Копаем вглубь DLL - Страница 2

Polymorph · 24.04.2008, 23:00

шутишь в 29 мегах искать неизвестную строку? ещё и блокнотом.

ASSA · 24.04.2008, 23:02

2 sherman глянь плиз, это с томата. Вот..
http://coderx.ru/showthread.php?t=267

Sherman · 24.04.2008, 23:42

Цитата:

Сообщение от Polymorph

шутишь в 29 мегах искать неизвестную строку? ещё и блокнотом.

ну, можно еще в таблице импорта у енджине посмотреть, там должо быть использование хотя бы одной ф-ции из твоей библиотеки. Чистый енджин левых дллек не использует.

Добавлено через 6 минут

Цитата:

Сообщение от ASSA

2 Sherman: я гамаю на ылморе и падло дарксибер(пипетс ник!! главное по-круче ник написать, и тада все будут считать тебя точно не лошарой) круто подговнил всем достойным узверям л2пх.
Я один из них и прошу помоч тебя Шерминатор)))
А еще было бы прикольно обсудить прошлую защиту, он слабовата была

Складывается мнение что эти оболдуи сами не шифруют, а защиту гдето надыбали..Ну мне чегото не веритцо что чел с ником Дарксибер чего-то там мутит-шыфрует)))

Прошлая защита была построена на модифицировании кода в Engine.dll после функций формирования 6 пакетов отправляемых на сервер, на прыжек в тело pkcrypt.dll, дописывание хвоста подписи по маске, маска в ресурсах длл хранитсо, и возврат обратно в engine.dll для отправки на сервер. Пакеты от Сервера не подписывались и не анализировались, хотя я в этом направлении не копал.
Пакеты: GGuardAuth
RequestUseItem
RequestMagicSkillUse
Action
ValidatePosition
и еще какой то, щас не помню.

Нынешняя защита построена по тому же сценарию, но навернута шифрация всего пакета перед оправкой, и дешифрация входящего пакета. Плюс ДыКа сменил криптор (имеется ввиду упаковка dll-ки для защиты от отладки и понимания внутренностей) с UPX на ASProtect 2.xx

Вообще, зря я у парня флуд развел. Polymorph извини если чо не так, просто у нас там весь сервер в панеке

ASSA · 25.04.2008, 18:05

тут тока 3 топа про шифрацию, так что я решил не увеличивать их кол-во так что сорь полиморф.))
Cпасбо шерман, блин круто=))
прошлая защита была дырявая, я с ней спокойно л2пх узал..
кстати я там так и не смог скриптом хп пить но это и не было нужно=)) аденки 1ккк+ из манора брались=)
блин было бы круто воткнуть как вообще расшифровывать подобное и моч применять для игры. я так понимаю он и дллы сменил и шифрование пакетов..было бы не плохо еслиб ты направил мои действия=)))
я деширируем трафик 1 и 2 прочитал, но пока не ясно как действовать.. могу выложить пакеты любые и все такое..подскажите плз

Polymorph · 25.04.2008, 18:39

Sherman,
Енжн длл вообще левых дллок не использует. А помимо pkcrypt.dll есть ещё pkcdb.dll и pkcrypt.vxd pkcrypt.sys
Функций из них экспортится немеряно. А какая из них для дешифровки используется так и не определил.

Polymorph · 25.04.2008, 21:38

OlegDX,
Зачем мне чтото писать?
Я знаю какой пакет в рассшифрованм виде отправляет клиент, и знаю какой присылает сервер. см лог выше.

Добавлено через 1 минуту

Цитата:

Сообщение от OlegDX

парни хотите подсказку как дуплить кодировщик

Перед тем как советовать, рекомендую прочитать обе темы про дешифрацию

Добавлено через 24 минуты
xkor, прошу склеить эту тему с первой частью и оставить только 3 сообщение

Sherman · 26.04.2008, 03:01

Цитата:

Сообщение от Polymorph

Sherman,
Енжн длл вообще левых дллок не использует. А помимо pkcrypt.dll есть ещё pkcdb.dll и pkcrypt.vxd pkcrypt.sys
Функций из них экспортится немеряно. А какая из них для дешифровки используется так и не определил.

npkcrypt.dll npkcrypt.sys и npkcrypt.vxd это стандартные файлы клиента,
я говорю о pkcrypt.dll, просто сравни названия. Дай сцылку на сервер, я посмотрю ваш патч.

ПыСы: По сути, восстановление алгоритма шифрования по пакетам, для меня представляется гаданием на кофейной гуще. Я программист, и склонен больше пологатся на код, чем на предположения, поэтому реверс считаю наиболее правельным подходом. Сорри что еще раз нафлудил не по теме.

ASSA · 26.04.2008, 13:13

нах че-то удалять??? пусть читают люди, думают, втыкают=) давайте вообще все сотрем, и будем каждый раз новый топ делать=)) а потом его быстро стирать =d

Цитата:

xkor, прошу склеить эту тему с первой частью и оставить только 3 сообщение

Polymorph · 26.04.2008, 13:47

Sherman, pkcrypt.dll отсутствует как таковой вообще. Ссылка на сервер ушла в личку. А ещё лучше оставь ICQ, пообщаемся.

ASSA, Втыкать то особо нечего пока. Тема начала уходить от своего первоначального направления. Поэтому логичной 3й пост перенести в изначальную, а эту переименовать например Определяем алгоритмы шифрации из dll файлов.

xkor · 27.04.2008, 02:05

3е сообщение уехало в http://coderx.ru/showthread.php?t=165&page=7
тему закрыть? или ещё поболтаете?)