Копаем вглубь DLL

Polymorph · 24.04.2008, 23:00

шутишь в 29 мегах искать неизвестную строку? ещё и блокнотом.

Sherman · 24.04.2008, 23:42

Цитата:

Сообщение от Polymorph

шутишь в 29 мегах искать неизвестную строку? ещё и блокнотом.

ну, можно еще в таблице импорта у енджине посмотреть, там должо быть использование хотя бы одной ф-ции из твоей библиотеки. Чистый енджин левых дллек не использует.

Добавлено через 6 минут

Цитата:

Сообщение от ASSA

2 Sherman: я гамаю на ылморе и падло дарксибер(пипетс ник!! главное по-круче ник написать, и тада все будут считать тебя точно не лошарой) круто подговнил всем достойным узверям л2пх.
Я один из них и прошу помоч тебя Шерминатор)))
А еще было бы прикольно обсудить прошлую защиту, он слабовата была

Складывается мнение что эти оболдуи сами не шифруют, а защиту гдето надыбали..Ну мне чегото не веритцо что чел с ником Дарксибер чего-то там мутит-шыфрует)))

Прошлая защита была построена на модифицировании кода в Engine.dll после функций формирования 6 пакетов отправляемых на сервер, на прыжек в тело pkcrypt.dll, дописывание хвоста подписи по маске, маска в ресурсах длл хранитсо, и возврат обратно в engine.dll для отправки на сервер. Пакеты от Сервера не подписывались и не анализировались, хотя я в этом направлении не копал.
Пакеты: GGuardAuth
RequestUseItem
RequestMagicSkillUse
Action
ValidatePosition
и еще какой то, щас не помню.

Нынешняя защита построена по тому же сценарию, но навернута шифрация всего пакета перед оправкой, и дешифрация входящего пакета. Плюс ДыКа сменил криптор (имеется ввиду упаковка dll-ки для защиты от отладки и понимания внутренностей) с UPX на ASProtect 2.xx

Вообще, зря я у парня флуд развел. Polymorph извини если чо не так, просто у нас там весь сервер в панеке

Polymorph · 25.04.2008, 18:39

Sherman,
Енжн длл вообще левых дллок не использует. А помимо pkcrypt.dll есть ещё pkcdb.dll и pkcrypt.vxd pkcrypt.sys
Функций из них экспортится немеряно. А какая из них для дешифровки используется так и не определил.

Sherman · 26.04.2008, 03:01

Цитата:

Сообщение от Polymorph

Sherman,
Енжн длл вообще левых дллок не использует. А помимо pkcrypt.dll есть ещё pkcdb.dll и pkcrypt.vxd pkcrypt.sys
Функций из них экспортится немеряно. А какая из них для дешифровки используется так и не определил.

npkcrypt.dll npkcrypt.sys и npkcrypt.vxd это стандартные файлы клиента,
я говорю о pkcrypt.dll, просто сравни названия. Дай сцылку на сервер, я посмотрю ваш патч.

ПыСы: По сути, восстановление алгоритма шифрования по пакетам, для меня представляется гаданием на кофейной гуще. Я программист, и склонен больше пологатся на код, чем на предположения, поэтому реверс считаю наиболее правельным подходом. Сорри что еще раз нафлудил не по теме.

Polymorph · 26.04.2008, 13:47

Sherman, pkcrypt.dll отсутствует как таковой вообще. Ссылка на сервер ушла в личку. А ещё лучше оставь ICQ, пообщаемся.

ASSA, Втыкать то особо нечего пока. Тема начала уходить от своего первоначального направления. Поэтому логичной 3й пост перенести в изначальную, а эту переименовать например Определяем алгоритмы шифрации из dll файлов.