ДЕШИФРУЕМ ТРАФИК - Страница 29

kargo · 01.04.2009, 17:48

Цитата:

Сообщение от SecondFry

0:12:15: ftp://xkor.homeip.net/files/l2pdx.rar

Somebody who know english, can explain me what this program do ?

alexteam · 01.04.2009, 19:15

kargo, i think this will explain clear:

kargo · 01.04.2009, 19:44

Цитата:

Сообщение от alexteam

kargo, i think this will explain clear:

Thats it, thanks

Btw i saw in this topic or in another, problem with debugger ( mean by protect, "an debugger application has been found in your system, please unload it from memory and restart application" or sth like this ) and i saw link with solution, but it is in russian, i dont know this language, got ofc online translator but it sux ;] Can u quote, this what i need from those topic ? Can be in russian or english w/e, for you its 30s, for me it will take much more time to found it

P.S - Have i debugg client when running or just this engine.dll ?

If i'm not wrong its best way to get algorytm with is need to dec/enc pck ? I read sth about it but on an english site :P

kargo · 07.04.2009, 19:07

Как найти алгоритм xor?

PanAm · 08.04.2009, 18:50

Цитата:

Сообщение от kargo

Как найти алгоритм xor?

А подробней, что именно вы хотите найти? Стандартный алгоритм шифрования в линейке находить не надо, он хорошо известен...
для C4

delphi Код:

var
  k: integer;
begin
  for k:=size-1 downto 1 do
    pck[k]:=pck[k] xor key[k and 7] xor pck[k-1];
  if size<>0 then pck[0]:=pck[0] xor key[0];
  IncAsInteger(key, 0, size);
end.

для > C4

delphi Код:

var
  k: integer;
begin
  for k:=size-1 downto 1 do
    pck[k]:=pck[k] xor key[k and 15] xor pck[k-1];
  if size<>0 then pck[0]:=pck[0] xor key[0];
  IncAsInteger(key, 8, size);
end.

kargo · 08.04.2009, 23:25

Я знаю стандарт xor алгоритм, но я не уверен, что изменено на моей стороне клиента. Это только xor ключ или xor алгоритм, если я не неправилен, находят, ключевые займут несколько часов или больше?

Другая вещь - то, что я не могу debugg этот клиент, потому что это говорит: "программа отладчика была найдена в вашей системе, разгружает это по памяти и попробовала еще раз". И я не знаю - там способ найти это, не управляя клиентом, я только начал lerning ассемблер, delphi я знаю очень хорошо.

P.S - Мой переводчик сосет, не так ли?

kargo · 10.04.2009, 19:03

Look at this image, in column key is Key[4-7], normal its constans, but not here.

You can see that key is deppend on 3rd packiet, called AuthLogin, ofc there is modified. First byte of those packets looks like Index of Key (?), stored key in memory. When i receive packet with same first byte as before then key is same! I mean Key bytes from [4-7] + rest 8 bytes. Also there is situation when you see first 4 bytes of Key same in much packets. But rest of Key 8 bytes is diffrent. So i think there is about 255 stored Keys, constans keys, depend on AuthPck. What you think about it?

Lumex · 17.04.2009, 23:41

на скрине пакеты (те что ключи) повторяются часто как то.
Может есть смысл сначала сделать лог из одних и тех же пакетов => алгоритм изменения ключа простой вроде, на первый взгляд конечно. И только потом искать начальный ключ. Все это имхо ессно. С длинным логом понимающим товарищам разобраться, думаю, не составит труда.

KASH · 09.07.2009, 04:21

Всем привет! В общем проблема такая на моем сервере сменили сборку на платную и соответственно защиту (ГФШ Gracia Part 2 есть подозрения что сборка описана здесь: http://www.coderx.ru/showthread.php?...t=Kerio&page=3). Поюзав скилл Greate Battle Heal в сидячем положении 20 раз вот что я получил:
Оригинальный пакет:
39 C2 04 00 00 00 00 00 00 00

60 A2 E5 FB B0 A0 EF A3 E2 E8
60 A2 E5 FB B0 A0 EF A3 94 9F
60 A2 E5 FB B0 A0 EF A3 8E 85
60 A2 E5 FB B0 A0 EF A3 80 8B
60 A2 E5 FB B0 A0 EF A3 BA B1
60 A2 E5 FB B0 A0 EF A3 AC A7
60 A2 E5 FB B0 A0 EF A3 A6 AD
60 A2 E5 FB B0 A0 EF A3 58 53
63 A2 E5 FB B0 A0 EF A3 52 59
63 A3 E5 FB B0 A0 EF A3 44 4F
63 A3 E2 FB B0 A0 EF A3 7E 75
63 A3 E2 FA B0 A0 EF A3 70 7B
63 A3 E2 FA B3 A0 EF A3 6A 61
63 A3 E2 FA B3 A1 EF A3 1C 17
63 A3 E2 FA B3 A1 EC A3 16 1D
63 A3 E2 FA B3 A1 EC A2 08 03
63 A3 E2 FA B3 A1 EC A2 05 09
63 A3 E2 FA B3 A1 EC A2 33 3C
63 A3 E2 FA B3 A1 EC A2 29 26
63 A3 E2 FA B3 A1 EC A2 27 28

Цветом выделена закономерность которая сразу бросилась в глаза (и я почему то сразу подумал раз в байт изменяются закономерно то и ключ 8 байт хотя наверно я заблуждаюсь

).
Помогите пожалуйста разобраться.

Добавлено через 4 минуты
Сразу уточняю трафик от клиента к серверу

Добавлено через 1 час 53 минуты
Проведя еще пару "испытаний" я выяснил, что ключь(для маленьких пакетов) меняется через каждые 8 пакетов (вне зависимости от длинны пакета):

6F 66 3F 6C 78
6F 66 3C 6C 78
6F 66 3C 6D 78
6F 66 3C 6D 79
6F 66 3C 6D 79
6F 66 3C 6D 79
6F 66 3C 6D 79
6F 66 3C 6D 79
6F 66 3C 6D 79
6F 66 3C 6D 79
6F 66 3C 6D 79
6F 66 3C 6D 79
6F 66 3C 6D 79
6F 66 3C 6D 79
6F 66 3C 6D 79
6C 66 3C 6D 79
6C 65 3C 6D 79
6C 65 3D 6D 79
6C 65 3D 62 79
6C 65 3D 62 7E
6C 65 3D 62 7E
6C 65 3D 62 7E
6C 65 3D 62 7E
6C 65 3D 62 7E
6C 65 3D 62 7E
6C 65 3D 62 7E
6C 65 3D 62 7E
6C 65 3D 62 7E
6C 65 3D 62 7E
6C 65 3D 62 7E

QaK · 09.07.2009, 10:51

KASH, нужен лог побольше, пакетов 30-40, желательно указать все пакеты, и юз скил и экш фейл и систем мессадж.