ДЕШИФРУЕМ ТРАФИК

[paraped]

Всем привет))) Помните меня еще?))
я не отписываюсь, но слежу за темой, и всегда с вами... :D
Если че придет в голову, сразу напишу....

VORON если вопрос стоит как избавится от условного оператора в коде скрипта, то я думаю рациональней всего будет спросить у XKORA, ибо он ГЕНИЙ))

З.Ы. VORON отпишись плз мне в личку, что это за сервер такой мы исследуем..))

[VORON]

ЦИТАТА: ОТ "paraped"
:
"VORON если вопрос стоит как избавится от условного оператора в коде скрипта, то я думаю рациональней всего будет спросить у XKORA, ибо он ГЕНИЙ))"
(конец цитаты.)

ХКОР- не резиновый.. он не бог.. еслиб он мог всё то шифр был бы сломан 2 месяца назад.. у ХКОР нету времени и жэлания решашать наши проблемы (мои).. именно поетому я завел ету тему чтоб помощь была от людей которые тоже в етом заинтерисованы.. но реальную помощ получаю тока от него (ХКОРа) и вот еще Qak= спс..

я етот топ вычистил (на провах модера) избавившись от 15 сообщений с тем что: "МЫ ЗАНИМАЕМСЯ ХУЙНЁЙ, ЕТО НЕРЕАЛЬНО СДЕЛАТЬ, МЫ ВАПЩЕ НУБЫ, ВСЁ ДАВНЫМ ДАВНО ОТРЕВЕРСЕНО и т.д." (гы кстати поясните что он имел ввиду скозав - "отреверсено"?) , услышав ето ХКОР- сказал: "НУБЫ ОНИ..." ...

просто топ начался с того что мы юзали запечатанный лог с использование стандартного алгоритма.. а нужно было проще.. избавиться от стандартного и думать над исходным текстом.. то что мы стока времени потратили идя по ложному пути- я даже удалять не буду.. пускай те кто реально сам для себя тожэ самое делает видит чужие ошибки.. и не повторяет их.. но тем неменее нужно задачу добить.. и ХКОР тут непричем..

[dmitry501]

отреверсено - это значит восстановлен исходный алгоритм по готовому машинному коду.
А прогу ту, которой вы пользуетесь никто не выкладывал, об этом я писал уже. И ссылки нету. А уж исходников тем более.

[QaK]

Так, я ууже забыл, мы пока исходящий траф шифруем? или входящий? :D
И что делает оператор shl,shr - побитный сдвиг влево\вправо на количество бит, указанное справа от этого оператора?

[paraped]

Цитата:

Сообщение от VORON

я етот топ вычистил (на провах модера) избавившись от 15 сообщений с тем что: "МЫ ЗАНИМАЕМСЯ ХУЙНЁЙ, ЕТО НЕРЕАЛЬНО СДЕЛАТЬ, МЫ ВАПЩЕ НУБЫ, ВСЁ ДАВНЫМ ДАВНО ОТРЕВЕРСЕНО и т.д." (гы кстати поясните что он имел ввиду скозав - "отреверсено"?) , услышав ето ХКОР- сказал: "НУБЫ ОНИ..." ...

Да не парься ты... Такие люди всегда есть, им просто больше не чего скачать по теме, а показать себя они хотят...
Мы то все понимаем , что именно то чем мы тут занимаемся и дает рез-тат, и в последствии люди пользуются готовыми ботами и прочей фигней благодаря тем людям, которые что то сидели обсуждали, решали , придумывали и т.д... короче надеюсь ты понял что я иммею ввиду... сорри за оффоп кстате..))

Цитата:

shl Поразрядный левый сдвиг, заменяющий правую часть нулями
shr Поразрядный правый сдвиг, заменяющий левую часть нулями

Цитата:

Сообщение от paraped

Цитата:

возможно стоит описать предварительный алгоритм действий, чтобы люди которые хотят участвовать в проекте по дешифровке смогли присоединится на любой точке. и в случае с lineage мы имеем четкие значения: ключ, длина ключа, и тип шифрования. чтобы определится с функцией мне кажется что IDA тут больший помощник, чем попытки применить криптоанализ к пакетам для выяснения вида функции.

[VORON]

ну да впринципе.. я стораяюсь именно так и делать чтоб на любом посте можно было присоедениться к нам.. я выдаю ЛОГ + АЛГОРИТМ.. если етот ЛОГ прогнать через АЛГОРИТМ (скрипт) то лог дешифрируется..
вот на етом мы пока остановились:
var
k: integer;
b,i,a: integer;
begin
for k:=size-1 downto 1 do
pck[k]:=pck[k] xor key[k and 7] xor pck[k-1];
if size0 then pck[0]:=pck[0] xor key[0];
b:=0;
a:=0;

for k:=1 to size-1 do
begin
b:=b+pck[k];
end;

key[0]:=key[0] xor b;
key[1]:=key[1] xor ((size + b) shr (8));
key[2]:=key[2] xor ((size + b) shr (16));
key[3]:=key[3] xor ((size + b) shr (24));

key[4]:=key[4] xor key[0];
key[5]:=key[5] xor key[1];
key[6]:=key[6] xor key[2];
key[7]:=key[7] xor key[3];


if ((size + b) shr 8 ) = 0 then
key[1]:=key[1] xor ((size + b) shr 0);
end.

с помощью етого можно дешифрануть все вышеизложенные логи.. но это лиш частный случай... ибо тут испольщзуется ИФ от которого и нужно избавиться..
QAK, да мы работаем тока с исходящим трафом, с набором галочек (обход смены ксор ключа= включено, недешефрировать трафик=включено)
если ето камуто надо то скажу суть.. используется сумма всех байтов в пакете (b) кроме первого .. началось всё с того чо мы обнаружили что для маленьких пакетов справедливо: key[1]:=key[1] xor (size + pck[1]); я отмониторил сообщение в чат с одним символом и ето подтвердилось.. далее написал в чат 2 символа и вместо етого получил key[1]:=key[1] xor (size + pck[1] + pck[3]); ии проверил на 3-х символах и аказалось : key[1]:=key[1] xor (size + pck[1] + pck[3] + pck[5]); так как я мониторил цифру 1 (у которой код= 31 00) поетому сразу протестировал сумму байтов- и оказалось что ето работает.. на большом пакете " B" я получил равной $672. если разделить ето число побайтово то имеем $6 + $72.. 6- используется в: key[1]:=key[1] xor $6; а $72 исользуется в key[0]:=key[0] xor $72;
ну.. всё бы было хорошо но.. в зависимости от кол-ва байт в етой "B" нужно ету B прикладывать побайтово к байтам ключа начиная с хвоста.. к нулевому байту прикладывать 0-й байт от B .. к первому байту ключа нужно применять 2-й байт от B... а если 3-й байт в B=0 то key[1]:=key[1] xor ((size + b) shr (16)); но если 3-й байт b- значимый то будет подругому.. незнаю я если честно что будет.. вот токачто подумал про: возмозможно у етой b- отбрасывается первый (младший) байт вапще.. а то что останется- прикладывается побайтово... начиная с первого байта.. вопщем я в мыслях немного запутался.. помагите доделать.. работая в диапазаоне b= (ff- ffff) мы имеем:
key[0]:=key[0] xor b;
key[1]:=key[1] xor ((size + b) shr (8));
key[2]:=key[2] xor ((size + b) shr (16));
key[3]:=key[3] xor ((size + b) shr (24));

работая в диапазоне b= (0-ff) имеем:
key[0]:=key[0] xor b;
key[1]:=key[1] xor (size + b);
key[2]:=key[2] xor ((size + b) shr (16));
key[3]:=key[3] xor ((size + b) shr (24));

именно по етой причине мы ИФ и применяем.. а если диапазон станет b=(ff ff - ff ff ff) то хз что будет.. но я проверил и наблюдал что 3-й байт ключа тоже менянется- правда очень редко и то тока на 1... т.е. на практике ето рано или поздно произойдет и скрипт должен быть к етому готов.. но я непредставляю что должно произойти чтоб 3-й байт изменился.. с вашей помощью надеюсь добить головоломку... ИФОВ быть недолжно..

Добавлено спустя 6 минут 27 секунд:
ДИМКО, СПЕЦИАЛЬНО ДЛЯ ТЕХ КТО ДО СИХ ПОР НЕПОНЯЛ ГДЕ СКАТЬ ПРОГУ ДЛЯ ПОДБОРА АЛГОРИТМА:
(цитата из первой странице етого топа):
0:08:00: Ktif ye rfr ltkf&
0:08:08: Леша ну как дела?
0:08:19: впринципе готово)
0:08:22: всмысле прога)
0:08:39: но она пока не в очень удобной форме пакеты отображает...
0:09:44: а для моего случая ее применить можно? я не верю.. прога заранее алгоритм имеет у в кажой ситуации алгоритм свой.. я на 90% уверен что ета прога ничего не сделает для моего случая
0:10:15: тут алгоритм пишеш сам)
0:10:19: давай ее протестим для моего случая
0:10:26: давай...
0:10:29: хм
0:10:30: счас кину
0:10:35: давай
0:11:21: блин мне пишут твой клиент неподдерживает передачу...
0:11:43: makssys@inbox.ru
0:12:15: ftp://xkor.homeip.net/files/l2pdx.rar
0:12:48: пошло
0:14:08: пока качается расскажи как ей пользоваться?
0:14:38: слева пишеш пакеты для дешифровки по порядку, по одному пакету на строчку
0:14:56: внизу алгоритм дешифровки на паскале, и нажимаеш дешифровать
0:15:23: по умолчанию там стандартный алгоритм..
0:15:40: ету прогу в какой момент запускать?
0:15:53: сначала пакетхак или ее?
0:15:59: в момент когда захочеш её пользоваться)
0:16:18: она ничего не перехватывает)
0:16:28: когда уже трафик идет по полной ее можно включить и увидеть трафик?
0:16:28: ты сам в неё всё что надо записываеш)
0:16:45: ты сам в неё трафик пишеш)
0:16:55: а...
0:17:23: т.е. в нее я дам готовый лог!...
0:17:36: угу
0:17:42: но ток одного направления
0:18:03: и ключик начальный сам задаёш
0:18:22: так что пакеты в неё пишеш начиная с первого зашифрованного
0:20:39: леша а нафига прога ваще??? я магу разбирать ключ и експерементировать с ним с помощю самого паетхака отправив пакет на ЮЗ СКИЛ!.. и скриптом с к лючом всё что хачу то и делаю... нафига ваще ета отдельная прога?
0:21:10: тут сам пакеты задаёш...
0:21:21: для нормального исследования она лучше...
0:23:21: хм.. ну я попробую ее на логах выложенных в топе протестить!.. но хз чем она может помоч??? ведь нам надо узнать алгоритм.. монитоить изменение ключа я и без етой проги магу
0:23:52: ну а в ней надо строить алгоритм)
0:24:03: с моментально опробывать)
(конец цитаты)

Я могу вам чемто помоч ?

Ребята переносите топик в закрытую тему, а то над вами уже весь программерский бомонд смеется

[VORON]

_) а нам ли не пох на него?

Добавлено спустя 2 минуты 42 секунды:
траф почти сломан.. осталось диапазон ffff-ff ff ff рассмотреть , а они пускай смеются... мне лично пофиг на бомонд.. а то что я камуто радость доставляю, заставляя улыбаться,- так ето хорошо...

Добавлено спустя 5 минут 6 секунд:
а ты я так понимаю никто иной как представитель програмерсково бомонда??