бот для Русоффа

[alexteam]

м, как вариант. может смотрел опять не тем и не то -)
да и опыта в ковырянии чужих приложений у меня мало.
глупое предположение: не генерируется ключ шифрования шкой = не шифруется трафик. защита от дурака так сказать.

[kolosOK]

Цитата:

Сообщение от alexteam

м, как вариант. может смотрел опять не тем и не то -)
да и опыта в ковырянии чужих приложений у меня мало.
глупое предположение: не генерируется ключ шифрования шкой = не шифруется трафик. защита от дурака так сказать.

ну в общем благодаря тебе нашел ещё 1 фишечку, так сказать ты наталкнул если убираем entry.dll то шифрование меняется

самое печальное что это известие только всё усложнило ... данных стало в 2 раза больше, а результат тот же

[fragus]

А может в ентри стандартное ксор шифрование?

[kolosOK]

Цитата:

Сообщение от fragus

А может в ентри стандартное ксор шифрование?

неа, там видимо что то что влияет на доп шифрование, а стандартное шифрование идёт и с ней и без неё ... а само доп шифрование всё равно идёт от ШК

щас попробовал, сервак не понимает без entry.dll клиент ...

вопрос, может кто знает можно ли менять данные в IDA и как то сохранять их в .exe файл ?

[fragus]

Тогда похоже что сейчас шифрование только на ентри и держится, т.к. шк не работает как прокси сейчас и не производит доп шифрацию. Хукать нужно энтри я думаю.

[kolosOK]

Цитата:

Сообщение от fragus

Тогда похоже что сейчас шифрование только на ентри и держится, т.к. шк не работает как прокси сейчас и не производит доп шифрацию. Хукать нужно энтри я думаю.

не, тут ты не прав думаю, ШК не работает как прокси, оно просто внедряется в процесс ...

[fragus]

Цитата:

Сообщение от kolosOK

не, тут ты не прав думаю, ШК не работает как прокси, оно просто внедряется в процесс ...

каким образом внедряется?
все длли в процессе л2.ехе одинаковые что с ШК что без, никакие финкции ШК не хукаются, хотя хз может есть еще методы...

[kolosOK]

Цитата:

Сообщение от fragus

каким образом внедряется?
все длли в процессе л2.ехе одинаковые что с ШК что без, никакие финкции ШК не хукаются, хотя хз может есть еще методы...

да чёрт его знает как она внедряется но тем неменее смотри вот 1 пакет от ГС без ШК без entry.dll и как извесно он вообще не кодируется
Оффтоп

000000 0B 01 0E 14 00 00 00 09 | 07 54 56 03 09 0B 01 07 .........TV.....
000010 02 54 54 56 07 00 02 55 | 56 00 51 00 53 57 04 07 .TTV...UV.Q.SW..
000020 55 08 54 01 07 01 53 00 | 56 55 56 01 06 05 04 51 U.T...S.VUV....Q
000030 03 08 51 08 51 56 04 54 | 06 55 08 02 09 51 56 01 ..Q.QV.T.U...QV.
000040 53 06 55 04 53 00 56 56 | 53 01 09 02 09 01 51 54 S.U.S.VVS.....QT
000050 51 09 55 56 09 03 04 07 | 05 55 04 06 55 04 06 09 Q.UV.....U..U...
000060 04 51 01 08 08 06 05 52 | 06 04 01 07 54 03 06 52 .Q.....R....T..R
000070 55 06 55 55 51 01 02 04 | 54 03 55 54 01 57 51 55 U.UUQ...T.UT.WQU
000080 05 52 05 54 07 51 51 55 | 07 02 53 53 00 52 05 52 .R.T.QQU..SS.R.R
000090 07 01 54 00 03 05 05 08 | 06 05 05 06 03 00 0D 08 ..T.............
0000A0 01 07 09 03 51 03 07 53 | 09 51 06 07 54 0A 50 56 ....Q..S.Q..T.PV
0000B0 02 52 04 05 55 51 02 53 | 00 08 54 04 52 56 06 02 .R..UQ.S..T.RV..
0000C0 09 00 08 03 53 56 01 05 | 00 55 06 08 56 04 0D 06 ....SV...U..V...
0000D0 07 52 06 07 04 0A 06 01 | 04 54 04 00 05 02 04 54 .R.......T.....T
0000E0 00 09 52 53 05 04 01 04 | 05 05 01 52 51 52 0D 06 ..RS.......RQR..
0000F0 51 08 09 54 53 00 0D 01 | 02 03 54 53 01 05 03 08 Q..TS.....TS....
000100 56 54 07 02 54 0B 06 DF | B8 3B 54 VT..T..߸;T

а вот он же с ШК но без entry.dll
Оффтоп

000000 0B 01 0E 14 00 00 00 00 | 00 2E 0D A6 47 71 5A A2 ...........¦GqZ¢
000010 86 75 AB 09 83 21 FD 0A | 88 E8 42 F0 8D BF 17 F7 †u«.ƒ!ý.ˆèBð�¿.÷
000020 45 9E E3 AB 17 97 E4 AA | 38 08 9C 5D 68 58 CE 0D Ežã«.—äª8.œ]hXÎ.
000030 A7 0C 3F FD F5 52 6A A1 | F8 66 8A AD F7 62 D4 AE §.?ýõRj¡øfŠ*÷bÔ®
000040 6B FF 73 44 6B F9 70 16 | 2D A1 B3 F8 77 A1 EB AE kÿsDkùp.-¡³øw¡ë®
000050 95 66 88 FA CD 6C D9 AB | 0B 40 75 43 5B 11 77 4C •fˆúÍlÙ«.@uC[.wL
000060 54 8D 94 F7 58 DA 90 AD | 98 8F 28 97 CA 88 2F C2 T�”÷XÚ�*˜�(—ʈ/Â
000070 B1 B4 18 1F B5 B3 4F 4E | 7A 7B B5 A8 2F 2F B1 A9 ±´..µ³ONz{µ¨//±©
000080 6D 75 01 C1 6F 76 55 C0 | A9 EC CB 1C AE BC 9D 1D mu.ÁovUÀ©ìË.®¼�.
000090 E3 94 68 E0 E7 90 39 E8 | 58 46 5A 9C 5D 43 52 92 ã”hàç�9èXFZœ]CR’
0000A0 91 0D FA 4F C1 09 F4 1F | C7 60 11 E2 9A 3B 47 B3 ‘.úOÁ.ô.Ç`.âš;G³
0000B0 06 AD AF 9A 51 AE A9 CC | 7E AE 9B 35 2C F0 C9 33 .*¯šQ®©Ì~®›5,ðÉ3
0000C0 B1 6D 6A E9 EB 3B 63 EF | FE 41 80 94 A8 10 8B 9A ±mjéë;cïþA?”¨.‹š
0000D0 23 90 1C 32 20 C8 1C 34 | 6A DD BA EF 6B 8B BA BB #�.2.È.4jݺïk‹º»
0000E0 D0 B9 80 D2 D5 B4 D3 85 | 1B 7B 74 68 4F 2C 78 3C й?ÒÕ´Ó….{thO,x<
0000F0 15 2D 80 B8 17 25 84 ED | 8C EF 79 D6 8F E9 2E 8D .-?¸.%„íŒïyÖ�é.�
000100 9E CF 46 3D 9C 90 47 E0 | B6 7A B0 žÏF=œ�Gà¶z°

а вот он же с ШК и с entry.dll
Оффтоп

000000 0B 01 0E 14 00 00 00 00 | 00 30 DA 11 23 6F 8D 15 .........0Ú.#o�.
000010 4E 49 05 66 4B 1D 53 65 | 34 36 77 56 31 61 22 51 NI.fK.Se46wV1a"Q
000020 D5 E7 BF 74 87 EE B8 75 | F4 D5 E6 9A A4 85 B4 CA Õç¿t‡î¸uôÕ暤…´Ê
000030 DF B1 54 B1 8D EF 01 ED | FC 07 C1 DA F3 03 9F D9 ß±T±�ï.íü.ÁÚó.ŸÙ
000040 4B 0C CB FA 4B 0A C8 A8 | 69 22 6A 1E 33 22 32 48 K.ËúK.Ȩi"j.3"2H
000050 0D DD 7D 74 55 D7 2C 25 | 87 D8 F9 47 D7 89 FB 48 .Ý}tU×,%‡ØùG׉ûH
000060 A4 F7 43 6F A8 A0 47 35 | C4 5B 17 82 96 5C 10 D7 ¤÷Co¨*G5Ä[.‚–\.×
000070 B9 76 8E F1 BD 71 D9 A0 | 5E 2B F5 9E 0B 7F F1 9F ¹vŽñ½qÙ*^+õž.ñŸ
000080 2D 93 70 BC 2F 90 24 BD | 4D F8 69 5D 4A A8 3F 5C -“p¼/�$½Møi]J¨?\
000090 6B 92 DB 2D 6F 96 8A 25 | 84 41 56 35 81 44 5E 3B k’Û-o–Š%„AV5�D^;
0000A0 A1 7A 11 52 F1 7E 1F 02 | CB 47 EB 77 96 1C BD 26 ¡z.Rñ~..ËGëw–.½&
0000B0 1E 9C B6 93 49 9F B0 C5 | 3A EF 53 B0 68 B1 01 B6 .œ¶“IŸ°Å:ïS°h±.¶
0000C0 51 98 C4 D8 0B CE CD DE | 7A E4 97 F1 2C B5 9C FF Q˜ÄØ.ÎÍÞzä—ñ,µœÿ
0000D0 9B 38 63 18 98 60 63 1E | A6 57 2E 3D A7 01 2E 69 ›8c.˜`c.¦W.=§..i
0000E0 C0 3D AD 0F C5 30 FE 58 | E7 E8 45 30 B3 BF 49 64 À=*.Å0þXçèE0³¿Id
0000F0 5D 8D 00 D4 5F 85 04 81 | 28 BD 8A F4 2B BB DD AF ]�.Ô_….�(½Šô+»Ý¯
000100 1E 03 A5 C7 1C 5C A4 1A | 12 33 23 ..¥Ç.\¤..3#

[fragus]

А если энтри дизассемблить и глянуть функции? Или он тоже зашифрован темидой или чемто похожим?

Кароче надо разбираться долго и нудно

[alexteam]

ммм, я очень слаб на протокольном уровне линейки. и вообще.
но. смело предпологаю. ентри меняет часть ключа блоуфиш.
шилд делает тоже.