VAC Bypass


Diğer Popüler FPS Oyun Hile & Hack    FPS Oyun hileleri,FPS Oyun Hilesi,FPS Oyun hile,FPS Oyun hack,FPS Oyun oyun hilesi,FPS Oyun hacks,FPS Oyun Hile 2017,FPS Oyun hileleri 2017

Yazar: ErdemMH    57 Yorum    2453 Görüntüleme
  • Derecelendirme: 0/5 - 0 oy

Paylaşım Tarihi: 20.01.2016, 21:36:09 #1
ErdemMH .
Süper Üye
Status: Çevrimdışı Yorumları:650 Konuları:123 Kayıt Tarihi:10.12.2015 Rep Puanı: 224

Arkadaşlar denemeye imkanım olmadı ama VAC Bypass kodları denerseniz sevinirim olursa "+" ları beklerim Smile

[HIDE]
DecryptStr.py

Kod:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
# Name: DecryptStr.py
# Desc: Decrypt an encrypted VAC3 string at cursor and rename all the refs to it (point the cursor to the start of raw encrypted string data)
# Author: c5 

import idautils
import idaapi

xorKey = 0x55

# Get cursor address
ea = ScreenEA()

isValid = True
#verify if this could actually be a string
if Byte(ea) == xorKey :
	Message("\nError, invalid string\n")
	isValid = False
	
strLen = Byte(ea) ^ xorKey

if strLen > 48 or strLen <= 0 :
	Message("\nError, invalid string\n")
	isValid = False
	
if isValid == True :
	print("string address: %X" % ea)

	#decrypt string
	strPlaintext = ""
	for i in range(1, strLen + 1) :
		strPlaintext += (chr(Byte(ea + i) ^ xorKey))
		xorKey = Byte(ea + i)
		
	print("string: %s" % strPlaintext)

	#rename string
	MakeName(ea, "_str_" + strPlaintext)

	#find all refsto the string and rename them
	refCount = 0
	for xref in XrefsTo(ea, 0) :
		refCount += 1
		MakeName(xref.***, "str_" + strPlaintext + str(refCount))

DecryptImportStringtable.py

Kod:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
# Name: DecryptImportStringtable.py
# Desc: Decrypt all encrypted VAC3 strings in a table pointed to by cursor and rename references to them (point cursor at encrypted string table first element (table with array of pointers to raw encrpyted strings))
# Author: c5 

import idautils
import idaapi

mainXorKey = 0x55

def DecryptStrAndRenameRefs(stringStart) :
	xorKey = mainXorKey
	ea = stringStart
	
	#verify if this could actually be a string
	if Byte(ea) == xorKey :
		return 0
		
	strLen = Byte(ea) ^ xorKey
	
	if strLen > 48 or strLen <= 0 :
		return 0
			
	#decrypt string
	strPlaintext = ""
	for i in range(1, strLen + 1) :
		strPlaintext += (chr(Byte(ea + i) ^ xorKey))
		xorKey = Byte(ea + i)
		
	#rename string
	MakeName(ea, "_str_" + strPlaintext)
	
	#find all refsto the string and rename them
	refCount = 0
	for xref in XrefsTo(ea, 0) :
		refCount += 1
		MakeName(xref.***, "str_" + strPlaintext + str(refCount))
	return 1

		
# Get cursor address
tableStart = ScreenEA()

tableItemsCount = 0
currentTableItem = tableStart
while (tableItemsCount < 128) : #some sanity
	if Dword(currentTableItem) == 0 :
		break
	
	if (DecryptStrAndRenameRefs(Dword(currentTableItem)) == 0) :
		break
	
	currentTableItem += 4
	tableItemsCount += 1

print("\nTable renamed (%i strings)\n" % tableItemsCount)


FixMainImportTables.py

Kod:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
# Name: FixMainImportTables.py
# Desc: Finds all main imported functions loaded during initialization and renames pointers to them. If a function is "ref'ed to", a __ endix is appended to the name (that usually means this function is directly called)
# Author: c5 

import idautils
import idaapi

start = 0x10001000
end = 0x10060000
		
mainXorKey = 0x55
loadModuleImportsPat1 = [0x56, 0x8B, 0x74, 0x24, 0x0C, 0x83, 0x3E, 0x00, 0x75, 0x04, 0x32, 0xC0, 0x5E, 0xC3]
loadModuleImportsMask1 = "xxxxxxxxx?xxxx"	

loadModuleImportsPat2 = [0x55, 0x8B, 0xEC, 0x53, 0x8B, 0x5D, 0x0C, 0x8B, 0x03, 0x56, 0x33, 0xF6, 0x3B, 0xC6, 0x75, 0x04, 0x32, 0xC0]
loadModuleImportsMask2 = "xxxxxxxxxxxxxxx?xx"	


def DecryptStr(stringStart) :
	xorKey = mainXorKey
	ea = stringStart
	
	#verify if this could actually be a string
	if Byte(ea) == xorKey :
		return 0
		
	strLen = Byte(ea) ^ xorKey
	
	if strLen > 48 or strLen <= 0 :
		return 0
			
	#decrypt string
	strPlaintext = ""
	for i in range(1, strLen + 1) :
		strPlaintext += (chr(Byte(ea + i) ^ xorKey))
		xorKey = Byte(ea + i)
		
	return strPlaintext
	
def findPattern(current, pat, mask) :
	Index = 0
	for x in pat :
		if mask[Index] == "?" :
			Index += 1
			continue
		if x != Byte(current + Index) :
			return 0
		else :
			Index += 1
	return current
	
# find LoadModuleImports
n = start
found = False
while n < end :
	if findPattern(n, loadModuleImportsPat1, loadModuleImportsMask1) != 0 :
		print("\nLoadModuleImports: 0x%x" % n)
		found = True
		break
	n += 1

if (found == False) :
	n = start
	while n < end :
		if findPattern(n, loadModuleImportsPat2, loadModuleImportsMask2) != 0 :
			print("\nLoadModuleImports: 0x%x" % n)
			found = True
			break
		n += 1
	
loadModImports = n	
funcNamesPatched = 0
if found == True :
	for ref in CodeRefsTo(loadModImports, False):
		# 68 C8 EF 00 10      push    offset str_ntdll_dll1
		# 68 1C 45 41 10      push    offset hNtdll
		# E8 AE FC FF FF      call    LoadModuleImports	
		stringTableStart = Dword(ref - 9)
		funcTableStart = Dword(ref - 4)
		
		print("Module:    %s " % DecryptStr(Dword(stringTableStart)))
		print("Functions: %X " % funcTableStart)
		# iterate current stringtable
		currentItemCount = 0		
		currentStringTableItem = stringTableStart + 4 #first item is handle to module
		while (currentItemCount < 128) :
			if Dword(currentStringTableItem) == 0 :
				break
			
			decryptedFuncName = DecryptStr(Dword(currentStringTableItem))
			if (decryptedFuncName == 0) :
				break
			
			# rename functable item
			currentFuncPtrItem = funcTableStart + 4 + (4 * currentItemCount)
			
			#print("%X " % currentFuncPtrItem)
			#print("%s " % decryptedFuncName)
			MakeDword(currentFuncPtrItem)
			
			funcName = "pFn" + decryptedFuncName

			refCount = 0
			for xref in XrefsTo(currentFuncPtrItem, 0) :
				refCount += 1
				
			if refCount > 0 :
				funcName += "__"
			
			MakeName(currentFuncPtrItem, funcName)
			
			# next iteration
			currentStringTableItem += 4
			currentItemCount += 1
			
		funcNamesPatched += currentItemCount
	print("%i function pointers renamed\n" % funcNamesPatched)
else :
	print("Failed\n")


[/HIDE]

Son Düzenleme: 25.01.2016, 18:31:28, Düzenleyen: ErdemMH.

Kullanıcı İmzası
Resim http://49.media.tumblr.com/a410c087590891fc6b1a319ada18acba/tumblr_mwh8fc9NX81s0twoeo1_r3_400.gif

Resim http://i.hizliresim.com/L15Y7b.jpg

Paylaşım Tarihi: 20.01.2016, 21:44:45 #2
ezgi3231 Ağabey
Onaylı Uye
Status: Çevrimdışı Yorumları:216 Konuları:10 Kayıt Tarihi:22.12.2015 Rep Puanı: -4

bakalım nasıl bişey

Paylaşım Tarihi: 20.01.2016, 21:46:34 #3
kotuboy Çömez
Kayıtlı Üye
Status: Çevrimdışı Yorumları:4 Konuları:0 Kayıt Tarihi:16.01.2016 Rep Puanı: 0

ne işe yarıyo bu

Paylaşım Tarihi: 20.01.2016, 21:48:02 #4
Mrbest1 Yeğen
Kayıtlı Üye
Status: Çevrimdışı Yorumları:22 Konuları:10 Kayıt Tarihi:16.12.2015 Rep Puanı: 0

bakalım neymiş

Paylaşım Tarihi: 20.01.2016, 21:53:30 #5
sirac123 Cezalı Üye
Cezalı Üye
Status: Çevrimdışı Yorumları:10 Konuları:0 Kayıt Tarihi:01.01.2016

eyvallah

Paylaşım Tarihi: 20.01.2016, 21:54:56 #6
utkuablaktr Yeğen
Kayıtlı Üye
Status: Çevrimdışı Yorumları:19 Konuları:1 Kayıt Tarihi:14.01.2016 Rep Puanı: 0

bakak hele

Paylaşım Tarihi: 21.01.2016, 01:34:03 #7
ErdemMH .
Süper Üye
Status: Çevrimdışı Yorumları:650 Konuları:123 Kayıt Tarihi:10.12.2015 Rep Puanı: 224

Günceldir.

Kullanıcı İmzası
Resim http://49.media.tumblr.com/a410c087590891fc6b1a319ada18acba/tumblr_mwh8fc9NX81s0twoeo1_r3_400.gif

Resim http://i.hizliresim.com/L15Y7b.jpg

Paylaşım Tarihi: 21.01.2016, 14:57:59 #8
ErdemMH .
Süper Üye
Status: Çevrimdışı Yorumları:650 Konuları:123 Kayıt Tarihi:10.12.2015 Rep Puanı: 224

Güncel.

Kullanıcı İmzası
Resim http://49.media.tumblr.com/a410c087590891fc6b1a319ada18acba/tumblr_mwh8fc9NX81s0twoeo1_r3_400.gif

Resim http://i.hizliresim.com/L15Y7b.jpg










Konuyu Okuyanlar:
1 Ziyaretçi


MemoryHackers