ДЕШИФРУЕМ ТРАФИК

[MHz]

У меня еще не сформировались четко вопросы, но все-таки попробую изложить их.
Да, все замечательно, у нас есть дамп и тулза для проверки алгоритма шифрации, т.е. остается дело за "малым" - угадать его.
Мне кажется что такой подход совсем не гарантирует конечный результат и может поглотить бесконечное кол-во времени. Отсюда вопросы.
1. xkor - как ты догадался, что надо перехватывать API вызов connect? Как можно догадаться какими функциями посылаются и принимаются пакеты? Это send и recv или другие?
2. Что посоветуете почитать про отладку процессов и дизассемблирование? С чего начать?

Т.е. мне не нравится "угадывать" я хочу "знать" алгоритм. Для этого придется разбираться с хакерством. На ассемблере я программировал но чуть-чуть. Посоветуйте куда копать?

[Breadfan]

Цитата:

Сообщение от MHz

У меня еще не сформировались четко вопросы, но все-таки попробую изложить их.
Да, все замечательно, у нас есть дамп и тулза для проверки алгоритма шифрации, т.е. остается дело за "малым" - угадать его.
Мне кажется что такой подход совсем не гарантирует конечный результат и может поглотить бесконечное кол-во времени. Отсюда вопросы.
1. xkor - как ты догадался, что надо перехватывать API вызов connect? Как можно догадаться какими функциями посылаются и принимаются пакеты? Это send и recv или другие?
2. Что посоветуете почитать про отладку процессов и дизассемблирование? С чего начать?

Т.е. мне не нравится "угадывать" я хочу "знать" алгоритм. Для этого придется разбираться с хакерством. На ассемблере я программировал но чуть-чуть. Посоветуйте куда копать?

ммм екзешник и длл-ки в л2 упакованы Themida одной из последих версий, а это, как говорят, один из лучших крипторов на данный момент (конечно это не значит что абсолютно непреодолимый). И если все же у тебя получается снимать РАБОЧИЙ (aka Осмысленный, а не команды для VM) дамп с этих файлов , не мог бы ты выложить тутор по дампированию?

[MHz]

Цитата:

Сообщение от Breadfan

ммм екзешник и длл-ки в л2 упакованы Themida ... если у тебя получается снимать РАБОЧИЙ (aka Осмысленный, а не команды для VM)

Я начал копать эту тему только сегодня. Бегло поглядев на исходники inject.dll я вроде как понял, что эта либа находит в памяти обращение к API шной ф-ции connect и переставляет его на вызов себя. Я конечно могу ошибаться. Так что мне кажется, что в момент вызова send или recv код отвечающий за "шифрование" уже загружен в память и должен быть "виден" в каком-нибудь отладчике. Повторю еще раз это мои гипотезы. Видимо ты более сведущ в этих вопросах. С удовольствие выслушаю твои соображения.

P.S. Админы ведь как-то меняют стандартную шифрацию? Не думаю, чтобы у них был исходный код клиента.

[Breadfan]

Цитата:

Сообщение от MHz

P.S. Админы ведь как-то меняют стандартную шифрацию? Не думаю, чтобы у них был исходный код клиента.

Обычно покупают готовый пакет защиты и все, т.е. сами практически ничего неделают. По поводу "более сведущ в этих вопросах" повторюсь: я работаю слесарем, к программированию не имею абсолютно никакого отношения. Просто попытки уже были