Копаем вглубь DLL

Polymorph · 21.04.2008, 19:35

Жаль что не перенесли тему эту со старого форума. Содержит очень много полезной информации, воодушевляет. Если есть возможность xkor верни тему. Много нужного для себя подчерпнул из неё, думаю и другим пригодится.
А столкнулся я с той же проблемой что и VORON в своей теме. А именно не стандартная шифрация пакетов. Причём если у VORON`a шифровалась часть, то у меня шифрован весь пакет и после передачи Init пакета при выборе чара, вся дальнейшая информация l2ph не поддаётся дешифровке. Даже пакеты идентифицировать верно нет возможности. Отснифил часть трафика по подобию первой темы:
(Интерлюд сервер, протокол 746, трафик не дешифрованый (не дешифровать траффик галка установлена), обход смены ксор ключа отключён, трафик входящий для клиента, НПЦ/игроков вокруг нет, лог сплошной без изъятия чего либо)
Ключи из Init пакета: C8 3E 97 4C
Далее лог нажимания скилла сидя без взятого таргета бафа Шилд для ШЕ
5B E4 5E CA 92 BE 4F A7 16
0A
5B E4 5E CA 92 BE 4F A7 EC
75
5B E4 5E CA 92 BE 4F A7 FA
0C
5B E4 5E CA 92 BE 4F A7 F0
77
5B E4 5E CA 92 BE 4F A7 CE
0E
5B E4 5E CA 92 BE 4F A7 C4
69
5B E4 5E CA 92 BE 4F A7 D2
10
5B E4 5E CA 92 BE 4F A7 A8
6B
5B E4 5E CA 92 BE 4F A7 A6
12
5B E4 5E CA 92 BE 4F A7 BC
6D
5B E4 5E CA 92 BE 4F A7 8A
14
5B E4 5E CA 92 BE 4F A7 80
6F
5B E4 5E CA 92 BE 4F A7 9E
16
5B E4 5E CA 92 BE 4F A7 94
61
5B E4 5E CA 92 BE 4F A7 62
18

Лог сплошной. Никаких промежуточных пакетов не удалял.
Предположения:
5B E4 5E CA 92 BE 4F A7 16
0A (25 xor 2F = 0A)
5B E4 5E CA 92 BE 4F A7 EC
75 (25 xor 50 = 75)
5B E4 5E CA 92 BE 4F A7 FA
0C (25 xor 29 = 0C)
5B E4 5E CA 92 BE 4F A7 F0
77 (25 xor 52 = 77)
5B E4 5E CA 92 BE 4F A7 CE
0E (25 xor 2B = 0E)
5B E4 5E CA 92 BE 4F A7 C4
69 (25 xor 4C = 69)
5B E4 5E CA 92 BE 4F A7 D2
10 (25 xor 35 = 10)
5B E4 5E CA 92 BE 4F A7 A8
6B (25 xor 4E = 6B)
5B E4 5E CA 92 BE 4F A7 A6
12 (25 xor 37 = 12)
5B E4 5E CA 92 BE 4F A7 BC
6D (25 xor 48 = 6D)
5B E4 5E CA 92 BE 4F A7 8A
14 (25 xor 31 = 14)
5B E4 5E CA 92 BE 4F A7 80
6F (25 xor 4A = 6F)
5B E4 5E CA 92 BE 4F A7 9E
16 (25 xor 33 = 16)
5B E4 5E CA 92 BE 4F A7 94
61 (25 xor 44 = 61)
5B E4 5E CA 92 BE 4F A7 62
18 (25 xor 3D = 18)

Закономерность изменения шифра пакета 25 вроде бы есть, но иногда она нарушается пока не ясным мне образом. А задача в принципе как и в предидущей теме - определить алгоритм. На делфи немного программирую и по шифрованию некоторые знания есть.

У кого какие мысле по теме? Если надо какие логи - пишите выложу.

xkor · 22.04.2008, 00:25

http://coderx.ru/showthread.php?t=165 - а это что по твоему?)

Добавлено через 54 секунды
зы собсно перенесены были все темы)

Sherman · 24.04.2008, 18:03

Судя по дате перваго поста, сервер Отланд, небезызвестного Ылмор
Если ошибся, то прошу простить. Если нет, могу рассказать как оно работает.
Но капать там на до не с помощью phx, а с помощью Олли и IDA.

Polymorph · 24.04.2008, 19:03

нет, сервер не тот.
учасники первой версии это темы, дайте о себе знать - есть о чём поговорить

Sherman · 24.04.2008, 19:11

хотя да, попутал. апдейт защиты там произошел 22 часла. хотя, может быть ты дк, и закинул парням на проверку новую защиту.
:d

Polymorph · 24.04.2008, 19:37

Дебгаером/дазасм-ом не так же просто решить эту задачу, чем на пакетном уровне. Один только W32Dasm дал столько функций в импортируемых библиотеках касательно фишрования, что голова кругом идёт. Около сотни килобайт асм кода разгребать это не в паскальном коде ковырятся. Там одних только джампов условных надо столько проследить, что потеряешь то место, откуда следить начал.

Добавлено через 1 минуту
http://coderx.ru/showthread.php?t=165&page=3
Рекомендую прочесть. Много полезной информации.

Sherman · 24.04.2008, 20:10

Посмотрел. По сути, просто два различных подхода к решению одной задачи. Я все же сторонник копания в коде. Если разобрался что там,
то ты заешь на 100% как это обойти, а генереция функций шифрования усилием мысли, для меня шаманство. 21 числа Даpk Кибер поменял защиту. Ранее защита работала по принципу описанному в теме:
http://coderx.ru/showthread.php?t=165
т.е. происходило подписывание некоторых пакетов, после 21 числа защита, после обновления, в котором по сути заменялась лишь билиотека реализующая шифрование, стала работать по описанному тобою принципу. 22 числа я уже имел декриптованный вариант этой библиотеки, и сейчас изучаю. Берем библиотеку защиты, и прост оее используем.

Polymorph · 24.04.2008, 20:14

случаем не reborn.dll ?
Вся фишка в том, что я не в курсе когда была сменяна защита. И не смогу точно определить где она реализована.

Sherman · 24.04.2008, 20:32

нет pkcrypt.dll, но видимо принцип используется один и тот же.
открой текстовым редактором engine.dll и найди там строку название своей библиотеки.

по поводу, когда была смена защиты, это на форуме твоего сервера есть скорее всего... сообщения от администрации.

Есть мысль, что защита коммерческая, и твой и мой сервер закупаются у одной и той же конторы.

ASSA · 24.04.2008, 22:37

2 Sherman: я гамаю на ылморе и падло дарксибер(пипетс ник!! главное по-круче ник написать, и тада все будут считать тебя точно не лошарой) круто подговнил всем достойным узверям л2пх.
Я один из них и прошу помоч тебя Шерминатор)))
А еще было бы прикольно обсудить прошлую защиту, он слабовата была

Складывается мнение что эти оболдуи сами не шифруют, а защиту гдето надыбали..Ну мне чегото не веритцо что чел с ником Дарксибер чего-то там мутит-шыфрует)))