CoderX :: Forums - Показать сообщение отдельно

VORON · 16.01.2008, 21:31

ну да впринципе.. я стораяюсь именно так и делать чтоб на любом посте можно было присоедениться к нам.. я выдаю ЛОГ + АЛГОРИТМ.. если етот ЛОГ прогнать через АЛГОРИТМ (скрипт) то лог дешифрируется..
вот на етом мы пока остановились:
var
k: integer;
b,i,a: integer;
begin
for k:=size-1 downto 1 do
pck[k]:=pck[k] xor key[k and 7] xor pck[k-1];
if size0 then pck[0]:=pck[0] xor key[0];
b:=0;
a:=0;

for k:=1 to size-1 do
begin
b:=b+pck[k];
end;

key[0]:=key[0] xor b;
key[1]:=key[1] xor ((size + b) shr (8));
key[2]:=key[2] xor ((size + b) shr (16));
key[3]:=key[3] xor ((size + b) shr (24));

key[4]:=key[4] xor key[0];
key[5]:=key[5] xor key[1];
key[6]:=key[6] xor key[2];
key[7]:=key[7] xor key[3];

if ((size + b) shr 8 ) = 0 then
key[1]:=key[1] xor ((size + b) shr 0);
end.

с помощью етого можно дешифрануть все вышеизложенные логи.. но это лиш частный случай... ибо тут испольщзуется ИФ от которого и нужно избавиться..
QAK, да мы работаем тока с исходящим трафом, с набором галочек (обход смены ксор ключа= включено, недешефрировать трафик=включено)
если ето камуто надо то скажу суть.. используется сумма всех байтов в пакете (b) кроме первого .. началось всё с того чо мы обнаружили что для маленьких пакетов справедливо: key[1]:=key[1] xor (size + pck[1]); я отмониторил сообщение в чат с одним символом и ето подтвердилось.. далее написал в чат 2 символа и вместо етого получил key[1]:=key[1] xor (size + pck[1] + pck[3]); ии проверил на 3-х символах и аказалось : key[1]:=key[1] xor (size + pck[1] + pck[3] + pck[5]); так как я мониторил цифру 1 (у которой код= 31 00) поетому сразу протестировал сумму байтов- и оказалось что ето работает.. на большом пакете " B" я получил равной $672. если разделить ето число побайтово то имеем $6 + $72.. 6- используется в: key[1]:=key[1] xor $6; а $72 исользуется в key[0]:=key[0] xor $72;
ну.. всё бы было хорошо но.. в зависимости от кол-ва байт в етой "B" нужно ету B прикладывать побайтово к байтам ключа начиная с хвоста.. к нулевому байту прикладывать 0-й байт от B .. к первому байту ключа нужно применять 2-й байт от B... а если 3-й байт в B=0 то key[1]:=key[1] xor ((size + b) shr (16)); но если 3-й байт b- значимый то будет подругому.. незнаю я если честно что будет.. вот токачто подумал про: возмозможно у етой b- отбрасывается первый (младший) байт вапще.. а то что останется- прикладывается побайтово... начиная с первого байта.. вопщем я в мыслях немного запутался.. помагите доделать.. работая в диапазаоне b= (ff- ffff) мы имеем:
key[0]:=key[0] xor b;
key[1]:=key[1] xor ((size + b) shr (8));
key[2]:=key[2] xor ((size + b) shr (16));
key[3]:=key[3] xor ((size + b) shr (24));

работая в диапазоне b= (0-ff) имеем:
key[0]:=key[0] xor b;
key[1]:=key[1] xor (size + b);
key[2]:=key[2] xor ((size + b) shr (16));
key[3]:=key[3] xor ((size + b) shr (24));

именно по етой причине мы ИФ и применяем.. а если диапазон станет b=(ff ff - ff ff ff) то хз что будет.. но я проверил и наблюдал что 3-й байт ключа тоже менянется- правда очень редко и то тока на 1... т.е. на практике ето рано или поздно произойдет и скрипт должен быть к етому готов.. но я непредставляю что должно произойти чтоб 3-й байт изменился.. с вашей помощью надеюсь добить головоломку... ИФОВ быть недолжно..

Добавлено спустя 6 минут 27 секунд:
ДИМКО, СПЕЦИАЛЬНО ДЛЯ ТЕХ КТО ДО СИХ ПОР НЕПОНЯЛ ГДЕ СКАТЬ ПРОГУ ДЛЯ ПОДБОРА АЛГОРИТМА:
(цитата из первой странице етого топа):
0:08:00: Ktif ye rfr ltkf&
0:08:08: Леша ну как дела?
0:08:19: впринципе готово)
0:08:22: всмысле прога)
0:08:39: но она пока не в очень удобной форме пакеты отображает...
0:09:44: а для моего случая ее применить можно? я не верю.. прога заранее алгоритм имеет у в кажой ситуации алгоритм свой.. я на 90% уверен что ета прога ничего не сделает для моего случая
0:10:15: тут алгоритм пишеш сам)
0:10:19: давай ее протестим для моего случая
0:10:26: давай...
0:10:29: хм
0:10:30: счас кину
0:10:35: давай
0:11:21: блин мне пишут твой клиент неподдерживает передачу...
0:11:43: makssys@inbox.ru
0:12:15: ftp://xkor.homeip.net/files/l2pdx.rar
0:12:48: пошло
0:14:08: пока качается расскажи как ей пользоваться?
0:14:38: слева пишеш пакеты для дешифровки по порядку, по одному пакету на строчку
0:14:56: внизу алгоритм дешифровки на паскале, и нажимаеш дешифровать
0:15:23: по умолчанию там стандартный алгоритм..
0:15:40: ету прогу в какой момент запускать?
0:15:53: сначала пакетхак или ее?
0:15:59: в момент когда захочеш её пользоваться)
0:16:18: она ничего не перехватывает)
0:16:28: когда уже трафик идет по полной ее можно включить и увидеть трафик?
0:16:28: ты сам в неё всё что надо записываеш)
0:16:45: ты сам в неё трафик пишеш)
0:16:55: а...
0:17:23: т.е. в нее я дам готовый лог!...
0:17:36: угу
0:17:42: но ток одного направления
0:18:03: и ключик начальный сам задаёш
0:18:22: так что пакеты в неё пишеш начиная с первого зашифрованного
0:20:39: леша а нафига прога ваще??? я магу разбирать ключ и експерементировать с ним с помощю самого паетхака отправив пакет на ЮЗ СКИЛ!.. и скриптом с к лючом всё что хачу то и делаю... нафига ваще ета отдельная прога?
0:21:10: тут сам пакеты задаёш...
0:21:21: для нормального исследования она лучше...
0:23:21: хм.. ну я попробую ее на логах выложенных в топе протестить!.. но хз чем она может помоч??? ведь нам надо узнать алгоритм.. монитоить изменение ключа я и без етой проги магу
0:23:52: ну а в ней надо строить алгоритм)
0:24:03: с моментально опробывать)
(конец цитаты)