м, как вариант. может смотрел опять не тем и не то -)
да и опыта в ковырянии чужих приложений у меня мало.
глупое предположение: не генерируется ключ шифрования шкой = не шифруется трафик. защита от дурака так сказать.
м, как вариант. может смотрел опять не тем и не то -)
да и опыта в ковырянии чужих приложений у меня мало.
глупое предположение: не генерируется ключ шифрования шкой = не шифруется трафик. защита от дурака так сказать.
ну в общем благодаря тебе нашел ещё 1 фишечку, так сказать ты наталкнул если убираем entry.dll то шифрование меняется
самое печальное что это известие только всё усложнило ... данных стало в 2 раза больше, а результат тот же
Последний раз редактировалось kolosOK, 23.03.2009 в 20:10.
выше я писал список измененных файлов, соглашусь что шк неменяет, из твоих пакетов можно сделать вывод что entry.dll ваще неприделах Оо, но если глянуть раньше то видно что аутенфикация на 17534 порту дает ключик, строку байтов, на каторые меняются первые зашифрованые байты, опять же в последнем примере этого почемуто небыло (небыли изменены после номера протокола, байты), так серв и палит левый пакет(недошифрованый), но это все проза. Вощем скорей всего функция зашита в ла2.ехе оО, там фемида 2050, уже начал читать туторы но пока успеха нуль )
Последний раз редактировалось murc, 24.03.2009 в 01:15.
Причина: Или в engine.dll но это неважно ибо там таже самая темида xD
выше я писал список измененных файлов, соглашусь что шк неменяет, из твоих пакетов можно сделать вывод что entry.dll ваще неприделах Оо, но если глянуть раньше то видно что аутенфикация на 17534 порту дает ключик, строку байтов, на каторые меняются первые зашифрованые байты, опять же в последнем примере этого почемуто небыло (небыли изменены после номера протокола, байты), так серв и палит левый пакет(недошифрованый), но это все проза. Вощем скорей всего функция зашита в ла2.ехе оО, там фемида 2050, уже начал читать туторы но пока успеха нуль )
что значит не пре делах entry.dll ? ты не видеш разницу в пакетах ?
после номерка протокола идёт "00 00 00 00" потому что по 17453 порту приходит ключик "00 00 00 00 00 00 00 00 00 00 00 00"
если кто знает, можно ли сохранять изменения в IDA в .exe файл ? //сам разобрался, может
и ещё может есть у кого самая первая ШК которая начала трафик доп кодировать ?
и ещё в какой длл происходит стандартное ксор кодирование в клиенте ?
Последний раз редактировалось kolosOK, 24.03.2009 в 04:25.