Цитата:
Сообщение от murc
выше я писал список измененных файлов, соглашусь что шк неменяет, из твоих пакетов можно сделать вывод что entry.dll ваще неприделах Оо, но если глянуть раньше то видно что аутенфикация на 17534 порту дает ключик, строку байтов, на каторые меняются первые зашифрованые байты, опять же в последнем примере этого почемуто небыло (небыли изменены после номера протокола, байты), так серв и палит левый пакет(недошифрованый), но это все проза. Вощем скорей всего функция зашита в ла2.ехе оО, там фемида 2050, уже начал читать туторы но пока успеха нуль )
|
что значит не пре делах entry.dll ?
ты не видеш разницу в пакетах ?
после номерка протокола идёт "00 00 00 00" потому что по 17453 порту приходит ключик "00 00 00 00 00 00 00 00 00 00 00 00"
если кто знает, можно ли сохранять изменения в IDA в .exe файл ? //сам разобрался, может
и ещё может есть у кого самая первая ШК которая начала трафик доп кодировать ?
и ещё
в какой длл происходит стандартное ксор кодирование в клиенте ?