Цитата:
Сообщение от VORON
скажите какие логи нужны! я дам!
|
давай попробуем отследить, для начала, когда второй байт ксора с 6D меняется на 6C.Сделай лог сидя юзая рапид шот, чтобы 2 раза был переход с 6D на 6C(хотя там неверно еще ValidatePosition вылезет, но все равно попробуй).
Йоптвоюмать!!! Гмм что-то все-таки вырисовывается =) взял свою разборку(которая подлиннее), решил проверить, как меняются первые 2 байта ксора, интересная весч получилась:
Код:
18-F2 0000 3EE3 5487
>69-6D 0000 1E-DC 0000 28009
71-9F 0000 203F 5487 +12
>75-6D 0000 7D-B1 0000 28021
04-F2 0000 5D8E 5487 +26
>99-6D 0000 1E-DC 0000 28057
9D-9F 0000 4352 5487 -44
>6D-6D 0000 7D-B1 0000 28013
F0-F2 0000 3EE3 5487 +12
>79-6D 0000 1E-DC 0000 28025
89-9F 0000 203F 5487 -36
>55-6D 0000 7D-B1 0000 27989
DC-F2 0000 5D8E 5487 +20
>69-6D 0000 1E-DC 0000 28009
B5-9F 0000 4352 5487 +20
>7D-6D 0000 7D-B1 0000 28029
C8-F2 0000 3EE3 5487 -20
>69-6D 0000 1E-DC 0000 28009
A1-9F 0000 203F 5487 -84
>15-6D 0000 7D-B1 0000 27925
B4-F2 0000 5D8E 5487 +100
>79-6D 0000 1E-DC 0000 28025
CD-9F 0000 4352 5487 -12
>6D-6D 0000 7D-B1 0000 28013
A0-F2 0000 3EE3 5487 -20
>59-6D 0000 1E-DC 0000 27993
F9-9F 0000 203F 5487 +28
>75-6D 0000 7D-B1 0000 28021
8C-F2 0000 5D8E 5487 -12
>69-6D 0000 1E-DC 0000 28009
E5-9F 0000 4352 5487 -204
>9D-6C 0000 7D-B1 0000 27805
78-F3 0000 3EE3 5487 +204
>69-6D 0000 1E-DC 0000 28009
11-9E 0000 203F 5487 +12
>75-6D 0000 7D-B1 0000 28021
64-F3 0000 5D8E 5487 -28
>59-6D 0000 1E-DC 0000 27993
3D-9E 0000 4352 5487 +20
>6D-6D 0000 7D-B1 0000 28013
50-F3 0000 3EE3 5487 +12
>79-6D 0000 1E-DC 0000 28025
29-9E 0000 203F 5487 -100
>15-6D 0000 7D-B1 0000 27925
3C-F3 0000 5D8E 5487 +84
>69-6D 0000 1E-DC 0000 28009
55-9E 0000 4352 5487 +20
>7D-6D 0000 7D-B1 0000 28029
28-F3 0000 3EE3 5487 -20
>69-6D 0000 1E-DC 0000 28009
41-9E 0000 203F 5487 -20
>55-6D 0000 7D-B1 0000 27989
14-F3 0000 5D8E 5487
так вот, > обозначен ксор ключа,правый столбик - ХексТуИнт первых 2х байтов ксора,числа со знаком - разница между 2мя десятичными значениями. А теперь фишка: там где 2й байт меняется с 6D на 6C там происходит смена знака и дальше цифры(+\-) идут как зеркальное отображение предыдущего ряда:
до 6C:
(начало лога)+12+26-44+12-36(вот отсюда внимание) ---->
-------------> +20+20-20-84+100-12-20+28-12+204 -------->
(здесь 6С)
(конец лога)-20-20+20+84-100+12+20-28+12-204 <-------
воть такие пирожки с котятами, то есть 6C - это типа смена знака функции на противоположный ... что еще больше говорит в пользу того, что нужен лог с 2мя переходами на 6C. Видимо, когда значение функции переваливает за определенное число (ПРИМЕРНО 200) то приходится менять знак на противоположный и юзать обратную функцию, типа того. Пока все.
Идем дальше, решил взять первый лог(покороче который):
Код:
A1-4F 0000 1C-5A 5487
>75-6D 0000 0D-1D 0000 28021
D4-22 0000 11-47 5487 -28
>59-6D 0000 6E-70 0000 27993
8D-4F 0000 7F-37 5487 +20
>6D-6D 0000 0D-1D 0000 28013
E0-22 0000 72-2A 5487 +12
>79-6D 0000 6E-70 0000 28025
99-4F 0000 1C-5A 5487 +28
>95-6C 0000 0D-1D 0000 28053
0C-23 0000 11-47 5487 -44
>69-6D 0000 6E-70 0000 28009
65-4E 0000 7F-37 5487 +20
>7D-6D 0000 0D-1D 0000 28029
18-23 0000 72-2A 5487 -20
>69-6D 0000 6E-70 0000 28009
71-4E 0000 1C-5A 5487 -20
>55-6D 0000 0D-1D 0000 27989
24-23 0000 11-47 5487 +36
>79-6D 0000 6E-70 0000 28025
5D-4E 0000 7F-37 5487
================================================== =======| (тут 6С)
Последовательность:===================(конец)+36-20-20+20-44+28+12+20-28(начало)
походит на часть предыдущей цепочкми:(конец лога)-20-20+20+84-100+12+20-28+12-204 <-------
куски похожи, но где 6С проскакивает 2 числа поменялись +84 на -44 и -100 на +28, значит 6С не обязательно изменяет знак последовательности, а фиг знает что и для чего, хотя раз последовательность походит, можно говорить о том, что используется, одна, конкретная функция всегда.
Хмм еще мысля, посмотрел на логи, примерно понял,что когда в цепочке (+\-) в результате сложения\вычитания второй байт меняется на 6С, то след раз мы берем число не из цепочки, а уравниваем так, чтобы след 2й байт был 6D.Но цепочка все равно постоянная, полюбому, VORON давай баааальшой кусочище лога с 2мя "переходами 6С" ща мы его :x
Хотя не, фигня в последнем абзаце, сначала мы берем число не из цепочки, прибавляем, получаем 6С, потом уравниваем опять до 6D, а вот когда мы это делаем, хз, надо понять...
В общем еще одна мысля есть, как определить зависимость от размера пакета, если таковая есть, пакет Say, сказать в общий чат n'ое количество одинаковых символов, и смотреть как изменяется шифрация, но , я думаю, это уже после того, как сам алгоритм поймем.
З.Ы. Пост дописываю в течении дня, поэтому возможно некоторое смысловое рассогласование :pardon: .