бот для Русоффа - Страница 15

kolosOK · 23.03.2009, 17:07

Цитата:

Сообщение от alexteam

спросил только потому что люди ковыряют шк. а процедурка криптовки может оказаться в немного поправленой дллине.

да. и не увидел я перехватов сенда со стороны шк. так что не там изначально копаете -)

мне кажется что всё таки ищем там, потому как если запустить без ШК то шифрование не идёт ... наверно ещё возможно нахождение в entry.dll

alexteam · 23.03.2009, 18:07

м, как вариант. может смотрел опять не тем и не то -)
да и опыта в ковырянии чужих приложений у меня мало.
глупое предположение: не генерируется ключ шифрования шкой = не шифруется трафик. защита от дурака так сказать.

kolosOK · 23.03.2009, 18:16

Цитата:

Сообщение от alexteam

м, как вариант. может смотрел опять не тем и не то -)
да и опыта в ковырянии чужих приложений у меня мало.
глупое предположение: не генерируется ключ шифрования шкой = не шифруется трафик. защита от дурака так сказать.

ну в общем благодаря тебе нашел ещё 1 фишечку, так сказать ты наталкнул

если убираем entry.dll то шифрование меняется

самое печальное что это известие только всё усложнило ... данных стало в 2 раза больше, а результат тот же

alexteam · 24.03.2009, 00:18

ммм, я очень слаб на протокольном уровне линейки. и вообще.
но. смело предпологаю. ентри меняет часть ключа блоуфиш.
шилд делает тоже.

kolosOK · 24.03.2009, 00:49

Цитата:

Сообщение от alexteam

ммм, я очень слаб на протокольном уровне линейки. и вообще.
но. смело предпологаю. ентри меняет часть ключа блоуфиш.
шилд делает тоже.

не

блоуфиш это вообще логин сервер

на гейм сервере по умолчанию идёт ксор, а ШК сверху ещё какой то байдой накрывает ...

fragus · 08.04.2009, 23:43

Что-то я с новым алгоритмом шифрования разобраться не могу. Ни кто ничего не смог придумать в этом направлении?

fragus · 29.03.2009, 00:05

Каким образом l2walker.dll перехватывает трафик l2.exe?

xkor · 30.03.2009, 02:21

fragus, перехватывает функции которыми l2 пакеты гоняет

murc · 24.03.2009, 01:08

выше я писал список измененных файлов, соглашусь что шк неменяет, из твоих пакетов можно сделать вывод что entry.dll ваще неприделах Оо, но если глянуть раньше то видно что аутенфикация на 17534 порту дает ключик, строку байтов, на каторые меняются первые зашифрованые байты, опять же в последнем примере этого почемуто небыло (небыли изменены после номера протокола, байты), так серв и палит левый пакет(недошифрованый), но это все проза. Вощем скорей всего функция зашита в ла2.ехе оО, там фемида 2050, уже начал читать туторы но пока успеха нуль )

kolosOK · 24.03.2009, 01:23

Цитата:

Сообщение от murc

выше я писал список измененных файлов, соглашусь что шк неменяет, из твоих пакетов можно сделать вывод что entry.dll ваще неприделах Оо, но если глянуть раньше то видно что аутенфикация на 17534 порту дает ключик, строку байтов, на каторые меняются первые зашифрованые байты, опять же в последнем примере этого почемуто небыло (небыли изменены после номера протокола, байты), так серв и палит левый пакет(недошифрованый), но это все проза. Вощем скорей всего функция зашита в ла2.ехе оО, там фемида 2050, уже начал читать туторы но пока успеха нуль )

что значит не пре делах entry.dll ?

ты не видеш разницу в пакетах ?

после номерка протокола идёт "00 00 00 00" потому что по 17453 порту приходит ключик "00 00 00 00 00 00 00 00 00 00 00 00"

если кто знает, можно ли сохранять изменения в IDA в .exe файл ? //сам разобрался, может
и ещё может есть у кого самая первая ШК которая начала трафик доп кодировать ?
и ещё

в какой длл происходит стандартное ксор кодирование в клиенте ?