С защитой я разобрался, все нормально.
Да, действительно клиент вносит поправки в функцию send.
Точно не уверен как, но по логике так:загружает w2_32.dll в оперативную память, затем уже в оперативке немного модифицирует. Причем так,что сразу же после вызова функции send управление передается куску кода из некого fire.dll, а в нем и происходит формирование нового пакета и подмена параметров функции send(указатель на данные и длина).
Расставил бряки, и нашел кусок который формирует эти дополнительные данные. Теперь дело за восстановлением алгоритма. Иду учить ассемблер=))
p.s. для принятия-отправки данных я использую самописную прогу, которая отвечает клиенту заранее сохраненными пакетами реальной сессии. Снифал пакеты с помощью по на роутере (роутер Mikrotik)
|