Щас надо двигатся из другова направления имхо! По логам вы определили что шифрование - обычный ксор, это много упрощает. Теперь надо найти этот ксор в библиотеке. как это сделать? посматреть чем упакованы все дллки, возможно админы так попытются спрятать алгоритм. Если нет левых беблиотек, то можно предположить что админы в функции шифрования всеголиш поменяли пару операторов (Xor OR AND SHR SHL и т.п). Алгоритмы вроде бы лежат в core.dll.. как бы там нибыло, берем дебагер, загружаем la2.exe и начинаем раставлять бряки, я бы первым делом поставил именно на core.dll. Важным моментом является и наверно самым сложным найти буфер пакетов входящих/исходящих, а дальше уже сматреть что куда идет, первыми функциями должны быть именно де/шифрация. Вот такие мысли
|