ДЕШИФРУЕМ ТРАФИК

[VORON]

Цитата:

Сообщение от АрхиНуб

Ворон еще один вопрос какие именно файлы были добавлены(изменены).

ты мне скажи что ето тебе даст? я незнаю какие.. был патч каталога систем весом 30 мегабайт.. там куча файлов..
екзе был изменен, ИНДЖИН.ДЛЛ был тоже изменен да много всего было нового.. а толку ты че умеещ в машинных кодах разбираться? мы даже незнаем точки входа в ДЛЛ ету.. каким образом вызывать функции из нее.. чтоб в офлайне тестить ее.. забудь ету линию размышлений.. она никчему хорошему не приведет..
подумайте лучше по какому закону ключ меняется..

[QaK]

Итак я вернулсо. ППц вы маньяки тут накалякали =)
Ипать еще и 1 января сидели :shock: А я воть нехило погулял с 30 по 8 включительно =)
Рад, что prepered с нами =)
По теме, скорее всего второй(четный\нечетный, ну какой-то из них) генерируется из первого. вот такая мысля.

Добавлено спустя 10 минут 32 секунды:
или вообще цикл, раз ключ,сделать что-то с ключом - 2 ключ, сделать что-то(обратное первому чему-то) 1 ключ + учитывать длину пакета, ксор и\или прочую хрень.

Добавлено спустя 3 часа 48 минут 1 секунду:
В общем так, решил посмотреть, как меняются первые байты ксора предыдущего на последущий ключей
получилось, что каждые 8 раз бывает 6D, выписал отсортировав так, чтобы 6D завершал ряд, вот что из этого получилось.Жирным обозначил переходы (6с,6а,72)

Цитата:

79 55 69 7D 69 95 79 6D
59 75 69 1D 69 75 59 6D
79 95 69 7D 69 55 79 6D
19 75 69 5D 69 75 99 6D
79 55 69 7D 69 15 79 6D
59 75 69 9D 69 75 59 6D
79 15 69 7D 69 55 79 6D
99 75 69 5D 69 75 19 6D
79 55 69 7D 69 95 79 6D
59 75 69 1D 69 75 59 6D
79 95 69 7D 69 55 79 6D
19 75 69 5D 69 75 99 6D
79 55 69 7D 69 15 79 6D
59 59 45 9D 69 75 59 6D
79 15 69 7D 69 55 79 6D
99 75 69 5D 69 75 19 6D
79 55 69 7D 69 95 79 6D
59 75 69 41 69 75 59

P.S. Насчет последней строчки посередине 41 - непоняятно ...

Добавлено спустя 17 минут 9 секунд:
Такс, гмм, ахтунг!!! Ворон, слух, ту когда лог выкладывал (который абсолютно без преобразований - самый длинный), ты не мог напутать чего-нибудь? Просто там (где выше я про 41 написал) получается полная х..ня, 0D xor 22 будет не 2F, как положено, а 71 а это не есть гуд проверь плз, если сможешь или напиши, возможна ли очепятка?
З.Ы. Пятая строчка снизу в товем том посте.

[x59]

Щас надо двигатся из другова направления имхо! По логам вы определили что шифрование - обычный ксор, это много упрощает. Теперь надо найти этот ксор в библиотеке. как это сделать? посматреть чем упакованы все дллки, возможно админы так попытются спрятать алгоритм. Если нет левых беблиотек, то можно предположить что админы в функции шифрования всеголиш поменяли пару операторов (Xor OR AND SHR SHL и т.п). Алгоритмы вроде бы лежат в core.dll.. как бы там нибыло, берем дебагер, загружаем la2.exe и начинаем раставлять бряки, я бы первым делом поставил именно на core.dll. Важным моментом является и наверно самым сложным найти буфер пакетов входящих/исходящих, а дальше уже сматреть что куда идет, первыми функциями должны быть именно де/шифрация. Вот такие мысли

[VORON]

QAK, 5я строка снизу в логе гласит:
04B7424492D06FE03F0C002217000076CC55870D74
0d xor 22 = 2f
74 xor 17 = 63
невижу опечатки... всё верно вроде..

Добавлено спустя 1 минуту 47 секунд:
x59, мой моск несможет такой подход реализовать на практике..-))

Добавлено спустя 1 час 7 минут 15 секунд:
в этом опечатка, ы..:
цитата от QAK: "0D xor 22 будет не 2F, как положено, а 71 а это не есть гуд"

Добавлено спустя 3 часа 8 минут 3 секунды:
друзья, помагите мысль домыслить.. на куче логах проверено что ключ чередуется чет-нечет (ДЛЯ 1-го байта ключа).. ето справделиво для пакетов любой длинны (четной и нечетной).. и на ето правило не влияет момент перехода в ксоре второго байта.. 1 фиг последовательность чет- нечет ненарушается.. раз так и учитывая то что новый ключ получается из предыдущего с учетом длинны пакета и расшифрованных данных в предыдущем пакете то такую закономерную комбинацию чет-нечет можно получить тока если насильно приравнивать первый бит то к 1 то к 0.. что неизбежно должно привести к необратимости обратного действия.. т.е. имея ключ1 мы можем высчитать ключ2 но ненаоборот..
СОГЛАСНЫ?..
если да то: получить новый ключ из предыдушего можно какими способами?

1. побитово всё смещать влево на 1 бит.. при етом старший бит исчезнет .. и в новом ключе неотразится.. но при етом младий бит станет равным 0 и его можно будет чередовать чет-нечет. прибавляя 1 каждый раз к тому что было.. кстатти ето чередование легко выполнить ксором на 1 в младшем бите.. а ключ2 из ключа1 видно что ксором получается..

2. насильно изменять младший бит на 0 или 1 поочереди приетом теряеется етот первый бит.. что также приводит к необратимости обратного действия..

1-й пунк выглядет более правдоподобней глядя на логи однобайтового пакета.. ксоры соседних ключей друг на друга дают последовательность состоящие из циaер 1 11 111 1111 11111 и т.д. до 11111111.
1-й пунк выглядет еще правдоподобней если предположить что 1 2 3 4 байты ключа- ето одно целое число.. а не отдельные байты выщитываемые разными способами.. потомучто работает правило что ксор соседних ключей, во втором байте, изменится через 25 пакетов по 10 байт, 50 пакетов по 5 байт. и т.д. хотя про такую линию рассуждений ето можно поспорить.. хачу слышать мнение.. поетому поводу ваше..

вопщем мысль такова- что дейтвие получения второго ключа из первого- является необратимым.. с неизбежной потерей хотябы 1-го бита..
мысль верна? или нет?
если нет то какими еще способами можно получить такую вот картину : чет-нечет..?

[QaK]

2 x59 SHL,SHR - смысла в них мало, циклический сдвиг эквивалентен умножению\делению на 2 , не считая потери младшего\старшего бита (не помню переносятся они при сдвиге или нет)

Добавлено спустя 14 минут 14 секунд:
Слух Ворон, та же фигня ( в смыслк ксор = 71 а не 2F) в 43 и 44 снизу строчках а именно:

Цитата:

0450E3687AB16FE03F0C009609000015A15587B96A
0450E3687AB16FE03F0C00FF6400003F455587D007

Мну смущает то, что во всех 3х случаях ксор одинаковый = 71, ладно бы разный - тогда наверно очепятка, а так ... проверь, пожалуйста очень внимательно, если есть такая возможность. Очен важно знать твой вердикт.

Добавлено спустя 1 час 52 минуты 41 секунду:
В общем так, нашел, что (если считать вышеизложенное очепяткой) ксор предыдущего значения первого байта клюяа на последующий циклично выглядит так (1 группа - Хекс, 2я - Инт, №я - разница между 2мя Интами)

Цитата:

79 55 69 7D 69 95 79 6D== 121 85 105 125 105 149 121 109== 12 36 20 20 20 44 28 12
59 75 69 1D 69 75 59 6D== 89 117 105 29 105 117 89 109== 20 28 12 36 36 12 28 20
79 95 69 7D 69 55 79 6D== 121 149 105 125 105 85 121 109== 12 28 44 20 20 20 36 12
19 75 69 5D 69 75 99 6D== 25 117 105 93 105 117 153 109== 84 92 12 12 12 12 36 44
79 55 69 7D 69 15 79 6D== 121 85 105 125 105 21 121 109== 12 36 20 20 20 84 100 12
59 75 69 9D 69 75 59 6D== 89 117 105 157 105 117 89 109== 20 28 12 52 52 12 28 20
79 15 69 7D 69 55 79 6D== 121 21 105 125 105 85 121 109== 12 100 84 20 20 20 36 12
99 75 69 5D 69 75 19 6D== 153 117 105 93 105 117 25 109== 44 36 12 12 12 12 92 84

Далее вышеприведенный кусок абсолютно повторяется, требуется вывести закономерность :wink:
Усе я пошел работать :crazy:

[VORON]

тыб не могбы меня носом сунуть где ты получаеш 71???
я скока не применял калькулятор получаю 2f
0450E3687AB16FE03F0C009609000015A15587B96A
0450E3687AB16FE03F0C00FF6400003F455587D007

96 xor b9 = 2f
ff xor d0 = 2f

я непонимаю где ты 71 находиш... об етом я выше 2-мя постами сказал уж...

Добавлено спустя 23 минуты 51 секунду:
откуда ети циферии? непонятно.. просьба уточнять чтоб понять можно было...
конкретно интерисует первый столббец..
79 55 69 7D 69 95 79 6D== 121 85 105 125 105 149 121 109== 12 36 20 20 20 44 28 12
59 75 69 1D 69 75 59 6D== 89 117 105 29 105 117 89 109== 20 28 12 36 36 12 28 20
79 95 69 7D 69 55 79 6D== 121 149 105 125 105 85 121 109== 12 28 44 20 20 20 36 12
19 75 69 5D 69 75 99 6D== 25 117 105 93 105 117 153 109== 84 92 12 12 12 12 36 44
79 55 69 7D 69 15 79 6D== 121 85 105 125 105 21 121 109== 12 36 20 20 20 84 100 12
59 75 69 9D 69 75 59 6D== 89 117 105 157 105 117 89 109== 20 28 12 52 52 12 28 20
79 15 69 7D 69 55 79 6D== 121 21 105 125 105 85 121 109== 12 100 84 20 20 20 36 12
99 75 69 5D 69 75 19 6D== 153 117 105 93 105 117 25 109== 44 36 12 12 12 12 92 84

[QaK]

Цитата:

В общем так, нашел, что (если считать вышеизложенное очепяткой) ксор предыдущего значения первого байта клюяа на последующий циклично выглядит так (1 группа - Хекс, 2я - Инт, №я - разница между 2мя Интами)

79 55 69 7D 69 95 79 6D== 121 85 105 125 105 149 121 109== 12 36 20 20 20 44 28 12
59 75 69 1D 69 75 59 6D== 89 117 105 29 105 117 89 109== 20 28 12 36 36 12 28 20
79 95 69 7D 69 55 79 6D== 121 149 105 125 105 85 121 109== 12 28 44 20 20 20 36 12
19 75 69 5D 69 75 99 6D== 25 117 105 93 105 117 153 109== 84 92 12 12 12 12 36 44
79 55 69 7D 69 15 79 6D== 121 85 105 125 105 21 121 109== 12 36 20 20 20 84 100 12
59 75 69 9D 69 75 59 6D== 89 117 105 157 105 117 89 109== 20 28 12 52 52 12 28 20
79 15 69 7D 69 55 79 6D== 121 21 105 125 105 85 121 109== 12 100 84 20 20 20 36 12
99 75 69 5D 69 75 19 6D== 153 117 105 93 105 117 25 109== 44 36 12 12 12 12 92 84

Первый "квадратик" - ксор первого байта двух попорядку идущих ключей
то есть у нас ключ 1 и ключ 2
мы берем первый байт ключа 1 и ксорим его на первый байт ключа 2, и т.д (2 на 3, 3 на 4 (ве тот же первый байт))
расположил я так их группами, заканчивающимися на 6D могу просто тремя строчками

Цитата:

79 55 69 7D 69 95 79 6D 59 75 69 1D 69 75 59 6D 79 95 69 7D 69 55 79 6D 19 75 69 5D 69 75 99 6D 79 55 69 7D 69 15 79 6D 59 75 69 9D 69 75 59 6D 79 15 69 7D 69 55 79 6D 99 75 69 5D 69 75 19 6D
====================================
121 85 105 125 105 149 121 109 89 117 105 29 105 117 89 109 121 149 105 125 105 85 121 109 25 117 105 93 105 117 153 109 121 85 105 125 105 21 121 109 89 117 105 157 105 117 89 109 121 21 105 125 105 85 121 109 153 117 105 93 105 117 25 109
====================================
12 36 20 20 20 44 28 12 20 28 12 36 36 12 28 20 12 28 44 20 20 20 36 12 84 92 12 12 12 12 36 44 12 36 20 20 20 84 100 12 20 28 12 52 52 12 28 20 12 100 84 20 20 20 36 12 44 36 12 12 12 12 92 84

Добавлено спустя 2 минуты 12 секунд:
Гмм, проверил - действительно ксор 2F а не 71, а как у мну 71 получалось - хз ... :oops:

[VORON]

хм действительно интересно.. особенно учитывая тот факт что 6D для второго байта ключа (в ксоре) ето ничто иное как ДЛИНА ПАКЕТА+ЗАШИФРОВАННЫЕ данные.. а что если твою линию рассуждений проверить на другом скиле?
чтоб ксор вторых байтов в ключе довал не 6D а к примеру 3F .. то цикличность будет на 6D для первого байта или 3F?
завтра тестировать буду..

[VORON]

qak, удивительная весч-).. я начинал с того что выяснил что с помощью галочки "ОБХОД СМЕНЫ КСОР КЛЮЧА= включено" и "НЕДЕШИФРИРОВАТЬ ТРАФИК= выключено" получаю наполовину верно расшифрованные входящие пакеты.. поетому зацепился именно за ету комбинацию галочек.. а вот седня решил поексперементировать-) и стал просматривать логи в недешефрированном первозданном виде.. и удивился логам.. попоже их дам.. но они намного красивей и понятней.. там первый байт- константа ваще (для одного и тогоже пакета).. просто стандартный алгоритм пакетхака запечатывал ее-)) да 2 3 4 байты- тоже константы полученые ксором друг из друга.. вопщем там логи оч интересные чкуть поже покажу-) а хотя вот..
D8444444B9CECECE39C6
BB4A4A4A23ABABAB3FAD
D8444444DAC0C0C037C8
BB4A4A4A40A5A5A531A3
D8444444B9CECECE39C6
BB4A4A4A23ABABAB3FAD
D8444444DAC0C0C037C8
BB4A4A4A40A5A5A531A3
D8444444B9CECECE39C6
BB4A4A4A23ABABAB3FAD
D8444444DAC0C0C037C8
BB4A4A4A40A5A5A531A3
D8444444B9CECECE39C6
BB4A4A4A23ABABAB3FAD
D8444444DAC0C0C037C8
BB4A4A4A40A5A5A531A3
D8444444B9CECECE39C6
BB4A4A4A23ABABAB3FAD
D8444444DAC0C0C037C8
BB4A4A4A40A5A5A531A3
D8444444B9CECECE39C6
BB4A4A4A23ABABAB3FAD
D8444444DAC0C0C037C8
BB4A4A4A40A5A5A531A3
D8444444B9CECECE39C6
BB4A4A4A23ABABAB3FAD
D8444444DAC0C0C037C8
BB4A4A4A40A5A5A531A3
D8444444B9CECECE39C6
BB4A4A4A23ABABAB3FAD
D8444444DAC0C0C037C8
BB4A4A4A40A5A5A531A3
D8444444B9CECECE39C6
BB4A4A4A23ABABAB3FAD

я с етим логом не работал еще решил сначала тебе показать-) но тут всё с виду в 100 раз проще-) ето исходящий трафик пакета 2F 63 00 00 00 00 00 00 00 00 (10 байтов длинна)..
ваще цикличная конструкция полностью.. проблемы возникают только когда трафик из одних и тех жэ пакетов чемнибудь разбодяжить.. тогда цифры другие будут но циклично- также как тут..
вопщем надо немного забыть об том что мы раньше придумали.. ибо стандартный шифр пакетхака- нам всё усложнил.. без него всё проще свиду..

Добавлено спустя 4 минуты 29 секунд:
получается что никаково инкремента на длинну пакета вапще нету.. всё циклично.. ничто никуда не прибавляется..
инкремент создовал ПАКЕТХАК (стандартной шифрациией) .. во как..

Добавлено спустя 15 минут 33 секунды:
но избавившись от икремента мы получили новую запару.. раньше мы могли выделить ключ с легкостью из пакета.. а теперь 9-й байт (1-й байт ключа) ксореный на 1-й байт недает нам ИД пакета.. -((

Добавлено спустя 13 минут 45 секунд:
а однобайтовый пакет- вапще красота при таком раскладе..
D8
D8
D8
D8
D8
D8
D8
D8
..
..
..
до тех пор пока какойто другой исходящий пакет не влезит.. после етого вместо d8 будет что то другое.. но 1 фиг неизменяется- константа-)..

[VORON]

хм..-) там где в оригинале должен стоять 0- ключем (для ксора) является предыдущий байт.. справедливо для 5 и 10 байтовых пакетов.. (проверено)