ДЕШИФРУЕМ ТРАФИК

не смотря на положительный результат поиска алгоритма шифрования Вороном, сам процес остается довольно нетривиальным...
вот кто может найти логику
есть оригинальный пакет
2F 29 05 00 00 01 00 00 00 00
клиент его последовательно выдает
0B 9C 8F B3 80 81 86 9F 1C 8D
ED E2 FD D9 3E 37 14 65 FA E3
5F 18 F3 CF 0C 3D 32 FB E8 89
81 4E 01 15 6A 13 60 E1 66 FF
D3 C4 A7 2B D8 39 1E 97 F4 C5
F5 6A 55 91 D6 2F EC 9D 12 5B
E7 C0 8B C7 E4 75 4A 73 40 41
69 76 D9 4D 82 8B B8 99 FE F7
FB 0C BF A3 30 F1 B6 8F CC FD
DD 92 AD 49 6E 27 C4 D5 2A D3
0F 88 23 BF BC AD 62 EB 98 F9
F1 7E B1 85 9A 03 10 51 96 EF
83 74 D7 1B 88 A9 4E 87 A4 35
25 1A 05 01 06 1F 9C 0D 42 4B
57 70 BB B7 94 E5 7A 63 F0 B1
59 66 89 BD B2 7B 68 09 2E E7
AB BC EF 93 E0 61 E6 7F 7C 6D
21 6E 61 F5 CA F3 C0 C1 C6 DF
73 E4 07 0B 38 19 7E 77 54 A5
15 0A B5 71 36 0F 4C 7D 72 3B
07 E0 EB A7 44 55 AA 53 A0 21

Возможно конечно тут какой пропуск или лишнее вкропление...

[QaK]

DoomKopf, ты зачем шифт(или контрол) зажал при юзаньи скилла?
Конкретизируй, что за ло у тебя, это ты сидишь/стоишь, зажав кнопку юзанья скилла, или как? между этими пакетами есть какие-то вкрапленя, или нет, стоит ли галка не дешифровать трафик, или какие еще галки стоят/не стоят. Конкретней изъясняй ситуацию.

С4 656 трафик недешефрировался обход ксор ключа не включен
сидящий гном сидел с зажатым спойлом 1 лвл шифты контролы и альты не зажаты
PS вожможно не правильно вывел исходный пакет...

[QaK]

Цитата:

Сообщение от DoomKopf

вожможно не правильно вывел исходный пакет...

скорее всего, сделай так, сядь в безлюдом месте без мобов/нпц и плееров, очисти лог пакетхака, включи запоминание пакетов, зажми спойл, секунд на 10-15, после этого отключай запоминание пакетов и сохраняй лог в файл, и сюда аттач. З.Ы. галку дешифровать и обход смены хкор ключа убрать.

[VORON]

Цитата:

Сообщение от DoomKopf

не смотря на положительный результат поиска алгоритма шифрования Вороном, сам процес остается довольно нетривиальным...
вот кто может найти логику
есть оригинальный пакет
2F 29 05 00 00 01 00 00 00 00
клиент его последовательно выдает
0B 9C 8F B3 80 81 86 9F 1C 8D
ED E2 FD D9 3E 37 14 65 FA E3
5F 18 F3 CF 0C 3D 32 FB E8 89
81 4E 01 15 6A 13 60 E1 66 FF
D3 C4 A7 2B D8 39 1E 97 F4 C5
F5 6A 55 91 D6 2F EC 9D 12 5B
E7 C0 8B C7 E4 75 4A 73 40 41
69 76 D9 4D 82 8B B8 99 FE F7
FB 0C BF A3 30 F1 B6 8F CC FD
DD 92 AD 49 6E 27 C4 D5 2A D3
0F 88 23 BF BC AD 62 EB 98 F9
F1 7E B1 85 9A 03 10 51 96 EF
83 74 D7 1B 88 A9 4E 87 A4 35
25 1A 05 01 06 1F 9C 0D 42 4B
57 70 BB B7 94 E5 7A 63 F0 B1
59 66 89 BD B2 7B 68 09 2E E7
AB BC EF 93 E0 61 E6 7F 7C 6D
21 6E 61 F5 CA F3 C0 C1 C6 DF
73 E4 07 0B 38 19 7E 77 54 A5
15 0A B5 71 36 0F 4C 7D 72 3B
07 E0 EB A7 44 55 AA 53 A0 21

Возможно конечно тут какой пропуск или лишнее вкропление...

думаю если ты понял вапще суть того что изложено в етом топе то ты понял что ключ для шифровки/дешифровки пакета вычисляется из предыдущего пакета.. причем раздельно для входящего и исходящего трафика- независимо- если ты сам сказал что тут вкрапления возможны- то сори- всё теряет смысл...
вкраплений быть не должно.. и покет в оригинале сделай чтоб 8 нулей подряд было.. как ето сделать? в топе уже всё обмусолено 100 раз.. у тебя пакет мало нулей содержит исходный.. мало того.. задачу надо ставить начиная с того- ИСХОДЯЩИЙ ТРАФ ИЛИ ВХОДЯЩИЙ?.. вопщем если ты читал тему- то постановка задачи начинается с лога.. причем без всяких вкраплений.. с указанием вход/выход (для клиента).. и чтоб в исходнов виде тестируеый пакет имел 8-10 и больше нулей подряд... нули дают нам шанс отловить ключ.. я нехачу объяснять то что в етом топе уже написано- не поленись прочти еще раз..

[Polymorph]

попал в такой вот тупик:
при анализе дешифрованного пакетхаком (пх) трафика в зависимости от установки флага не дешифровать трафик, хвосты пакетов могут изменятся от запроса к запросу или оставатся постоянными во всех пакетах.

2voron, если читаешь это сообщение, оставь в личку свой номер аськи, есть желание задать пару вопросов по теме

Добавлено через 23 часа 44 минуты
Вот ещё отловил небольшой кусок трафика.
Без дешифразии и обхода ксор ключа.

Код:

Исх:	00EA0200000907545603090B0107025454560700025556005100535704075508540107015300565556010605045103085108515604540655080209515601530655045300565653010902090151545109555609030407055504065504060904510108080605520604010754030652550655555101020454035554015751550552055407515155070253530052055207015400030505080605050603000D08010709035103075309510607540A50560252040555510253000854045256060209000803535601050055060856040D0607520607040A0601045404000502045400095253050401040505015251520D065108095453000D01020354530105030856540702540B06DC4F614F
Вх:		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
Исх:	FDF08C16C148E54CB3B01CAE33A45BF6A1DDD20850D0346B685D9999385465
Вх:		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
Исх:	ACDEF899EC8BB9D1D8F5	(XX XOR 2D)
Вх:		D4409B4FC2788B3F89
Вх:		B5							(25 XOR 90)		
Исх:	ACDEF899EC8BB9D1C2EF	(XX XOR 2D)
Исх:	ACDEF899EC8BB9D1CCE1	(XX XOR 2D)
Вх:		D4409B4FC2788B3F9F				+16
Исх:	ACDEF899EC8BB9D1F6DB	(XX XOR 2D)
Исх:	ACDEF899EC8BB9D1E0CD	(XX XOR 2D)
Вх:		BC							(25 XOR 99)		+9
Исх:	ACDEF899EC8BB9D1EAC7	(XX XOR 2D)
Исх:	ACDEF899EC8BB9D194B9	(XX XOR 2D)
Исх:	ACDEF899EC8BB9D19EB3	(XX XOR 2D)
Исх:	ACDEF899EC8BB9D188A5	(XX XOR 2D)
Исх:	ACDEF899EC8BB9D1B29F	(XX XOR 2D)
Исх:	ACDEF899EC8BB9D1BC91	(XX XOR 2D) 
Исх:	ACDEF899EC8BB9D1A68B	(XX XOR 2D)
Вх:		D4409B4FC2788B3FA5				+6			(каждый 4й раз идёт + 16)
Исх:	ACDEF899EC8BB9D1507D	(XX XOR 2D)
Вх:		B7							(25 XOR 92)		-7
Исх:	ACDEF899EC8BB9D15A77	(XX XOR 2D)
Исх:	ACDEF899EC8BB9D14469	(XX XOR 2D)
Исх:	ACDEF899EC8BB9D14E63	(XX XOR 2D)
Исх:	ACDEF899EC8BB9D17855	(XX XOR 2D)
Вх:		D4409B4FC2788B3FAB				+6
Исх:	ACDEF899EC8BB9D1624F	(XX XOR 2D)
Исх:	ACDEF899EC8BB9D16C41	(XX XOR 2D)
Вх:		BE							(25 XOR 9B)		+9
Исх:	ACDEF899EC8BB9D1163B	(XX XOR 2D)
Исх:	ACDEF899EC8BB9D1002D	(XX XOR 2D)
Исх:	ACDEF899EC8BB9D10A27	(XX XOR 2D)
Исх:	ACDEF899EC8BB9D13419	(XX XOR 2D)
Исх:	ACDEF899EC8BB9D13E13	(XX XOR 2D)
Исх:	ACDEF899EC8BB9D12805	(XX XOR 2D)
Исх:	ACDEF899EC8BB9D1D2FC	(XX XOR 2E) СМЕНА !!!
Вх:		D4409B4FC2788B3FB1				+6
Исх:	ACDEF899EC8BB9D1DCF2	(XX XOR 2E) 
Исх:	ACDEF899EC8BB9D1C6E8	(XX XOR 2E)
Вх:		C9							(25 XOR EC)		+51
Исх:	ACDEF899EC8BB9D1F0DE	(XX XOR 2E)
Исх:	ACDEF899EC8BB9D1FAD4	(XX XOR 2E)
Исх:	ACDEF899EC8BB9D1E4CA	(XX XOR 2E)
Исх:	ACDEF899EC8BB9D1EEC0	(XX XOR 2E)
Исх:	ACDEF899EC8BB9D198B6	(XX XOR 2E)
Исх:	ACDEF899EC8BB9D182AC	(XX XOR 2E)
Исх:	ACDEF899EC8BB9D18CA2	(XX XOR 2E)
Вх:		D4409B4FC2788B3FC7				+16
Исх:	ACDEF899EC8BB9D1B698	(XX XOR 2E)
Вх:		C0							(25 XOR E5)		-7
Исх:	ACDEF899EC8BB9D1A08E	(XX XOR 2E)
Исх:	ACDEF899EC8BB9D1AA84	(XX XOR 2E)
Исх:	ACDEF899EC8BB9D1547A	(XX XOR 2E)
Исх:	ACDEF899EC8BB9D15E70	(XX XOR 2E)
Исх:	ACDEF899EC8BB9D14866	(XX XOR 2E)
Исх:	ACDEF899EC8BB9D1725C	(XX XOR 2E)
Вх:		D4409B4FC2788B3FCD				+6
Исх:	ACDEF899EC8BB9D17C52	(XX XOR 2E)
Вх:		CB							(25 XOR EE)		+9
Исх:	ACDEF899EC8BB9D16648	(XX XOR 2E)
Исх:	ACDEF899EC8BB9D1103E	(XX XOR 2E)
Исх:	ACDEF899EC8BB9D11A34	(XX XOR 2E)
Исх:	ACDEF899EC8BB9D1042A	(XX XOR 2E)
Исх:	ACDEF899EC8BB9D10E20	(XX XOR 2E)
Исх:	ACDEF899EC8BB9D13816	(XX XOR 2E)
Исх:	ACDEF899EC8BB9D1220C	(XX XOR 2E)
Исх:	ACDEF899EC8BB9D12C02	(XX XOR 2E)
Исх:	ACDEF899EC8BB9D1D6F9	(XX XOR 2F) СМЕНА !!! (2Е -- 26 раз)
Исх:	ACDEF899EC8BB9D1C0EF	(XX XOR 2F) 9F 5B 17 D3 9F 5B 17 D39 F 5B 17 D3 9(!)
Вх:		D4409B4FC2788B3FD3				+6
Исх:	ACDEF899EC8BB9D1CAE5	(XX XOR 2F)
Исх:	ACDEF899EC8BB9D1F4DB	(XX XOR 2F)
Вх:		C2							(25 XOR E7)		-7
Исх:	ACDEF899EC8BB9D1FED1	(XX XOR 2F)
Исх:	ACDEF899EC8BB9D1E8C7	(XX XOR 2F)
Исх:	ACDEF899EC8BB9D192BD	(XX XOR 2F)
Исх:	ACDEF899EC8BB9D19CB3	(XX XOR 2F)
Исх:	ACDEF899EC8BB9D186A9	(XX XOR 2F)
Исх:	ACDEF899EC8BB9D1B09F	(XX XOR 2F)
Исх:	ACDEF899EC8BB9D1BA95	(XX XOR 2F)
Вх:		D4409B4FC2788B3FD9				+6
Исх:	ACDEF899EC8BB9D1A48B	(XX XOR 2F)
Исх:	ACDEF899EC8BB9D1AE81	(XX XOR 2F)
Вх:		CD							(25 XOR E8)		+1
Исх:	ACDEF899EC8BB9D15877	(XX XOR 2F)
Исх:	ACDEF899EC8BB9D1426D	(XX XOR 2F)
Исх:	ACDEF899EC8BB9D14C63	(XX XOR 2F)
Исх:	ACDEF899EC8BB9D17659	(XX XOR 2F)
Исх:	ACDEF899EC8BB9D1604F	(XX XOR 2F)
Исх:	ACDEF899EC8BB9D16A45	(XX XOR 2F)
Исх:	ACDEF899EC8BB9D1143B	(XX XOR 2F)
Исх:	ACDEF899EC8BB9D11E31	(XX XOR 2F)
Вх:		D4409B4FC2788B3FEF				+16
Исх:	ACDEF899EC8BB9D10827	(XX XOR 2F)
Вх:		C4							(25 XOR E1)		-7
Исх:	ACDEF899EC8BB9D1321D	(XX XOR 2F)
Исх:	ACDEF899EC8BB9D13C13	(XX XOR 2F)
Исх:	ACDEF899EC8BB9D12609	(XX XOR 2F)
Вх:		D4409B4FC2788B3FF5				+6
Исх:	ACDEF899EC8BB9D1D0E0	(XX XOR 30) СМЕНА !!! (2F -- 25 раз)
Исх:	ACDEF899EC8BB9D1DAEA	(XX XOR 30)
Вх:		CF							(25 XOR EA)		+9
Исх:	ACDEF899EC8BB9D1C4F4	(XX XOR 30)	(F4 xor 0A) => FE xor 30 => CE
Исх:	ACDEF899EC8BB9D1CEFE	(XX XOR 30) (FE xor 36) => C8 xor 30 => F8
Исх:	ACDEF899EC8BB9D1F8C8	(XX XOR 30) (C8 xor 1A) => D2 xor 30 => E2
Исх:	ACDEF899EC8BB9D1E2D2	(XX XOR 30) (D2 xor 0E) => DC xor 30 => EC
Исх:	ACDEF899EC8BB9D1ECDC	(XX XOR 30) (DC XOR 7A) => A6 xor 30 => 96
Исх:	ACDEF899EC8BB9D196A6	(XX XOR 30) (A6 xor 16) => B0 xor 30 => 80
Исх:	ACDEF899EC8BB9D180B0	(XX XOR 30) (B0 xor 0A) => BA xor 30 => 8A
Исх:	ACDEF899EC8BB9D18ABA	(XX XOR 30)	(BA xor 8E) => 84 xor 30 => B4
Исх:	ACDEF899EC8BB9D1B484	(XX XOR 30) (84 xor 0A) => 8E xor 30 => BE
Исх:	ACDEF899EC8BB9D1BE8E	(XX XOR 30) (8E xor 26) => 98 xor 30 => A8
Вх:		D4409B4FC2788B3FFB				+6
Исх:	ACDEF899EC8BB9D1A898	(XX XOR 30) (98 XOR FA) => 62 xor 30 => 52
Вх:		C6							(25 XOR E3)		-7
Исх:	ACDEF899EC8BB9D15262	(XX XOR 30)	(62 xor 0A) => 6C xor 30 => 5C
Исх:	ACDEF899EC8BB9D15C6C	(XX XOR 30)											 
Исх:	ACDEF899EC8BB9D14676	(XX XOR 30)											
Исх:	ACDEF899EC8BB9D17040	(XX XOR 30)
Исх:	ACDEF899EC8BB9D17A4A	(XX XOR 30)
Исх:	ACDEF899EC8BB9D16454	(XX XOR 30)
Исх:	ACDEF899EC8BB9D16E5E	(XX XOR 30)
Вх:		D4409B4FC2788B3F01				+6
Исх:	ACDEF899EC8BB9D11828	(XX XOR 30)
Вх:		C1							(25 XOR E4)		+1
Исх:	ACDEF899EC8BB9D10232	(XX XOR 30)
Исх:	ACDEF899EC8BB9D10C3C	(XX XOR 30)
Исх:	ACDEF899EC8BB9D13606	(XX XOR 30)
Исх:	ACDEF899EC8BB9D12010	(XX XOR 30)
Исх:	ACDEF899EC8BB9D12A1A	(XX XOR 30)
Исх:	ACDEF899EC8BB9D1D4E5	(XX XOR 31) СМЕНА !!! (30 -- 26 раз)
Исх:	ACDEF899EC8BB9D1DEEF	(XX XOR 31) 
Вх:		D4409B4FC2788B3F17				+16
Исх:	ACDEF899EC8BB9D1C8F9	(XX XOR 31)
Исх:	ACDEF899EC8BB9D1F2C3	(XX XOR 31)
Вх:		C8							(25 XOR ED)		+9
Исх:	ACDEF899EC8BB9D1FCCD	(XX XOR 31)
Исх:	ACDEF899EC8BB9D1E6D7	(XX XOR 31)
Исх:	ACDEF899EC8BB9D190A1	(XX XOR 31)
Исх:	ACDEF899EC8BB9D19AAB	(XX XOR 31)
Исх:	ACDEF899EC8BB9D184B5	(XX XOR 31)
Исх:	ACDEF899EC8BB9D18EBF	(XX XOR 31)
Вх:		D4409B4FC2788B3F1D				+6
Исх:	ACDEF899EC8BB9D1B889	(XX XOR 31)
Исх:	ACDEF899EC8BB9D1A293	(XX XOR 31)
Исх:	ACDEF899EC8BB9D1AC9D	(XX XOR 31)
Вх:		C3							(25 XOR E6)		-7
Исх:	ACDEF899EC8BB9D15667	(XX XOR 31)
Исх:	ACDEF899EC8BB9D14071	(XX XOR 31)
Исх:	ACDEF899EC8BB9D14A7B	(XX XOR 31)
Исх:	ACDEF899EC8BB9D17445	(XX XOR 31)
Исх:	ACDEF899EC8BB9D17E4F	(XX XOR 31)
Исх:	ACDEF899EC8BB9D16859	(XX XOR 31)
Вх:		D4409B4FC2788B3F23				+6
Исх:	ACDEF899EC8BB9D11223	(XX XOR 31)
Вх:		CA							(25 XOR EF)		+9
Исх:	ACDEF899EC8BB9D11C2D	(XX XOR 31)
Исх:	ACDEF899EC8BB9D10637	(XX XOR 31)
Исх:	ACDEF899EC8BB9D13001	(XX XOR 31)
Исх:	ACDEF899EC8BB9D13A0B	(XX XOR 31)
Исх:	ACDEF899EC8BB9D12415	(XX XOR 31)
Исх:	ACDEF899EC8BB9D12E1F	(XX XOR 31)
Исх:	ACDEF899EC8BB9D1D8EA	(XX XOR 32) СМЕНА !!! (31 -- 26 раз)
Исх:	ACDEF899EC8BB9D1C2F0	(XX XOR 32)
Вх:		D4409B4FC2788B3F29				+6
Исх:	ACDEF899EC8BB9D1CCFE	(XX XOR 32)
Вх:		C5							(25 XOR E0)		-F
Исх:	ACDEF899EC8BB9D1F6C4	(XX XOR 32)
Исх:	ACDEF899EC8BB9D1E0D2	(XX XOR 32)
Исх:	ACDEF899EC8BB9D1EAD8	(XX XOR 32)
Исх:	ACDEF899EC8BB9D194A6	(XX XOR 32)
Вх:		D4409B4FC2788B3F3F				+16
Исх:	ACDEF899EC8BB9D19EAC	(XX XOR 32)
Вх:		CC							(25 XOR E9)		+9
Исх:	ACDEF899EC8BB9D188BA	(XX XOR 32)
Исх:	ACDEF899EC8BB9D1B280	(XX XOR 32)
Исх:	ACDEF899EC8BB9D1BC8E	(XX XOR 32)
Исх:	ACDEF899EC8BB9D1A694	(XX XOR 32)
Исх:	ACDEF899EC8BB9D15062	(XX XOR 32)
Исх:	ACDEF899EC8BB9D15A68	(XX XOR 32)
Исх:	ACDEF899EC8BB9D14476	(XX XOR 32)
Исх:	ACDEF899EC8BB9D14E7C	(XX XOR 32)
Вх:		D4409B4FC2788B3F45				+6
Исх:	ACDEF899EC8BB9D1784A	(XX XOR 32)
Вх:		C7							(25 XOR E2)		-7
Исх:	ACDEF899EC8BB9D16250	(XX XOR 32)
Исх:	ACDEF899EC8BB9D16C5E	(XX XOR 32)
Исх:	ACDEF899EC8BB9D11624	(XX XOR 32)
Вх:		D4409B4FC2788B3F4B				+6
Вх:		CE							(25 XOR EB)		+9

F1 BD 79 35 F1 BD 79 35 F1 BD 79 35 F1		-2D - последовательность "хваста" генерируемого пакета
C2 8E 4A 06 C2 8E 4A 06 C2 8E 4A 06 C2		-2E
9F 5B 17 D3 9F 5B 17 D3 9F 5B 17 D3 9(F)	-2F
0A 4E 82 C6 0A 4E 82 C6 0A 4E 82 C6 0A		-30
5F 93 D7 1B 5F 93 D7 1B 5F 93 D7 1B 5F		-31
A0 E4 28 6C A0 E4 28 6C A0 E4 28 6C A0		-32


4E 56 D2 97 CC 12 44 8F     - xor ключ
D4 40 9B 4F C2 78 8B 3F 45  - пакет в зашифрованом виде
64 1F 00 00 00 00 00 00 00	- пакет в расшифрованом виде

Кое-какие мысли в голову идут, но пока только о генерации шифрованых пакетов. Расшифровать имеющиеся пакеты к должному виду не выходит.

Добавлено через 7 минут
"хвост" пакета дополняется значением из тех последовательностей что внизу лога. причём начинатся "дополнение" чожет с любого символа последовательности, и идти как влево так и вправо.
эти последовательности (1, 3, 5) и (2, 4) аналогичны между собой, но чередование в них идёт разное, но всегда по порядку и циклически. причём для 2f нехватает одного символа для завершения.
видимо функция берёт символы по мере необходимости и может перескочить на новую в любой момент (по запросу или по каким либо условиям).

[ASSA]

Посмотрите плиз кто знает
http://coderx.ru/showthread.php?t=267

[VORON]

предлагаю изменить способ общения.. набор цифр лога мало инфы в себе несет...
по возможности- нужен лог без дешифровки+ дешифровка к нему + жэлательно каждому пакету ключ указывать..
т.е. табличка из 3-х колонок.. в первом столбце- пакет отловленый во втром дешифровка к нему, в третьем- ключ для того чтобы из первого столбца получить второй..
из етих данных нужно думать как ключ меняется от пакета к покету..

[Polymorph]

Тогда вдогонку своему посту выше - архив:
http://slil.ru/25737435
В нём лог ПХ без дешираации и без обхода смены ксор ключа + xls документ с таблицей как предложил VORON

Заметка: Если отловить ПХ пакет на селф баф (вампирик например), и потом без изменений послать такой же - сервер его скушает и выполнит баф. Но если после клон-пакета попытатся в игре куда нибуть побежать: чар бежит в самые разные стороны. т.е. сервер продолжает дешифровать, думая что предидущий пакет (клон-пакет) был зашифрован правильно. И как следствие - если хотя бы 1 пакет будет зашифрован не верно, все остальные от клиента будут для сервера хоть и верными, но нести не правильную инфу. В итоге если ПХ клезет хоть одним пакетом, то всё общение клиент-сервер будет не верным, в итоге, клиент должен сдисконнектнутся. И вылетит ПХ. Омг, чёж делать то.

[ASSA]

Перед вводом новой защиты был апдейт, и длл-ки заменили.
Я вообще понимаю что дешифрование/шифрование идет в длл.
Но я не хотел бы заморачиваться и там копаться, хотя можно было бы если с кем то на пару хотябы. Я вообще хотел использовать дешифратор на делфи или на л2пх, так как известно что при входе на ГС я получаю криптини с ключем, потом этот ключ используется для шифрации входящего трафа и меняется на длинну пакета(вроде или типа чето в етом духе) и исходящего с таким же изменением. то есть у нас уже 2 ключа, но для разных трафов. Поэтому нада дергать ключ на стадии логина и включать скрипт, чтоб он иммитировал изменения ключа(и серв них не просек). Вот чтоб я сделал еслиб был супер програмером=)))

Поправьте если вы знаете больше=)