Buenas gente, empiezo a publicar muchos de los clientes que encontré, quiero arrancar con este porque como todos saben el main tiene multiples detecciones de falsos positivos, la cuestion es que afortunadamente logré reducir dichas detecciones al restaurar el Entry Point del main a su estado original (unpacked) y reparé lo que en teoría debería tener dicho main, lo tengo testeado y funciona bien, tambien le metí el parche para los corrales de Stadium y para poder pasar al corral grande en donde teoricamente se juega el Battle Soccer (sí es que este funcionase con los server files que hay) xD y tambien le metí el BMD fixeado de las Botas: HDK_BootMale05.bmd, que serían las del Set: Sunlight del Dark Lord, para que se vean con su Textura de los Clientes S4 (bug de webzen en el cliente S2 GMO y hasta llegar a los S4 mas o menos lo repararon). el bug visual de dichas botas las hacía verse así:

Botas Sunlight BUG (que vienen con el Cliente GMO S2 1.02c Original):



Botas Sunlight FIX (que vienen en cualquier Cliente S4 o superior):



Este BUG es muy simple de explicar, lo que sucedió fué que al parecer la Webzen le dió el mismo nombre a la Textura de las botas Sunlight, que a las de las Botas: Great Dragon, jaja por eso se ven así. y se dieron cuenta de este error mucho, mucho tiempo despues por eso fue corregido recien en clientes S4.

En este caso les dejo el cliente con el BMD que leé el nombre de la textura correcta para las Sunlight Boots. otra modificacion que le hice fue agregar en lineas del: NpcName(Eng).txt el ID: 42 que por logica corresponde al nombre del: Great Dragon, que vendría a ser el Dragon Rojo Gigante (tambien llamado por algunos como: Giant Dragon) el cual, siempre tiene el nombre en Koreano porque como NO estaba definido su nombre en el script, el main automaticamente setea el nombre que tiene puesto por defecto y como el Cliente de MU originalmente es Koreano los nombres aparecían con caracteres raros para este dragon.

NOTA: El dragon rojo de las invasiones es el: "Chiquito" el que tiene el MonsterID: 44 (y este sí proyecto Sombra en el piso de los mapas).

posiblemente lo de la: "NO Sombra" en el Dragon Rojo mas grande, sea otro Bug del Cliente de la Webzen, relacionado con la clase BMD, quizas esta no soporta modelos 3D tan grandes o bien simplemente olvidaron incluirlo en el codigo de las RenderShadows :P en fin

y por ultimo el main que corregí es el que había aportado originalmente: WingsofHell (un coder viejo) en otro foro... porque mi desempaquetado tarda mucho en terminar de cargar en Olly, con lo cual adicionalmente tambien removí el Fix Limite de Items y Texturas hechos directamente en la memoria del main, ya que quería lograr 1 main lo menos toqueteado posible y ademas por DLL podemos extender el limite de carga de Items y Texturas mucho mas que en esa epoca (el limite que tenía era para: 80 ID's en cada categoría de las armas). pero ahora esta de nuevo como viene de fabrica, es decir completamente DEFAULT.

El main del cliente está crackeado, eso quiere decir que se lo puede usar con cualquier archivo del servidor para S2 GMO, pero la fecha de la ultima modificacion hecha al main (usualmente la ultima en la que se lo modificó con cualquier programa). es la misma que la que viene en el Instalador Oficial de GMO S2... como es esto posible sí yo lo altere ?, bueno porque al terminar de alterar el main intencionalmente tambien altere el: DateTime Stamp que sería la fecha en la que fué creado, para que tenga exactamente la misma que viene de fabrica con el main empaquetado.

pero antes de hacer eso modifiqué (con pentium tools porque con editor hexa-decimal no se puede) version,serial e IP y restauré las que: "En teoria" serían las originales.

en fin xD mucho splash de mi parte pero quería dejarles toda la info sobre este Aporte, ahora bien a continuacion voy a dejarles el Terrain7.att fixed para Stadium + Corrales (lado servidor). que esta sincronizado con el EncTerrain7.att lado cliente. + la info de version,serial e IP que trae el main para que la cambien (igualmente necesitan usar Pentium Tools). ah y por ultimo me olvidaba de decir que tambien removi el hook de 1 DLL que venía con el main que originalmente aportó: WingsofHell. llamada: Main.dll, no estoy seguro de para que es que servía dicha DLL pero creo que era algo así como 1 especie de Anti-hack viejo. (el cual ya no nos sirve). en fin

Datos del Main:

IP Address:   connect.muonline.com
Version:           1.02.03 - 22548
Serial:      k5lEopalwaudns8h

y finalmente antes de dejarles el Link de descarga del Cliente completo, quiero que observen por ustedes mismos lo: "Idiota" que son las detecciones de virus hechas por paginas como: Virus Total. para este experimento lo que hice fué cambiarle el puerto de coneccion por defecto del main: (44405) por otro digamos: (47777) con pentium tools, es decir, mismo main solo que con el puerto de coneccion cambiado (porque ?) bueno porque muchos anti-virus detectan como posible: "Amenaza" cualquier programa que se conecte con algun puerto de coneccion: 444 xD, esto que digo parece una completa: "Estupides" pero miren la diferencia entre las detecciones que hicieron los Anti-virus de: VirusTotal.com entre ambos main (uno con el puerto sin tocar, osea: 44405 y el que yo modifiqué por: 47777) y saquen ustedes sus propias conclusiones:

Prueba del main con puerto de coneccion con el ConnectServer modificado: (47777)
https://www.virustotal.com/gui/file/f8d312d8ffc8094b7a3f2ce802059c73b091d1fcb3b3916ed50e4a151db24cc2/detection

Prueba del main con puerto de coneccion con el ConnectServer normal/original: (44405)
https://www.virustotal.com/gui/file/36517a97f9e55b294ae71c637a4feabd105689e65ad32cf6aa0f161719f7e92b/detection

Claramente la diferencia es notoria no ? cuando el puerto de coneccion del main con el: ConnectServer del lado del servidor no incluye valores numericos como: "444" (al comienzo). el numero de detecciones baja a: 13, y cuando analiza el mismo main pero con puerto serie: "444XX" default, el numero de detecciones positivas asciende a: 20 XD

Claramente NO SE PUEDE CONFIAR EN 1 PAGINA COMO ESTA. LOS ANTI-VIRUS QUE DETECTAN AL MAIN COMO AMENAZA SON "TONTOS", SI YO QUE NO SOY HACKER PUEDO ENGAÑAR ASÍ A 7 ANTI-VIRUS, SOLO CAMBIANDO EL PUERTO DE CONECCION DEL MAIN, IMAGINENSE LO QUE PODRÍAN HACER HACKERS REALES :D

La conclusion es que si bien este main está desempaquetado y por ello es detectado como amenaza (ya que tiene 1 numero anormal de secciones virtuales en el producto del proceso de desempaquetado mismo). es que es completamente inofensivo. pero aún así descarguenlo y usenlo bajo su propio riesgo. Nadie acá los obliga :D

Link Cliente y Terrain para el Server corregido:



Creditos:

Webzen
WingsofHell
Nemesis

Brillante como siempre :D

Nemesis.. mis puntos:
1. por qué publicaste solo el cliente completo y no incluiste la corrección por separado de lo que se mencionó manito?
2. no entendí bien, mira.. así que incluso unpacked el Main todavía detecta 13 “vírus” de todos modos? es eso?
3. es posible que se haga más?

Nemesis.. mis puntos:
1. por qué publicaste solo el cliente completo y no incluiste la corrección por separado de lo que se mencionó manito?
2. no entendí bien, mira.. así que incluso unpacked el Main todavía detecta 13 “vírus” de todos modos? es eso?
3. es posible que se haga más?

1. porque lo creí inutil, y porque sí vos tomas el mismo main.exe con puerto serie (44405) que viene con el Cliente completo publicado por mi. y le cambias VOS MISMO el puerto de coneccion con Pentium Tools. por algun otro (obviamente siguiendo con la misma logica que yo apliqué de no usar: "444" como sucesion de numeros adelante). tendrías que obtener el mismo o casi el mismo resultado de parte de los analisis de Virus Total.com o no ? xD jaja pero llegado al caso de que esto no suceda así. (es decir que obtengas mas o menos numero de detecciones de dicha web). no quería ser yo: "Señalado" por decir cosas que falten a la verdad. es decir, hubieran dicho de mi que estoy mintiendo, de esta forma sí vos haces el mismo tipo de Experimento y los resultados varian de los mios, es aún mas factible que mi teoría sobre que: VirusTotal es 1 completo engaño es real. Ademas sí mirás las fechas de los analisis en virus total, debajo tenes los: "HASH" de cada archivo... al hacer 1 copia del mismo: "main.exe" aunque sea el mismo archivo, al ser 1 copia el HASH cambia, por eso es que virus total vuelve a analizar cada copia que vos hagas del mismo Ejecutable. con esto podes comprobar que son 2 copias del mismo archivo, solo mirá en los Resultados que dejé publicados en virus total, o siquiera vos mismo hacé la prueba.

2. El main solo presenta falsos positivos por causa de que fué desempaquetado, al ser desempaquetado la cantidad de secciones virtuales en el: "Header" o: "Encabezado" de cualquier Binario (o Ejecutable que es lo mismo). cambia deja de ser por defecto: 4, como es en el caso de cualquier ejecutable default, o bien 5 si fuese 1 ejecutable compilado con compiladores mas nuevos. sí te interesa mas el tema de las secciones virtuales y los PE Header de los Ejecutables, buscá en Google informacion sobre este tema referido a: ".data", ".rdata", ".text" y ".rsrc" que son los nombres que usualmente Visual Studio le asigna a las secciones virtuales de 1 ejecutable cualquiera al momento de linkearlo. (esto tiene mucho que ver con Cracking)

3. Bajar aún mas la cantidad de detecciones es posible sí se logra reconstruir completamente el archivo Ejecutable a su forma mas: "Fidedigna" similar a la que fué la original de fabrica, pero esto es 1 trabajo completamente tedioso y muy dificil de lograr, porque cuando tocas algo mal en la memoria del exe, luego ya no ejecuta y te sale ese cartelito de error sobre que NO es 1 aplicacion Win32 valida, no se sí alguna vez lo viste... eso pasa porque cuando el: "Empaquetador" o programa que se usó para proteger la memoria del Ejecutable crea la: "Copia Encriptada" del mismo. lo que hace es realojar muchas partes de la memoria y moverlas de formas aleatorias utilizando (luego) para su rapida localizacion durante el proceso de ejecucion del mismo varias: "Tablas" estas: "Tablas" cambian los valores de cada BYTE por 1 equivalente (segun la encriptacion). y cuando uno desempaqueta manualmente lo que se hace es hacer algo así como 1 pseudo-reconstruccion automatica de la: "IAT" es decir, se reconstruyen las tablas de memoria que anteriormente solo eran llamadas por el packer en el Ejecutable, pero como el proceso de Unpack no es nunca perfecto, indefectiblemente algunos bytes se pierden, y eh ahí el problema. A lo sumo se lo puede dejar: 99%, en terminos de porcentajes este main aún no está en un: 99% reconstruido así que en teoría se lo puede limpiar y reconstruir aún mas, así que sí la respuesta es que sí pero es dificil lograrlo y no corromper partes de la memoria esenciales para su funcionamiento en el proceso.

Gracias papucho !!!

Gracias papucho !!!

No hay problema, gracias a vos por la buena onda, mira este tema tiene un buen tiempo desde que lo creé, pero sí te interesa conseguir 1 main.exe que da menos cantidad de falsos-positivos importantes en: virustotal.com (al menos por ahora) en este otro tema (que hice aparte porque el main no es original, sino que fue vuelto a ser empaquetado de manera inofensiva con respecto a la memoria por mi):

https://tuservermu.com.ve/index.php?topic=42638.0

Podes fácilmente conseguirlo, ese main no necesita de ninguna de las: "DLL" originales para el manejo del: "Sonido y Música" en general en el cliente original. es decir, las tiene: "Añadidas" como parte de su memoria y por eso pesa mas, tuve que hacerlo de ese modo para quitar las detecciones: "Falso-positivas" que daban antivirus/antimalwares importantes como: Malwaresbytes y Microsoft Essentials (que son los que yo al menos creo son de los 2 mas usados por todas las personas en general).