03ED890-8E94-4B42-B1C5-3CDA401AA9C2')

Yaparak başlatabilirsin
Doğru cevap, fakat ben neden kendim bulamadım bunuHerhalde KnightOnline.exe'nin içinde mevcut bu.Ben Launcherin nasıl call ettiğine bakıp, call ediyorum.Fakat KnightOnline.exe'nin içinde onu call eden process'in doğruluğunu kontrol eden başka yapılar var sanırım.
HKS bunu beğendi
infiltrate isimli Üye şimdilik offline konumundadır  
Okunmamış 25 Eylül 2017, 15:24   #7 (permalink)
Çalışkan Üye

infiltrate - ait Kullanıcı Resmi (Avatar)


Üyelik tarihi: 08 Eylül 2017
Bulunduğu yer: Istanbul
Mesajlar: 176[+]
Kredi Bakiyeniz: 7.120
Ettiği teşekkür sayısı: 83
17 Mesaja 27 Kez Teşekkür Aldı
Kullanıcı Envanteri İsim Değiştirme (kalıcı)

Standart



Unpack edilmiş bir KnightOnline.exe'yi static analiz için açtım ve gördüğüm kadarıyla je knightonline.9ADA9A ile kontrol ediliyor.Eğer eşit değil ise Launcher'den çalıştırın hatası veriyor.Fakat static analiz ile bu değere ulaşmam zor gibi.
infiltrate isimli Üye şimdilik offline konumundadır  
 


Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)
 
Seçenekler
Stil

Geçerli forum için yetkileriniz
Konu Acma Yetkiniz Yok
Cevap Yazma Yetkiniz Yok
Eklenti Yükleme Yetkiniz Yok
Mesajınızı Değiştirme Yetkiniz Yok

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodu Kapalı
Trackbacks are Açık
Pingbacks are Açık
Refbacks are Açık


Benzer Konular
Konu Konuyu Başlatan Forum Cevaplar Son Mesaj
[PSD] Launcher Tasarımı CENGLYY Grafik Tasarım 45 11 Aralık 2018 02:59
Launcher Start Sorunu aakinci Çözülen Konular 12 01 Eylül 2017 11:38
EventRoom ile Attack Başlatma CENGLYY Çözülen Konular 3 25 Ağustos 2017 12:31
Tüm versiyonlar Gm Komutası bdw chaos jr Başlatma KiraAmora61 Geliştirme 8 21 Ağustos 2017 18:51
Remove "execute via launcher"? zudokuxd10 Çözülen Konular 0 31 Temmuz 2017 07:21


Forum Site Hakkında
vBulletin® tarafından desteklenmektedir Versiyon 3.8.4
Telif hakkı ©2000 - 2018, Jelsoft Enterprises Ltd.

Sitemizdeki içerikler kopyalanmaya karşı DMCA ile korunmaktadır. DMCA.com Protection Status
İçerik sağlayıcı paylaşım sitelerinden biri olan kodevelopers.com Forum Adresimizde T.C.K 20.ci Madde ve 5651 Sayılı Kanun'un 4.cü maddesinin (2).ci fıkrasına göre TÜM ÜYELERİMİZ yaptıkları paylaşımlardan sorumludur. kodevelopers.com hakkında yapılacak tüm hukuksal Şikayetler için admin@kodevelopers.com Mail adresimiz üzerinden iletişime geçilmesi halinde ilgili kanunlar ve yönetmelikler çerçevesinde en geç 1 (Bir) Hafta içerisinde kodevelopers.com yönetimi olarak tarafımızdan gereken işlemler yapılacak ve Avukatımız size dönüş yapacaktır.
© 2017 KO Developers ( by NERONLINEWORLD 2011/2013 )
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175

Search Engine Friendly URLs by vBSEO 3.6.0