ДЕШИФРУЕМ ТРАФИК

[Sherman]

Цитата:

ммм екзешник и длл-ки в л2 упакованы Themida одной из последих версий, а это, как говорят, один из лучших крипторов на данный момент (конечно это не значит что абсолютно непреодолимый). И если все же у тебя получается снимать РАБОЧИЙ (aka Осмысленный, а не команды для VM) дамп с этих файлов , не мог бы ты выложить тутор по дампированию?

На своем сервере.... Длл, в которой происходит шифрация упакована последней фемидой, но, Олли, плагин хайд дебугер, позволяет смотреть, что же там все таки делается, а следовательно, контрал+Ц, контрал+В и анализировать.

Цитата:

Сообщение от ratvier

Не такие уж они и абстрактные...

Что угодно, и даже всё подряд

Интуиция, огромная практика, представление по каким признакам можно выделить нужный участок кода, и конечно танцы с бубном =D

Дизасм и дебагер - неразделимые вещи, фтыкать в асм листинг, конечно, здорово, но я предпочитаю сразу щупать в дебагере)

зыж Трудно что-то сказать по такому сложному вопросу, гораздо проще объяснять на практике

Зачем все подряд, аттач олли в клиент, исполняемые модули, ищешь энджин, открываешь его, поиск строковых обьявлений, и у тебя список функций движка клиента, с их адресами, дальше бряки на функции, которые хочешь анализировать. Кстати, функции названы почти аналогично названиям пакетов из списка Packets.ini пкх



Дим, ты мне онлайн в аське нужен. кое что сделал и нарыл много вкусного.

[dmitry501]

VORON, я вроде пальцы не гну. но это в 2 словах не объяснить.

Sherman, я в отпуске, вот иногда в инете появляюсь, форумы почитать, не более Во-вторник выхожу на работу, свяжемся...

[VORON]

Цитата:

Сообщение от Sherman

исполняемые модули, ищешь энджин, открываешь его, поиск строковых обьявлений, и у тебя список функций движка клиента, с их адресами,

можно тут поподробней?
софтину пока исчу.. буду благодарен если кто то выложит рабочие ссылки для софтины необходимой для реверсинга..
можно "нуб киллинг" сделать?: скажите что такое инджин длл?

[ratvier]

Цитата:

Сообщение от Sherman

ищешь энджин, открываешь его, поиск строковых обьявлений, и у тебя список функций движка клиента, с их адресами

Никогда бы не подумал, что клиент так устроен О_о

[Sherman]

Цитата:

Сообщение от ratvier

Никогда бы не подумал, что клиент так устроен О_о

А как ты думал он устроен?

Просто для примера кусок из Engine.dll:

PHP код:

00444B80   8B41 48          MOV EAX,DWORD PTR DS:[ECX+48]
00444B83   8B08             MOV ECX,DWORD PTR DS:[EAX]
00444B85   56               PUSH ESI
00444B86   8B7424 08        MOV ESI,DWORD PTR SS:[ESP+8]
00444B8A   56               PUSH ESI
00444B8B   6A 1B            PUSH 1B
00444B8D   68 88D78000      PUSH Engine.0080D788                     ; ASCII "cd"
00444B92   50               PUSH EAX
00444B93   FF51 64          CALL DWORD PTR DS:[ECX+64]
00444B96   8B15 44793204    MOV EDX,DWORD PTR DS:[<&Core.GNetworkLog>; Core.GNetworkLog
00444B9C   8B02             MOV EAX,DWORD PTR DS:[EDX]
00444B9E   56               PUSH ESI
00444B9F   68 38D78000      PUSH Engine.0080D738                     ; UNICODE "(Send)SocialAction ActionType:%d"
00444BA4   50               PUSH EAX
00444BA5   FF15 80773204    CALL DWORD PTR DS:[<&Core.FOutputDevice:>; Core.FOutputDevice::Logf
00444BAB   A1 BC6BB800      MOV EAX,DWORD PTR DS:[GL2Console]
00444BB0   8B08             MOV ECX,DWORD PTR DS:[EAX]
00444BB2   56               PUSH ESI
00444BB3   68 38D78000      PUSH Engine.0080D738                     ; UNICODE "(Send)SocialAction ActionType:%d"
00444BB8   6A 02            PUSH 2
00444BBA   50               PUSH EAX
00444BBB   FF91 C0020000    CALL DWORD PTR DS:[ECX+2C0]
00444BC1   83C4 2C          ADD ESP,2C
00444BC4   5E               POP ESI
00444BC5   C2 0400          RETN 4 


это ф-ция SocialAction, в ней прыжки на отправку пакета, запись пакета в лог (клиент умеет вести логи пакетов), и прыжек в обработчик окна(NWindow.dll)

Правда я чуток не по теме тут пишу, прошу простить )


Dmitry501, м.б. тему завести - "Изучаем клиент изнутри"?

[Breadfan]

Куски из Engine тут мало помогут). Необходимо смотреть l2.exe и npkpdb.dll...Насколько я помню именно в длл вшиты искомые алгоритмы. Во избежание вопросов поясню: есть 2 клиента, один от простого серва, второй от шифрованного, различаются именно этими файлами, отсюда и сделан вывод.

[Sherman]

Согласен, просто наглядно показал как оно выглядит. Если говорит о моем сервере, то в этом месте:
00444B93 FF51 64 CALL DWORD PTR DS:[ECX+64]

у меня идет прыжок в функцию отправки, в которой перед вызовом Send
добавлен неродной для клиента длл кой прыжок в нее, где происходит шифрование пакета.

[qai]

Столкнулся с аналогичной проблемой...
Вообщем история была такова, сначало на сервере стояла просто защита ЛС от ботов, l2.exe был невидим, стояли последние верси ГГ итд итп, но вообщем это все более или менее обходилось, можно было юзать бота, phx итд итп
Однако в один день это пофиксили проведя тех работы на сервере и соответственно заменив в патче файл npkcrypt
После этого пакеты стали приходить зашифрованными
Бот начал выдавать сообщение аля
PacketProcessError [F9][00]

ну дак вот вообщем считаю корнем сего зла файл npkcrypt
ЗЫ Правильно ли я считаю ?

[garmon]

Извините за оффтоп.
Но если защита основанна на шифрации пакетов логин сервера, то не проще ли сделать фейк логин и спокойно продолжать юзать бота?

[MHz]

Цитата:

Сообщение от Sherman

На своем сервере.... Длл, в которой происходит шифрация упакована последней фемидой, но, Олли, плагин хайд дебугер, позволяет смотреть, что же там все таки делается, а следовательно, контрал+Ц, контрал+В и анализировать.

Пожалуйста, просветите ленивого нуба, как помешать Фемиде находить Олли, а то вот что выходит у меня



Если не трудно, посоветуйте. Спс.

P.S. HideDebugger 1.23