ммм екзешник и длл-ки в л2 упакованы Themida одной из последих версий, а это, как говорят, один из лучших крипторов на данный момент (конечно это не значит что абсолютно непреодолимый). И если все же у тебя получается снимать РАБОЧИЙ (aka Осмысленный, а не команды для VM) дамп с этих файлов , не мог бы ты выложить тутор по дампированию?
На своем сервере.... Длл, в которой происходит шифрация упакована последней фемидой, но, Олли, плагин хайд дебугер, позволяет смотреть, что же там все таки делается, а следовательно, контрал+Ц, контрал+В и анализировать.
Цитата:
Сообщение от ratvier
Не такие уж они и абстрактные...
Что угодно, и даже всё подряд
Интуиция, огромная практика, представление по каким признакам можно выделить нужный участок кода, и конечно танцы с бубном =D
Дизасм и дебагер - неразделимые вещи, фтыкать в асм листинг, конечно, здорово, но я предпочитаю сразу щупать в дебагере)
зыж Трудно что-то сказать по такому сложному вопросу, гораздо проще объяснять на практике
Зачем все подряд, аттач олли в клиент, исполняемые модули, ищешь энджин, открываешь его, поиск строковых обьявлений, и у тебя список функций движка клиента, с их адресами, дальше бряки на функции, которые хочешь анализировать. Кстати, функции названы почти аналогично названиям пакетов из списка Packets.ini пкх
Дим, ты мне онлайн в аське нужен. кое что сделал и нарыл много вкусного.
исполняемые модули, ищешь энджин, открываешь его, поиск строковых обьявлений, и у тебя список функций движка клиента, с их адресами,
можно тут поподробней?
софтину пока исчу.. буду благодарен если кто то выложит рабочие ссылки для софтины необходимой для реверсинга..
можно "нуб киллинг" сделать?: скажите что такое инджин длл?
__________________
Цитата:
Сообщение от pybukon
прежде чета попросить я немнога раскажу чтоб вы понили как мне плоха
Цитата:
Сообщение от Byrger
А как сделать мой скрипт бесконечным?
Цитата:
Сообщение от XKOR
.. каждый день ионизированной ногой протирает больную)
Цитата:
Сообщение от PsyR
Вылоджите пожалуйста скрипт на рыбалку желательно что бы сам в ВХ клал адаптированый под шоки и так же скрипт на ТТ рец, тоже с диалогами
это ф-ция SocialAction, в ней прыжки на отправку пакета, запись пакета в лог (клиент умеет вести логи пакетов), и прыжек в обработчик окна(NWindow.dll)
Правда я чуток не по теме тут пишу, прошу простить )
Dmitry501, м.б. тему завести - "Изучаем клиент изнутри"?
Последний раз редактировалось Sherman, 11.07.2008 в 12:45.
Куски из Engine тут мало помогут). Необходимо смотреть l2.exe и npkpdb.dll...Насколько я помню именно в длл вшиты искомые алгоритмы. Во избежание вопросов поясню: есть 2 клиента, один от простого серва, второй от шифрованного, различаются именно этими файлами, отсюда и сделан вывод.
Согласен, просто наглядно показал как оно выглядит. Если говорит о моем сервере, то в этом месте:
00444B93 FF51 64 CALL DWORD PTR DS:[ECX+64]
у меня идет прыжок в функцию отправки, в которой перед вызовом Send
добавлен неродной для клиента длл кой прыжок в нее, где происходит шифрование пакета.
Столкнулся с аналогичной проблемой...
Вообщем история была такова, сначало на сервере стояла просто защита ЛС от ботов, l2.exe был невидим, стояли последние верси ГГ итд итп, но вообщем это все более или менее обходилось, можно было юзать бота, phx итд итп
Однако в один день это пофиксили проведя тех работы на сервере и соответственно заменив в патче файл npkcrypt
После этого пакеты стали приходить зашифрованными
Бот начал выдавать сообщение аля
PacketProcessError [F9][00]
ну дак вот вообщем считаю корнем сего зла файл npkcrypt
ЗЫ Правильно ли я считаю ?
На своем сервере.... Длл, в которой происходит шифрация упакована последней фемидой, но, Олли, плагин хайд дебугер, позволяет смотреть, что же там все таки делается, а следовательно, контрал+Ц, контрал+В и анализировать.
Пожалуйста, просветите ленивого нуба, как помешать Фемиде находить Олли, а то вот что выходит у меня
Если не трудно, посоветуйте. Спс.
P.S. HideDebugger 1.23
Последний раз редактировалось MHz, 14.07.2008 в 23:20.