Салют всем.

Хотелось получить хэлп по теме.
Есть софт, дельфя (соответственно декомпилирование в ассемблер исходники, что не есть гуд).
Софт использует TCP протокол для общения с сервером. Протокол судя по всему шифруется, ибо в дампе мы видим набор символов, единственное, это закономерно повторяющиеся 3 последних символа. Порт сервера тоже отдает набор символов при попытке идентифицировать его.
В дампе мы видим подобные пакеты:
http://s2.ipicture.ru/uploads/20120213/SFRBEZQc.png

.we> повторяется в каждом пакете.
Если надо, могу приложить полный дамп. У кого есть идеи как эту каку можно расшифровать. С асмом и дизасмом не дружу, знаю только что делают команды, но вот логич.структуру понять сложно.
Шифрование похоже на сжатый и зашифрованный аски код, ибо в остальных пакетах должны присутствовать URL-ы.

Был бы C#, можно было бы легко и просто реверснуть, а тут хрен сломаешь. Идеи будут?

З.Ы. если не туда запостил, поправьте.

| Сообщение посчитали полезным:

loller5, если хочешь похожий на С# код, то устанавливай IDA+Hex-Rays.
Позваляет получить читаебельный(вродебы) С код. Тема по использованию на форуме есть.

| Сообщение посчитали полезным:

- попробовать DeDe и IDR - будет более удобно работать с дельфой
- возможно в программ проверяется, что пакет оканчивается на .we> перед расшифровкой, поискать эту строку в программе.
- искать функции для работы с сетью и смотреть откуда вызываются

| Сообщение посчитали полезным:

Берешь ollydbg. Ставишь бряки на send и recv. Следишь за буферами. Либо смотришь откуда вызов. После прохождения како-то функи, пакет будет расшифрованный. Это если на пальцах объяснять. Если не дружишь с асмом топай в запросы или поиск специалистов. Без знаний асма ты ничего не сделаешь.

| Сообщение посчитали полезным:

Nightshade пишет:
Берешь ollydbg. Ставишь бряки на send и recv. Следишь за буферами.
Если там юзается стадартная крипта, т.е. crypt32.dll, то можно следить сразу там.

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Благодарю за предложения.
Эм. С олькой так и не разобрался. Видимо надо ман искать
В секции импорта crypt32.dll нету.
DeDe вчера пробовал, опять же асм код. Есть какой-то юнит CryptWorks, но никаких функций с ним нету. Так же SSL присутствует вроде как.
Эм, если попрошу подбросить хороших манов на тему DeDe, ольки, idr именно по моей/подобной теме, поможете, особенно олька интересует с ее брейкпоинтами. С многопоточным софтом постоянно exception-ы валятся и далеко с дебагом не ухожу ;\
IDA+Hex-Rays - ушел искать.

| Сообщение посчитали полезным:

IDA немного помогает. Нашел, что ноги отсюда. Idcompressionintercept@TIdCompressionIntercept. Zlib сжатие просто чтоли? Попробую реверснуть. Глянем что выйдет.

Update

@Idhttpheaderinfo@TIdEntityHeaderInfo@$bctr$qqrv
@Idzlib@TCustomZlibStream@$bctr$qqrp15Classes@TStream
@Idwinsock2@fd_zero$qqrr17Idwinsock2@TFDSet
@Idcompressionintercept@TIdCompressionIntercept@Disconnect$qqrv

Примерно такая последовательность перед получением пакета.. И все таки я нихрена не понимаю.
Может кто помочь?

Update2
С-шные исходники еще страшнее, чем дис.
Кстати, почему в DeDe у меня все, кроме ClassesInfo девственно чисто (ну процедуры появляются, если давить на чекбокс Show... no published methods), анализ проходит вроде..
http://s2.ipicture.ru/uploads/20120214/yrJbl466.png

| Сообщение посчитали полезным:

loller5
Исполняемый файл киньте на crypto2011@gmail.com, посмотрю в своей программе.

| Сообщение посчитали полезным:

loller5 пишет:
@Idhttpheaderinfo@TIdEntityHeaderInfo@$bctr$qqrv
@Idzlib@TCustomZlibStream@$bctr$qqrp15Classes@TStream
@Idwinsock2@fd_zero$qqrr17Idwinsock2@TFDSet
@Idcompressionintercept@TIdCompressionIntercept@Disconnect$qqrv

Это из Indy.

| Сообщение посчитали полезным:

можно программу или хотя бы дамп пакетов в лс или здесь

| Сообщение посчитали полезным:

ToBad пишет:
Это из Indy.
Да, я знаю, что это инди, только это не многим помогает.
Тут асму надо знать не на моём уровне "Это короткий JUMP на адрес .., а это POP загоняет в стек данные из регистра [чтоб я помнил уже какой. вроде data]"

Отправил обоил линк на скачку в ЛС.

| Сообщение посчитали полезным:

В запросы тогда или в поиск специалистов.

| Сообщение посчитали полезным: