Тема: ДЕШИФРУЕМ ТРАФИК
Показать сообщение отдельно
Старый 06.06.2008, 14:51   #9
Местный
 
Аватар для nezabudkin
 
Регистрация: 06.03.2008
Сообщений: 154
Сказал Спасибо: 46
Имеет 130 спасибок в 38 сообщенях
nezabudkin
По умолчанию А вот шифрование на моем серве!
После ряда обновлений, получил злобно зашифрованный трафик. Че делать ваще не знаю...

И так:

CryptInit: 00 01 C2 F5 11 18 01 00 00 00 01 00 00 00
тут все стандартно, ключик 4-х байтный C2 F5 11 18, естественно при каждом новом сеансе ключик меняется.

ксорим его на константу 82 93 1A 41
и получаем начальный ключик вида x1 x2 00 00 x3 x4 00 00
где
x1 = C2 xor 82
x2 = F5 xor 93
x3 = 11 xor 1A
x4 = 18 xor 41

Начальный ключик верен для обоих направлений.

А вот дальше алгоритмы совершенно разные.
Вот пример трафика от клиента к серверу (зажимаю кнопку сесть/встать)

Код:
80 22 1C 39 6A 30 11 A2 C5 22 == C5 22 1C 39 6A 30 11 A2 == 45 00 00 00 00 00 00 00 00 00 -- 1
BB 03 AB 36 6B 39 7A 6A FE 03 == FE 03 AB 36 6B 39 7A 6A == 45 00 00 00 00 00 00 00 00 00 -- 2
1A 5C B0 A9 20 D4 8C 98 5F 5C == 5F 5C B0 A9 20 D4 8C 98 == 45 00 00 00 00 00 00 00 00 00 -- 3
A1 F4 2E D1 D0 F6 46 96 E4 F4 == E4 F4 2E D1 D0 F6 46 96 == 45 00 00 00 00 00 00 00 00 00 -- 4
EC 4C 3E D6 41 CA CB 41 A9 4C == A9 4C 3E D6 41 CA CB 41 == 45 00 00 00 00 00 00 00 00 00 -- 5
C9 C0 FC 66 3F 7D 8A F2 8C C0 == 8C C0 FC 66 3F 7D 8A F2 == 45 00 00 00 00 00 00 00 00 00 -- 6
4A BB A7 70 35 C5 D3 B1 0F BB == 0F BB A7 70 35 C5 D3 B1 == 45 00 00 00 00 00 00 00 00 00 -- 7
A0 46 DE 4A 6C 15 C5 62 E5 46 == E5 46 DE 4A 6C 15 C5 62 == 45 00 00 00 00 00 00 00 00 00 -- 8
EA 5F 4B E2 11 98 DE EF AF 5F == AF 5F 4B E2 11 98 DE EF == 45 00 00 00 00 00 00 00 00 00 -- 9
0D 63 D9 C3 B7 B7 4D 4A 48 63 == 48 63 D9 C3 B7 B7 4D 4A == 45 00 00 00 00 00 00 00 00 00 -- 10
55 A9 44 35 85 80 62 11 10 A9 == 10 A9 44 35 85 80 62 11 == 45 00 00 00 00 00 00 00 00 00 -- 11
3E 5C DB 10 F0 30 CC DC 7B 5C == 7B 5C DB 10 F0 30 CC DC == 45 00 00 00 00 00 00 00 00 00 -- 12
B4 0C 22 EA 3E 4D B5 56 F1 0C == F1 0C 22 EA 3E 4D B5 56 == 45 00 00 00 00 00 00 00 00 00 -- 13
49 E7 DC B1 4D 67 22 3F 0C E7 == 0C E7 DC B1 4D 67 22 3F == 45 00 00 00 00 00 00 00 00 00 -- 14
B2 14 4B FF A7 5B D4 1F F7 14 == F7 14 4B FF A7 5B D4 1F == 45 00 00 00 00 00 00 00 00 00 -- 15
3C 81 85 27 54 1A BC 01 79 81 == 79 81 85 27 54 1A BC 01 == 45 00 00 00 00 00 00 00 00 00 -- 16
3A 2B 87 69 A7 D8 85 FC 7F 2B == 7F 2B 87 69 A7 D8 85 FC == 45 00 00 00 00 00 00 00 00 00 -- 17
25 3D 44 38 E7 6D A0 10 60 3D == 60 3D 44 38 E7 6D A0 10 == 45 00 00 00 00 00 00 00 00 00 -- 18
37 84 FB 6B 5D 8D CF B1 72 84 == 72 84 FB 6B 5D 8D CF B1 == 45 00 00 00 00 00 00 00 00 00 -- 19
94 3A BE D8 33 18 14 31 D1 3A == D1 3A BE D8 33 18 14 31 == 45 00 00 00 00 00 00 00 00 00 -- 20
2B 05 96 09 08 E3 8F 52 6E 05 == 6E 05 96 09 08 E3 8F 52 == 45 00 00 00 00 00 00 00 00 00 -- 21
0D 88 5A A1 F3 4C F9 14 48 88 == 48 88 5A A1 F3 4C F9 14 == 45 00 00 00 00 00 00 00 00 00 -- 22
38 3B 0F A3 76 34 AF C2 7D 3B == 7D 3B 0F A3 76 34 AF C2 == 45 00 00 00 00 00 00 00 00 00 -- 23
E5 F7 1B D7 29 68 AD F4 A0 F7 == A0 F7 1B D7 29 68 AD F4 == 45 00 00 00 00 00 00 00 00 00 -- 24
92 FA B1 82 6A 5C 25 63 D7 FA == D7 FA B1 82 6A 5C 25 63 == 45 00 00 00 00 00 00 00 00 00 -- 25
64 13 C2 7D 6C D1 EF 5C 21 13 == 21 13 C2 7D 6C D1 EF 5C == 45 00 00 00 00 00 00 00 00 00 -- 26
D5 61 CC 39 21 CB 0F F2 90 61 == 90 61 CC 39 21 CB 0F F2 == 45 00 00 00 00 00 00 00 00 00 -- 27
1C 29 55 96 53 C6 B6 55 59 29 == 59 29 55 96 53 C6 B6 55 == 45 00 00 00 00 00 00 00 00 00 -- 28
59 84 16 30 F1 AB DF D5 1C 84 == 1C 84 16 30 F1 AB DF D5 == 45 00 00 00 00 00 00 00 00 00 -- 29
50 2E BC 04 9C 44 1E DC 15 2E == 15 2E BC 04 9C 44 1E DC == 45 00 00 00 00 00 00 00 00 00 -- 30
3A 5F D5 1C DD 8D 9B 4A 7F 5F == 7F 5F D5 1C DD 8D 9B 4A == 45 00 00 00 00 00 00 00 00 00 -- 31
27 BA C8 6D 19 2B B2 93 62 BA == 62 BA C8 6D 19 2B B2 93 == 45 00 00 00 00 00 00 00 00 00 -- 32
52 FA DB BC B1 61 45 28 17 FA == 17 FA DB BC B1 61 45 28 == 45 00 00 00 00 00 00 00 00 00 -- 33
BF 10 FF C3 A1 65 DC F7 FA 10 == FA 10 FF C3 A1 65 DC F7 == 45 00 00 00 00 00 00 00 00 00 -- 34
73 3D E1 6F 35 7A 39 7A 36 3D == 36 3D E1 6F 35 7A 39 7A == 45 00 00 00 00 00 00 00 00 00 -- 35
DE 02 2E 4B C6 12 8F C8 9B 02 == 9B 02 2E 4B C6 12 8F C8 == 45 00 00 00 00 00 00 00 00 00 -- 36
A1 E1 59 C6 AB 8C CC 66 E4 E1 == E4 E1 59 C6 AB 8C CC 66 == 45 00 00 00 00 00 00 00 00 00 -- 37
81 38 19 1A BB AF EC 19 C4 38 == C4 38 19 1A BB AF EC 19 == 45 00 00 00 00 00 00 00 00 00 -- 38
B6 40 5F CB B7 A2 92 20 F3 40 == F3 40 5F CB B7 A2 92 20 == 45 00 00 00 00 00 00 00 00 00 -- 39
88 B9 BF E1 CA 60 B7 1F CD B9 == CD B9 BF E1 CA 60 B7 1F == 45 00 00 00 00 00 00 00 00 00 -- 40
CD 80 D1 1C AC 1A 15 6A 88 80 == 88 80 D1 1C AC 1A 15 6A == 45 00 00 00 00 00 00 00 00 00 -- 41
55 7A 7D 34 51 19 7F D8 10 7A == 10 7A 7D 34 51 19 7F D8 == 45 00 00 00 00 00 00 00 00 00 -- 42
30 70 DA 87 FA 65 45 A7 75 70 == 75 70 DA 87 FA 65 45 A7 == 45 00 00 00 00 00 00 00 00 00 -- 43
92 24 C1 F2 4D D7 A4 E8 D7 24 == D7 24 C1 F2 4D D7 A4 E8 == 45 00 00 00 00 00 00 00 00 00 -- 44
43 DE F1 08 F2 D9 E5 DB 06 DE == 06 DE F1 08 F2 D9 E5 DB == 45 00 00 00 00 00 00 00 00 00 -- 45
6E B5 3F 47 63 F8 CE 7D 2B B5 == 2B B5 3F 47 63 F8 CE 7D == 45 00 00 00 00 00 00 00 00 00 -- 46
14 4C 47 70 FC BD BE 49 51 4C == 51 4C 47 70 FC BD BE 49 == 45 00 00 00 00 00 00 00 00 00 -- 47
22 BF F2 56 06 79 A3 80 67 BF == 67 BF F2 56 06 79 A3 80 == 45 00 00 00 00 00 00 00 00 00 -- 48
88 22 1C 4E 7A F0 44 72 CD 22 == CD 22 1C 4E 7A F0 44 72 == 45 00 00 00 00 00 00 00 00 00 -- 49
4F 68 38 EF 96 B7 3D 04 0A 68 == 0A 68 38 EF 96 B7 3D 04 == 45 00 00 00 00 00 00 00 00 00 -- 50
C9 3A 05 49 79 9F 4F E1 8C 3A == 8C 3A 05 49 79 9F 4F E1 == 45 00 00 00 00 00 00 00 00 00 -- 51
CD CF D6 B4 DC 2C 59 FD 88 CF == 88 CF D6 B4 DC 2C 59 FD == 45 00 00 00 00 00 00 00 00 00 -- 52
2B E8 A7 37 AB F0 01 E3 6E E8 == 6E E8 A7 37 AB F0 01 E3 == 45 00 00 00 00 00 00 00 00 00 -- 53
94 A5 95 24 F8 B2 2A BA D1 A5 == D1 A5 95 24 F8 B2 2A BA == 45 00 00 00 00 00 00 00 00 00 -- 54
F8 95 33 CE 1B A5 A2 21 BD 95 == BD 95 33 CE 1B A5 A2 21 == 45 00 00 00 00 00 00 00 00 00 -- 55
FE A4 CF 8F EA D1 14 F9 BB A4 == BB A4 CF 8F EA D1 14 F9 == 45 00 00 00 00 00 00 00 00 00 -- 56
2C 5C B8 67 60 A1 0E 23 69 5C == 69 5C B8 67 60 A1 0E 23 == 45 00 00 00 00 00 00 00 00 00 -- 57
31 26 67 23 C4 5A F3 3D 74 26 == 74 26 67 23 C4 5A F3 3D == 45 00 00 00 00 00 00 00 00 00 -- 58
3B 1B 54 1B 4F 52 31 9C 7E 1B == 7E 1B 54 1B 4F 52 31 9C == 45 00 00 00 00 00 00 00 00 00 -- 59
26 A5 48 82 58 45 E5 F8 63 A5 == 63 A5 48 82 58 45 E5 F8 == 45 00 00 00 00 00 00 00 00 00 -- 60
D9 1A CE B7 09 20 30 84 9C 1A == 9C 1A CE B7 09 20 30 84 == 45 00 00 00 00 00 00 00 00 00 -- 61
78 3A 12 24 44 EA 5A C9 3D 3A == 3D 3A 12 24 44 EA 5A C9 == 45 00 00 00 00 00 00 00 00 00 -- 62
F9 93 77 78 D9 35 84 05 BC 93 == BC 93 77 78 D9 35 84 05 == 45 00 00 00 00 00 00 00 00 00 -- 63
77 EA 8E DA BD F7 3A BB 32 EA == 32 EA 8E DA BD F7 3A BB == 45 00 00 00 00 00 00 00 00 00 -- 64
6E C1 16 99 D5 48 E0 16 2B C1 == 2B C1 16 99 D5 48 E0 16 == 45 00 00 00 00 00 00 00 00 00 -- 65
FD 6E E2 D4 0D C8 45 ED B8 6E == B8 6E E2 D4 0D C8 45 ED == 45 00 00 00 00 00 00 00 00 00 -- 66
D4 71 FD 35 0D 4C B4 9F 91 71 == 91 71 FD 35 0D 4C B4 9F == 45 00 00 00 00 00 00 00 00 00 -- 67
68 9B D4 C3 CA 66 CF 67 2D 9B == 2D 9B D4 C3 CA 66 CF 67 == 45 00 00 00 00 00 00 00 00 00 -- 68
1. Столбцы: пакет == ключ == дешифрованный пакет -- порядковый номер пакета
2. Вкраплений нет, как тока появляется вкрапление, порядковый номер станет = 0.
3. С пакета уже снята часть шифрации алгоритмом (я изменил newxor.dll):
delphi Код:
procedure TXorCodingOut.DecryptGP(var Data; const Size: Word);
var
  k:integer;
  pck:array[0..$4FFF] of Byte absolute Data;
begin
  for k:=size-1 downto 1 do pck[k]:=pck[k] xor pck[k-1];
end;

Че делать дальше, вообще мыслей нету ((
Ключ в пакете явно просматривается, но алгоритм изменения неясен.
Последний раз редактировалось nezabudkin, 06.06.2008 в 18:57.
nezabudkin вне форума   Ответить с цитированием