depende del diseño del foro, los foros prediseñados normalmente guardan la contraseña como un hash, pero si es diseñado por el, hay probabilidad que pueda estar en texto plano, es dificil de saber

sin querer sonar antipatico... aquí tienes php.net en español con todas las funciones de strings

http://php.net/manual/es/ref.strings.php

lee las descripciones y si alguna parece que te sirve adentro está bien explicada y con ejemplos

aunque no parece un ddos... es una petición cada varios segundos... debes tener miles de links y los servidores deben estar escaneando el site para darte un rank, un ddos lo reconocerías porque serían miles de peticiones por segundo a una misma página, no vale la pena perder tiempo revisando diferentes paginas... dejalo que en un par de días pasará, por otro lado no deben consumir casi conexión, es como si un usuario entrara cada 5 segundos...

puede ser casi cualquier cosa... incluso puede que sea así mismo...
solo te puedo decir que no es un hash convencional

vi el video... fue tan lammer que casi me da cáncer... por que usar un icono raro que cualquiera se daría cuenta que es raro (especialmente cuando el icono de las imágenes es la imagen en si misma), en lugar de convertir la imagen en un .ico y listo -.-

no lo niego ^^ pero como humanos nuestro objetivo debe ser superarnos especialmente en aquello que es nuestra única conexión por este medio...

Si, se puede hacer un hook o injeccion de dll, ahi las instrucciones van directo al codigo, no hablamos de "hacer click" sino dar instruccion de "caminar a"

teóricamente solo el .exe

que tal si intentas instalando lampp o xampp en lugar del apache solo, este pack trae todo lo necesario para un servidor web incluyendo una pagina de pruebas que es lo primero que accesas al colocar la ip (en lugar del "it works")

qué so tienes en la vm(maquina virtual)?

has intentado con packs como xampp?