Вернуться   CoderX :: Forums > Основные форумы > Программинг
Войти через OpenID

Программинг Форум для тем связанных с программированием

Чат (Новых сообщений с момента вашего последнего визита нет)
Загрузка...
Задавайте ваши вопросы на форуме. Чат предназначен для небольших разговоров.
 
Ответ
 
Опции темы Опции просмотра
Старый 16.11.2016, 16:24   #21
Местный
 
Аватар для ScythLab
 
Регистрация: 24.10.2014
Сообщений: 190
Сказал Спасибо: 4
Имеет 42 спасибок в 40 сообщенях
ScythLab пока неопределено
По умолчанию

Потому что код может быть размазан практически по всей dll, с обращением к глобальным переменным, непонятным прыжкам, вызовом функций и прочему шлаку.
__________________
Хобби: разработка бота для Lineage.
ScythLab вне форума   Ответить с цитированием
Старый 21.11.2016, 17:42   #22
Новичок
 
Регистрация: 12.11.2016
Сообщений: 12
Сказал Спасибо: 2
Имеет 0 спасибок в 0 сообщенях
Nosferatu пока неопределено
По умолчанию

Поковырялся через OllyDbg, мучался долго, кое-чего освоил. До разгадывания алгоритмов шифрации еще далековато.
Заметил одну особенность:пакет(RequestAuthLogin), который я заснифал и просмотрел через WireShark имеет вид: FF 00 FA B2 00 11 ...
А тот, что приходит на мой псевдо-сервак от клиента имеет стандартный вид: B2 00 11... И никакого FF 00 FA там нету.
Причем смотрел на клиент через OllyDbg, он тоже отправляет стандартный пакет.
Может ли быть, что информация, которая идет перед и после стандартного пакета просто тупо системной?



Сорри, обновил клиент, опять стал приходить блок с FF 00 FA. Буду разбираться...


И снова сорри. Этот блок появляется при выключенной оле=))так что гдето стоит штука, определяющая олю. А жаль..=))


И это была темида. Победить ее удалось с помощью ольки 9 in 1 =)

Последний раз редактировалось Nosferatu, 21.11.2016 в 18:49.
Nosferatu вне форума   Ответить с цитированием
Старый 21.11.2016, 22:11   #23
Местный
 
Регистрация: 22.10.2014
Сообщений: 122
Сказал Спасибо: 1
Имеет 8 спасибок в 7 сообщенях
alexov пока неопределено
По умолчанию

не совсем понял что там произошло, но рад что у тебя получилось глядишь будет у кого поучиться)
alexov вне форума   Ответить с цитированием
Старый 22.11.2016, 15:24   #24
Новичок
 
Регистрация: 12.11.2016
Сообщений: 12
Сказал Спасибо: 2
Имеет 0 спасибок в 0 сообщенях
Nosferatu пока неопределено
По умолчанию

Добавлено через 2 часа 16 минут
Цитата:
Сообщение от alexov Посмотреть сообщение
не совсем понял что там произошло, но рад что у тебя получилось глядишь будет у кого поучиться)
Темида определяла, что Lineaage2 запущена в отладке и игнорировала блок дополнительной шифрации.

Последний раз редактировалось Nosferatu, 22.11.2016 в 15:24. Причина: Добавлено сообщение
Nosferatu вне форума   Ответить с цитированием
Старый 23.11.2016, 18:29   #25
Новичок
 
Регистрация: 12.11.2016
Сообщений: 12
Сказал Спасибо: 2
Имеет 0 спасибок в 0 сообщенях
Nosferatu пока неопределено
По умолчанию

Не могу понять оду вещь:
Есть виндовая функция для отправки данных - w2_32.send
Собственно ставил брэйкпоинты на ней и просмотрел что в качестве параметров передается в нее. Это пакеты.
Проблема в пакете, в который добалены дополнительные нестандартные данные(RequestAuthLogin). В фунцию w2_32.send посылается стандартный пакет. Похоже что дополнительные данные отправляются помимо этой функции, либо она как-то модифицируется в процессе формирования пакета. Буду разбираться...
Может кто в курсе?
Nosferatu вне форума   Ответить с цитированием
Старый 23.11.2016, 21:50   #26
Пользователь
 
Регистрация: 14.07.2016
Сообщений: 59
Сказал Спасибо: 6
Имеет 10 спасибок в 9 сообщенях
Smwr на пути к лучшему
По умолчанию

Могу ошибаться, но любой выход в сеть сводится к вызову из winsock. Смотри внимательнее.
Smwr вне форума   Ответить с цитированием
Старый 23.11.2016, 23:53   #27
Местный
 
Регистрация: 22.10.2014
Сообщений: 122
Сказал Спасибо: 1
Имеет 8 спасибок в 7 сообщенях
alexov пока неопределено
По умолчанию

клиент накрыт каким-то дополнительным слоем логики, смешанным с защитой.
когда ты лезешь в клиент, видимо как-то нарушаешь логику работы этого слоя, либо он сам отрубается чтобы ты в него не залез. вот и пропадает дополнительная обертка над траффиком (имхо конеш)
alexov вне форума   Ответить с цитированием
Старый 24.11.2016, 00:00   #28
Местный
 
Аватар для ScythLab
 
Регистрация: 24.10.2014
Сообщений: 190
Сказал Спасибо: 4
Имеет 42 спасибок в 40 сообщенях
ScythLab пока неопределено
По умолчанию

Nosferatu, а как ты определяешь, что реально отправляется? Если через WireShark, то не забывай, что он показывает вспомогательные данные транспортного и прочих уровней протокола.

PS. и в ws2_32 имеется несколько функций send, так что смотри на фрейм пакета - какая длина пакета указана в первых двух байтах, какая реальная длина и сравнивай что отправляется и что уходит.
Если есть сомнения насчет защиты и что она определяет отладку, то делай хук и логируй весь трафик (только некоторые защиты проверяют хук send функции, а некоторые сами ее хукают, это тоже нужно учитывать).
__________________
Хобби: разработка бота для Lineage.

Последний раз редактировалось ScythLab, 24.11.2016 в 00:04.
ScythLab вне форума   Ответить с цитированием
Старый 24.11.2016, 20:26   #29
Новичок
 
Регистрация: 12.11.2016
Сообщений: 12
Сказал Спасибо: 2
Имеет 0 спасибок в 0 сообщенях
Nosferatu пока неопределено
По умолчанию

С защитой я разобрался, все нормально.

Да, действительно клиент вносит поправки в функцию send.
Точно не уверен как, но по логике так:загружает w2_32.dll в оперативную память, затем уже в оперативке немного модифицирует. Причем так,что сразу же после вызова функции send управление передается куску кода из некого fire.dll, а в нем и происходит формирование нового пакета и подмена параметров функции send(указатель на данные и длина).

Расставил бряки, и нашел кусок который формирует эти дополнительные данные. Теперь дело за восстановлением алгоритма. Иду учить ассемблер=))

p.s. для принятия-отправки данных я использую самописную прогу, которая отвечает клиенту заранее сохраненными пакетами реальной сессии. Снифал пакеты с помощью по на роутере (роутер Mikrotik)
Nosferatu вне форума   Ответить с цитированием
Старый 24.11.2016, 22:42   #30
Местный
 
Аватар для supernewbie
 
Регистрация: 23.09.2009
Сообщений: 1,232
Сказал Спасибо: 119
Имеет 172 спасибок в 134 сообщенях
supernewbie пока неопределено
По умолчанию

Цитата:
Сообщение от Nosferatu Посмотреть сообщение
для принятия-отправки данных я использую самописную прогу, которая отвечает клиенту заранее сохраненными пакетами реальной сессии
если заюзан nonce то такое не прокатит
__________________
Начало.
supernewbie вне форума   Ответить с цитированием
Ответ

  CoderX :: Forums > Основные форумы > Программинг



Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Часовой пояс GMT +4, время: 02:50.

vBulletin style designed by MSC Team.
Powered by vBulletin® Version 3.6.11
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot
Locations of visitors to this page
Rambler's Top100

Вы хотите чувствовать себя в безопасности? чоп Белган обеспечит её!