ДЕШИФРУЕМ ТРАФИК

[VORON]

хотелосьбы чтоб кто то научил ревеверсингу.. с чего начать? что делать.. необходимый софт для етого ? и вкраце что да как там.. метод подбора и наблюдение закономерностей лога в более менее сложных случаях- недает результата.. реверсинг выглядит более надежней.. немогбы ктонить дать краткую инструкцию по етому поводу?

[dmitry501]

Цитата:

Сообщение от VORON

хотелосьбы чтоб кто то научил ревеверсингу.. с чего начать? что делать.. необходимый софт для етого ? и вкраце что да как там.. метод подбора и наблюдение закономерностей лога в более менее сложных случаях- недает результата.. реверсинг выглядит более надежней.. немогбы ктонить дать краткую инструкцию по етому поводу?

Почитай на wasm.ru есть отличные туториалы

[GranDIS]

Здраствуите уважаемые Читеры. Судя по прочитаному в ФАК я попал как раз туда где надо.
Сразу предупреждаю я новечёк в работе с пакетами но уже достиг небольших высот для себя, но шас столкулся с проблеммои.
Сервер(La2Onix х200к мульти) на котором играю перешол на Kamael и теперь я не как не могу коректно запустить PHX и отправить правельные пакеты.
1. при запуске Phx у меня заместь ника стоит просто "-" как это можно исправить.
2. при отправке пакетов на скилы заместь них я получаю шо то совсем странное (напимер при изучении скила Freenteza critical power я просто лечю в гиран)
с вашего форума скачал пакет ини для Т1 поставил его но такнечего и не изменилось(использовал L2phx 3.1.9)
а при использовании L2phx 3.2.0 вылетате ошибка с модулями.
Очень сильно прошу помогите мне с етим разобраца.
Жду ваших отзывов!!!
З.Ы. скачал ,нашол ID скилов kamael и конвентор для них но всеравно не чего неполучаецооО

Добавлено через 14 часов 54 минуты
Access violation at adress 00528B13 in module 'l2phx.exe' Reed of adress 00000000
и еше подскажите вот на шо он ругаеца и как это убрать

[VORON]

а можно своими словами? ну без прямой ссылки "ПОШЕЛ ТЫ НА.. wasm.ru"
ну нам нужно етот ресурс поднимать а не тот.. и хочется чтоб тут люди общались и узнавали друг от друга инфу полезную.. если есть знания поделись.. ответ на мой вопрос думаю уложится на одну страницу поста.. кто может ответить норм?

Добавлено через 18 минут

Цитата:

Сообщение от Breadfan

Для изменения получения первого ключа на исходящий трафик нужно править эту часть? :

PHP код:

procedure TXorCodingOut.InitKey(const XorKey; Interlude: Boolean);
var key2:array[0..15] of Byte;
begin
  keyLen:=7;
  Move(XorKey,key2,4);
  key2[0]:=key2[0]xor $82;
  key2[1]:=key2[1]xor $93;
  key2[4]:=key2[2]xor $1a;
  key2[5]:=key2[3]xor $41;
  key2[2]:=0;
  key2[3]:=0;
  key2[6]:=0;
  key2[7]:=0;
  Move(key2,GKeyS,16);
  Move(key2,GKeyR,16);
end; 


незнаюю у меня они (ключи) совпали поетому 2 процедуры или как или функции лучше были идентичны я над етим не заморачивался.. ето вопрос напряму к КОРУ.. тока он знает как он там напрограмил их-) но думаю названия процедур даны относительно клиента.. т.е. если ОУТ то ето от клиента исходящий траф.. думаю так..
а как проверить? ну думаю ето надо.. хм.. задумался аж...
если объявить глобальную переменную какуюто новую.. то приравнивать ее значение к текущему пакету.. (хотя вроде она уже и есть и создовать ее ненадо) (незнаю насколько она глобальна).. хотя нафика ето ваще? .. в процедуре вычисления ключа ключ делать равным 0000 0000 и 1111 1111 (2 ключа для разных направлений).. при етом в алгоритме шифрации сделать ксор само на себя перед пименением ключа.. у и там где вылезет 000 там одно направление .. а где 111 то другое.. ксор само на себя=0 поетому в начале процедуры можно тупо обнулять переменную PCK для того чоб узнать какая из процедур вычисления начального ключа за какое направление отвечает..
думаю такЪ

[RoZ]

Цитата:

Сообщение от VORON

а можно своими словами? ну без прямой ссылки "ПОШЕЛ ТЫ НА.. wasm.ru"
ну нам нужно етот ресурс поднимать а не тот.. и хочется чтоб тут люди общались и узнавали друг от друга инфу полезную.. если есть знания поделись.. ответ на мой вопрос думаю уложится на одну страницу поста.. кто может ответить норм?

Весь вопрос в том, есть ли здесь такие люди...ИМХО начинать надо с написания "лечилки" для какой нить несложной программки. Сам я уделил этому месяц, успешно выполнил задачу (программка была виртуальный синтезатор, просила ввести код), получил массу знаний и самое главное какой никакой опыт. После чего понял что это не моё.
З.Ы. 1) Купил книжку по ассемблеру.
2) Установил отладчик.
3) "Почитал" wasm.ru, т.е. только интересующие меня темы на тот момент.

[dmitry501]

Кхм. Как-то затруднительно тебе ответить... Каждый сам решает с чего начать, в зависимости от начальных знаний и навыков.
Ну начнем с того, что нужно знать логическое устройство процессора x86, регистры, память, понятие стека, прерываний и т.д. Затем нужно знать, хотя бы в общих чертах, логическое устройство win32, модель памяти, соглашения о передачи параметров, загрузка исполняемых файлов, dll, сегменты программы, сообщения, стандартные вызовы как windows api так и native api да и еще много чего, что я упустил. Если это не знаешь, читай теорию, пробуй на практике.
По поводу инструментов - набор стандартный. Отладчик под windows, рекомендую OllyDebugger - бесплатный и с большими возможностями, в принципе можно использовать любой, хоть windebugger от MS, хоть WinICE от NuMega. также онадобится и диссасемблер. Их тоже великое количество, но как правило в литературе наиболее полно описан IDAPro - великолепный диссассемблер, да и кряк к нему не проблема.Без всего этого в некоторых случаях можно обойтись. Если рассматриваемая программа без защиты и написана на известном языке можно попробовать декомпилировать ее. DeDe для С, Delphi, есть также декомпиляторы для VB, и для .net программ. Все это можно найти в интернете.
Что касается конкретно Л2, то также потребуется изучение материалов по внедрению своих программ, хуков. А также изучение библиотеки winsocks2, протокола TCP/IP.
Ну в общем я даже не знаю, что и сказать...

[VORON]

Цитата:

Сообщение от dmitry501

Кхм. Как-то затруднительно тебе ответить... Каждый сам решает с чего начать, в зависимости от начальных знаний и навыков.
Ну начнем с того, что нужно знать логическое устройство процессора x86, регистры, память, понятие стека, прерываний и т.д. Затем нужно знать, хотя бы в общих чертах, логическое устройство win32, модель памяти, соглашения о передачи параметров, загрузка исполняемых файлов, dll, сегменты программы, сообщения, стандартные вызовы как windows api так и native api да и еще много чего, что я упустил. Если это не знаешь, читай теорию, пробуй на практике.
По поводу инструментов - набор стандартный. Отладчик под windows, рекомендую OllyDebugger - бесплатный и с большими возможностями, в принципе можно использовать любой, хоть windebugger от MS, хоть WinICE от NuMega. также онадобится и диссасемблер. Их тоже великое количество, но как правило в литературе наиболее полно описан IDAPro - великолепный диссассемблер, да и кряк к нему не проблема.Без всего этого в некоторых случаях можно обойтись. Если рассматриваемая программа без защиты и написана на известном языке можно попробовать декомпилировать ее. DeDe для С, Delphi, есть также декомпиляторы для VB, и для .net программ. Все это можно найти в интернете.
Что касается конкретно Л2, то также потребуется изучение материалов по внедрению своих программ, хуков. А также изучение библиотеки winsocks2, протокола TCP/IP.
Ну в общем я даже не знаю, что и сказать...

так нагрузил-) но впринципе то ты прав.. ето надо знать.. об 90% тобой перечисленнного я имею 10% представление.. обо всё по немногу типа.. на самом деле меня интерисуют вопросы более абстрактные не влезая в асм код даже.. что мы будем перехватывать? как отловить нужный момент? учитывая загрузку ЦП 99% как отсеять ненужное? дебагер что будет делать? как поступит дизасемблер? кк на нужном месте поставить чекпоинт (учитывая 1 млрд опер. в сек)... и т.д. расскажи без пальцегнутия чениить полезное

[ratvier]

Цитата:

Сообщение от VORON

меня интерисуют вопросы более абстрактные не влезая в асм код даже..

Не такие уж они и абстрактные...

Цитата:

Сообщение от VORON

что мы будем перехватывать?

Что угодно, и даже всё подряд

Цитата:

Сообщение от VORON

как отловить нужный момент?

Интуиция, огромная практика, представление по каким признакам можно выделить нужный участок кода, и конечно танцы с бубном =D

Цитата:

Сообщение от VORON

дебагер что будет делать? как поступит дизасемблер?

Дизасм и дебагер - неразделимые вещи, фтыкать в асм листинг, конечно, здорово, но я предпочитаю сразу щупать в дебагере)

зыж Трудно что-то сказать по такому сложному вопросу, гораздо проще объяснять на практике

[dmitry501]

VORON, я вроде пальцы не гну. но это в 2 словах не объяснить.

Sherman, я в отпуске, вот иногда в инете появляюсь, форумы почитать, не более Во-вторник выхожу на работу, свяжемся...

[Sherman]

Цитата:

ммм екзешник и длл-ки в л2 упакованы Themida одной из последих версий, а это, как говорят, один из лучших крипторов на данный момент (конечно это не значит что абсолютно непреодолимый). И если все же у тебя получается снимать РАБОЧИЙ (aka Осмысленный, а не команды для VM) дамп с этих файлов , не мог бы ты выложить тутор по дампированию?

На своем сервере.... Длл, в которой происходит шифрация упакована последней фемидой, но, Олли, плагин хайд дебугер, позволяет смотреть, что же там все таки делается, а следовательно, контрал+Ц, контрал+В и анализировать.

Цитата:

Сообщение от ratvier

Не такие уж они и абстрактные...

Что угодно, и даже всё подряд

Интуиция, огромная практика, представление по каким признакам можно выделить нужный участок кода, и конечно танцы с бубном =D

Дизасм и дебагер - неразделимые вещи, фтыкать в асм листинг, конечно, здорово, но я предпочитаю сразу щупать в дебагере)

зыж Трудно что-то сказать по такому сложному вопросу, гораздо проще объяснять на практике

Зачем все подряд, аттач олли в клиент, исполняемые модули, ищешь энджин, открываешь его, поиск строковых обьявлений, и у тебя список функций движка клиента, с их адресами, дальше бряки на функции, которые хочешь анализировать. Кстати, функции названы почти аналогично названиям пакетов из списка Packets.ini пкх



Дим, ты мне онлайн в аське нужен. кое что сделал и нарыл много вкусного.