ДЕШИФРУЕМ ТРАФИК

[VORON]

Цитата:

Сообщение от Name4Me

Собствено сам вопрос раскажите плиз как генерируеться начальний ключ в пкх (ток плиз как для нуба на примере) плз.

пост №97 на 5-й странице
а вапще по сути то что тут описывалось в начале оч похоже на то что ты описал..
попробуй ету измененную ДЛЛ подсунуть в пакетхак.. возможно она осилит входящий трафик- коректно..
ДЛЛ прикреплена к посту етому..
при старте пакетхака (режим перехвата- скрытый)

[Breadfan]

Цитата:

Сообщение от VORON

пост №97 на 5-й странице
а вапще по сути то что тут описывалось в начале оч похоже на то что ты описал..
попробуй ету измененную ДЛЛ подсунуть в пакетхак.. возможно она осилит входящий трафик- коректно..
ДЛЛ прикреплена к посту етому..
при старте пакетхака (режим перехвата- скрытый)

а исходник длл-ки можно увидеть? входящий траф вроде распознала, а исходящий все пакеты выглядат как пакеты 0хВ8, или 0х44 или еще как то, вобщем абсолютно все исходящие пакеты становятся одинакового типа

[Murdoc]

Цитата:

Сообщение от VORON

ДЛЛ прикреплена к посту етому..
при старте пакетхака (режим перехвата- скрытый)

Кроме режима перехвата какие опции должны быть включены/выключены? Обход смены ключа ксор? не дешифровывать трафик?

[MHz]

У меня еще не сформировались четко вопросы, но все-таки попробую изложить их.
Да, все замечательно, у нас есть дамп и тулза для проверки алгоритма шифрации, т.е. остается дело за "малым" - угадать его.
Мне кажется что такой подход совсем не гарантирует конечный результат и может поглотить бесконечное кол-во времени. Отсюда вопросы.
1. xkor - как ты догадался, что надо перехватывать API вызов connect? Как можно догадаться какими функциями посылаются и принимаются пакеты? Это send и recv или другие?
2. Что посоветуете почитать про отладку процессов и дизассемблирование? С чего начать?

Т.е. мне не нравится "угадывать" я хочу "знать" алгоритм. Для этого придется разбираться с хакерством. На ассемблере я программировал но чуть-чуть. Посоветуйте куда копать?

[Breadfan]

Цитата:

Сообщение от MHz

У меня еще не сформировались четко вопросы, но все-таки попробую изложить их.
Да, все замечательно, у нас есть дамп и тулза для проверки алгоритма шифрации, т.е. остается дело за "малым" - угадать его.
Мне кажется что такой подход совсем не гарантирует конечный результат и может поглотить бесконечное кол-во времени. Отсюда вопросы.
1. xkor - как ты догадался, что надо перехватывать API вызов connect? Как можно догадаться какими функциями посылаются и принимаются пакеты? Это send и recv или другие?
2. Что посоветуете почитать про отладку процессов и дизассемблирование? С чего начать?

Т.е. мне не нравится "угадывать" я хочу "знать" алгоритм. Для этого придется разбираться с хакерством. На ассемблере я программировал но чуть-чуть. Посоветуйте куда копать?

ммм екзешник и длл-ки в л2 упакованы Themida одной из последих версий, а это, как говорят, один из лучших крипторов на данный момент (конечно это не значит что абсолютно непреодолимый). И если все же у тебя получается снимать РАБОЧИЙ (aka Осмысленный, а не команды для VM) дамп с этих файлов , не мог бы ты выложить тутор по дампированию?

[MHz]

Цитата:

Сообщение от Breadfan

ммм екзешник и длл-ки в л2 упакованы Themida ... если у тебя получается снимать РАБОЧИЙ (aka Осмысленный, а не команды для VM)

Я начал копать эту тему только сегодня. Бегло поглядев на исходники inject.dll я вроде как понял, что эта либа находит в памяти обращение к API шной ф-ции connect и переставляет его на вызов себя. Я конечно могу ошибаться. Так что мне кажется, что в момент вызова send или recv код отвечающий за "шифрование" уже загружен в память и должен быть "виден" в каком-нибудь отладчике. Повторю еще раз это мои гипотезы. Видимо ты более сведущ в этих вопросах. С удовольствие выслушаю твои соображения.

P.S. Админы ведь как-то меняют стандартную шифрацию? Не думаю, чтобы у них был исходный код клиента.

[Breadfan]

Цитата:

Сообщение от MHz

P.S. Админы ведь как-то меняют стандартную шифрацию? Не думаю, чтобы у них был исходный код клиента.

Обычно покупают готовый пакет защиты и все, т.е. сами практически ничего неделают. По поводу "более сведущ в этих вопросах" повторюсь: я работаю слесарем, к программированию не имею абсолютно никакого отношения. Просто попытки уже были