for supernewbie (логово извращенцев) - Страница 34

dyh9l · 10.02.2011, 18:19

Чем твой снифер будет отличатся от пх?

supernewbie · 11.02.2011, 21:04

Цитата:

Сообщение от dyh9l

Чем твой снифер будет отличатся от пх?

тем что он будет работать на всяких ссрах, леймах и прочей мудотени)

Добавлено через 38 секунд

Цитата:

Сообщение от Yegor

supernewbie, дак ты научился обходить леймгвард или нет?

нет, на моём сервере сср стоит, но сейчас как раз пытаюсь разрулить лейм

mira · 10.03.2011, 10:34

интересная темка) напоминает мои первые шаги, тока мне никто не помогал.
У диспатча всего 1 минус-тормозит клиент-тормозит прога

supernewbie · 10.03.2011, 11:08

кстати, про диспатч, пока особенного его не разбирал, но можно ли в нём поставить хук так, чтобы пакет не разбирался, короче гря убивать пакеты

mira · 10.03.2011, 12:40

все можно но вот как неотработаный пакет удалить потом это хз. Функция возвращает число пакетов накопленых в буффере но еще необработаных

Добавлено через 5 минут
как я понимаю клиент после обработки пакета движком вызывает какуюто процедурку удалющую пакет. Но беда в том что очевидно не являетса чьимто методом и темболее не экспортируетса

supernewbie · 10.03.2011, 13:08

ладно, потом разберу её. надеюсь она не очень большая.. надо еще хук на сенд пакете переставить, а то я заметил что и лейм и сср меняет пакет хз каким способом, но в самом сенд пакете, причем вроде в самом конце (имеется ввиду не шифрация)

mira · 10.03.2011, 13:27

в лейме хукнуть ее так как на сср не получилось они хорошо защитили святая святых. Причем на разных модах защиты разные приколюхи. Нада быть осторожнее) не вникал особо че там намудрили лг пока ломал чисто для разминки

Добавлено через 9 минут
и лг и сср подменяют крипто-функцию в сендпакете я уже писал. Иногда сами хукают сендпакет для проверок или проверяют в шифровалке то откуда вызвали сендпакет. Если вызов не из енгине а левой длл то в лушем случае просто не шлют этот пакет

supernewbie · 10.03.2011, 13:44

знаю знаю) вызывается из энжини у меня.
почему не получится хукать также как сср? у меня везде один и тот же хук стоит и всё работает

сср и какая-то версия лейма сплайсят сенд пакет 100%... ты сам пакет AuthLogin то какой видишь на ссре?) какой размер у него?
потому что в нём пишется хвид, и надо как-то менять его содержимоё после смены его содержимого защитой)

mira · 10.03.2011, 15:37

я думаю к хвиду прилагаетса чексумма если сср уж не совсем лохи)
про виртуалпротект - если при любом вызове офаетса даже не трогая сетевые ф-ии то ответ очевиден) они хукнули вп и причем ранше тебя

Добавлено через 3 минуты
вп это переходник в ntdll вот и смари как меняетса код функции в нтдлл с защитой и без. Непомню как там чето типа ntvirtualprotect

supernewbie · 10.03.2011, 15:40

VirtualProtect(nil, 0, 0, nil); при таком не офается, так что если они и хукнули, то там идет проверочка..

Добавлено через 2 минуты
определенно хукнули, и поставили проверку на адресное пространство енжини.длл, хитрые гады) правда перед этим они всю память EXECUTE_READWRITE сделали О_о, так что я не совсем понимаю смысл всего этого