ДЕШИФРУЕМ ТРАФИК

[VORON]

Цитата:

Сообщение от Argot

угу + ко всему этому добавляем что все алгоритмы накрыты фимидой.

Хотя бот уже давно есть))

я хз что ты етим хотел сказать..
ты случайно не из програмерсково бомонда?? они уже сдесь были..
говорили что мы куйней занимаемся по жизни и боты уже сделаны.. если ты с ними незнаком могу познакомить..
а в етом топе нужно писать полезную информацию а не .... промолчу..

[Faeton]

Цитата:

Сообщение от VORON

я хз что ты етим хотел сказать..
ты случайно не из програмерсково бомонда?? они уже сдесь были..
говорили что мы куйней занимаемся по жизни и боты уже сделаны.. если ты с ними незнаком могу познакомить..
а в етом топе нужно писать полезную информацию а не .... промолчу..

Argot дело говорит, а то что ты не понимаешь его слова говорит не в твою пользу.
И сказал это он не тебе, а xkor'у, который эти слова понимает.

Фемида это защита которая имеет возможность полиморфить код и ты его уже просто так не поймешь а значит простой хук на память уже не поможет.

Бомонд потому и бомонд, что там образованные люди.

[VORON]

Цитата:

Сообщение от Faeton

Argot дело говорит, а то что ты не понимаешь его слова говорит не в твою пользу.
И сказал это он не тебе, а xkor'у, который эти слова понимает.

Фемида это защита которая имеет возможность полиморфить код и ты его уже просто так не поймешь а значит простой хук на память уже не поможет.

Бомонд потому и бомонд, что там образованные люди.

хм.. спасип за пояснение.. а какже тогда поступить? продолжать ломать голову методом подбора алгоритма путем наблюдений за логом?

[faeton]

Цитата:

Сообщение от VORON

хм.. спасип за пояснение.. а какже тогда поступить? продолжать ломать голову методом подбора алгоритма путем наблюдений за логом?

Если фемида точно полиморфирует алгоритмы то очень трудно,если просто защищает то снять ее реально. Каждый случай требует собственного подхода, ты сам это кажетса говорил, или кто то еще.

[VORON]

Цитата:

Сообщение от faeton

Если фемида точно полиморфирует алгоритмы то очень трудно,если просто защищает то снять ее реально. Каждый случай требует собственного подхода, ты сам это кажетса говорил, или кто то еще.

наверно не я.. мой опыт реверсинга =0.. в тоже время я крути не крути смог ломануть защиту сервера которая там раньше была- тому и посвящен топик етот (с первых страниц).. а теперь я хз что делать.. методы описанныемной в етом топе неприводят к результату.. наблюдая за логом выискивая повторения в нем- некчему неприводят.. новый алгоритм кажется очень сложным.. пример такой приведу то что реально я ломал (придумывал сам) то.. наблюдая за трафиком выискивал закономерности и код ДЛЛ тут выложено к чему я пришел.. и всё отлично работало пока админы не купили новую сборку сервака..
казлы..
но всё к чему я пришел ето к математическим выводам лиш тока.. которые меня на правильный путь неставят.. первое что я обнаружил что при однобайтовом пакете ключ не меняется.. согласитесь ведь ето странно? ну ладно в той шифрации не менялся он.. но щас то новая шифрация... а он 1 фик не меняется... при однобайтовом пакете.. совпадение?? наврядли..
в пользу етой версии (ето не совпадение) говорит то что входящий трафик дешифрируется старым (взломанным ) алгоритмом.. т.е. тем более они за основу тот старый алгоритм брали..
в подтверждение етого еще скажу что способ вычисления начального ключа для дешифровки первых входящего и исходящего пакета остался без изменений.. т.е. способ вычисления начального ключа взломаный в етом топе тоже подходит 1 в 1
но исходящие пакеты- белеберда начиная с 2-го пакета исходящего (шифрованого) ..

Добавлено через 12 минут
дело в том что.. у меня в голове твердо село то что.. значение нового ключа должно изменяться в зависимости от предыдущего значения+ предыдущий пакет данных..
если так смотреть то получается что нужно искать повторы.. искать при каких одинаковых данных значения повторяются..
я отскал много повторов
порой даже очень много..
но некчему ето неприводит..
явно видно что при одних и тех же исходных данных задача решается поразному.. а ответ ето новый ключ...
следовательно решение задачи зависит не только от ПАКЕТА ПРЕДЫДУЩЕГО + ПРЕДЫДУЩЕГО КЛЮЧА но еще от чегото...
что можит быть исходными данными для решения такой задачи?
что то еще... а хз чего..
но при етом думаю что я небезосновательно думаю что старый алгоритм имеет надстройку.. и полученный стрым способом ключ еще раз через чета прогоняется и получается новый результат ключа...
ето изза того что я выше сказал.. немогут 2 гения одновременно думать про то что онобайтовый пакт не шифруется... ето объединяет 2 етих алгоритма скорее всего 1 алгоритм наложен на другой...
вот и как их вычислить???

[faeton]

Сложные алгоритмы так не вычислишь, тут необходимо пытаться найти код реверсингом как это ни тяжело

[PanAm]

VORON, А нельзя не как не дешифрованные логи выложить? желательно пару-тройку с одного акка и чара, хорошо бы и дать эти имена и номер чара

[VORON]

Цитата:

Сообщение от PanAm

VORON, А нельзя не как не дешифрованные логи выложить? желательно пару-тройку с одного акка и чара, хорошо бы и дать эти имена и номер чара

дык выкладывал..
повторюсь..

Цитата:

39 B3 14 23 59 E9 E8 0B 1D AF--16 b2 a7 37 7a b0 01 e3--2F 38 00 00 00 00 00 00 00 00
7D 86 04 34 E6 28 15 BB E9 2A--52 C3 82 30 D2 CE 3D AE--2F 38 00 00 00 00 00 00 00 00
EA 1D 2E E0 2A CF 6D 4C 89 46--C5 CF 33 CE CA E5 A2 21--2F 38 00 00 00 00 00 00 00 00
17 ED 35 AE 6E C3 C0 2D 15 D7--38 C2 D8 9B C0 AD 03 ED--2F 38 00 00 00 00 00 00 00 00
3E 00 B8 DF 6E 8F 81 A2 B3 B5--11 06 B8 67 B1 E1 0E 23--2F 38 00 00 00 00 00 00 00 00
D8 A0 D0 E7 09 2F CB E2 15 55--F7 40 70 37 EE 26 E4 29--2F 38 00 00 00 00 00 00 00 00
29 50 04 1F 81 93 A2 3E 38 79--06 41 54 1B 9E 12 31 9C--2F 38 00 00 00 00 00 00 00 00
CF 34 6B FD 8F B6 44 A8 48 8B--E0 C3 5F 96 72 39 F2 EC--2F 38 00 00 00 00 00 00 00 00
CB B3 7D CA 12 72 42 C6 22 62--E4 40 CE B7 D8 60 30 84--2F 38 00 00 00 00 00 00 00 00
91 F5 F0 C0 AE 38 75 A8 16 4A--BE 5C 05 30 6E 96 4D DD--2F 38 00 00 00 00 00 00 00 00
EB 1A 6D 15 1D 68 EC E9 2D E4--C4 C9 77 78 08 75 84 05--2F 38 00 00 00 00 00 00 00 00
9E 2A B3 7D EA 61 4C E3 52 DE--B1 8C 99 CE 97 8B 2D AF--2F 38 00 00 00 00 00 00 00 00
7C DF C9 50 54 5C BC AA F9 62--53 9B 16 99 04 08 E0 16--2F 38 00 00 00 00 00 00 00 00
14 24 D1 11 36 82 D0 29 12 1A--3B 08 F5 C0 27 B4 52 F9--2F 38 00 00 00 00 00 00 00 00
C6 D5 28 1D C1 CD 79 E6 0F 24--E9 2B FD 35 DC 0C B4 9F--2F 38 00 00 00 00 00 00 00 00
81 44 87 50 B0 AA 72 01 AF 52--AE FD C3 D7 E0 1A D8 73--2F 38 00 00 00 00 00 00 00 00
FF 9A 6B F7 90 B9 1E E2 32 6F--D0 5D F1 9C 67 29 A7 FC--2F 38 00 00 00 00 00 00 00 00
3C 09 FC F4 85 55 E4 A1 B2 BF--13 0D F5 08 71 D0 B1 45--2F 38 00 00 00 00 00 00 00 00
85 75 3E 60 29 E3 3C 10 BA 72--AA C8 4B 5E 49 CA DF 2C--2F 38 00 00 00 00 00 00 00 00
AF EC 5F C7 81 C4 B9 AA 2A 51--80 7B B3 98 46 45 7D 13--2F 38 00 00 00 00 00 00 00 00
14 2B 7C A1 14 B0 28 B4 8F 88--3B 07 57 DD B5 A4 98 9C--2F 38 00 00 00 00 00 00 00 00
E3 43 B1 DE 75 2A 14 82 4E D6--CC 98 F2 6F AB 5F 3E 96--2F 38 00 00 00 00 00 00 00 00
BD 50 F5 D4 69 78 C3 A0 32 E7--92 D5 A5 21 BD 11 BB 63--2F 38 00 00 00 00 00 00 00 00
B6 E8 57 9F 30 EB C6 1E 87 E1--99 66 BF C8 AF DB 2D D8--2F 38 00 00 00 00 00 00 00 00

////////////////////////////////////////////////////////////////////
4B 1E 1D CB 8A D1 B6 40 24 49--64 6D 03 D6 41 5B 67 F6--2F 38 00 00 00 00 00 00 00 00
BD 23 0C 2D DA CA BA 03 91 37--92 A6 2F 21 F7 10 70 B9--2F 38 00 00 00 00 00 00 00 00
.....
E3 43 B1 DE 75 2A 14 82 4E D6--CC 98 F2 6F AB 5F 3E 96--2F 38 00 00 00 00 00 00 00 00
BD 50 F5 D4 69 78 C3 A0 32 E7--92 D5 A5 21 BD 11 BB 63--2F 38 00 00 00 00 00 00 00 00
/////////////////////////////////////////////////////////////////
B1 53 D3 51 79 A0 F4 00 9E 44--9E DA 80 82 28 D9 54 F4--2F 38 00 00 00 00 00 00 00 00
3A 24 62 66 FC 37 C8 9C 89 AF--15 26 46 04 9A CB FF 54--2F 38 00 00 00 00 00 00 00 00
...
FD B6 7A 43 1D F9 F6 04 D6 A5--D2 73 CC 39 5E E4 0F F2--2F 38 00 00 00 00 00 00 00 00
3A 7B 54 80 A2 09 C5 D2 C7 BE--15 79 2F D4 22 AB CC 17--2F 38 00 00 00 00 00 00 00 00

первая колонка то что перехватывает пакетхак.. вторая ключ для дещивровки пакета (сам руками вычислял) третья то что должно быть..
етот лог интересен лиш тем что тут одинаковых занчений много при одних и техже исходных данных..
знаками "////////////////////////" отделены друг от друга куски лога в разное время..
знаками "......" дублируются наиболее интересные кусочки с повторами, т.е. исходные данные одни и теже а результат разный...
вот и триндец
я поясню вот например 2 кусочка лога снятые в разное время..

Цитата:

4B 1E 1D CB 8A D1 B6 40 24 49--64 6D 03 D6 41 5B 67 F6--2F 38 00 00 00 00 00 00 00 00

BD 23 0C 2D DA CA BA 03 91 37--92 A6 2F 21 F7 10 70 B9--2F 38 00 00 00 00 00 00 00 00
.....
E3 43 B1 DE 75 2A 14 82 4E D6--CC 98 F2 6F AB 5F 3E 96--2F 38 00 00 00 00 00 00 00 00
BD 50 F5 D4 69 78 C3 A0 32 E7--92 D5 A5 21 BD 11 BB 63--2F 38 00 00 00 00 00 00 00 00

тут мы видим что при одном и том же пакете первый байт зашифрован как "BD".. т.е. если предполагать что новый ключ высчитывается только от предыдущего пакета+ предыдущий ключ то.. приодинаковом результате и при одинаковом пакете мы должны по сути иметь одинаковый предыдущий ключ а он разный.. значит от чегото еще он зависит..
мне тут парень из непроверенного источника сказал недавно что очень раскрученый сервер фришард сделал так : старый но взломаный алгоритм прогоняется через ксоринг на данные приходящие в ЗАГОЛОВКЕ ПАКЕТА там говорят время отправки гдето есть.. вот на время говорят ксорить надо результат старого алгоритма чтоб получить новый..