Ребят, впервые в жизни столкнулся с защищёнными бинарниками, поэтому обращаюсь за помощью к вам... и так по этому адресу находится DLL-ка: narod.ru/disk/18641748000/x.dll.html
Данная библиотека подключается одной популярной игрой, хукает send/recv функции с целью шифрования траффика.
peid показывает Nothing found *, но когда аттачусь к игре через olly получаю вот такое сообщение:

в нём как раз палится название этой dll-ки. Далее, когда я пытаюсь в игре ставить бряк на send (через olly), я как и должно быть попадаю в ws32_32, но когда кликаю "execute till user code" (чтобы понять откуда дёргается send) я попадаю вообще в непонятный набор функций типа:

Что совершенно не походит на вызов send().. Если пытаюсь ставить memory-бряки, то игра сразу же вылетает (без этой дллки раньше всё было ок).
А при попытке запустить процесс под IDA дебаггером, он вообще падает на неизвестной инструкции в этой же дллке.

Цель в конечном итоге разобрать дллку и понять, как она шифрует данные перед отправкой. Для этого разумеется надо найти в ней этот алгоритм, что собственно у меня и не получается. Прошу помощи в любых её проявлениях.
Заранее, спасибо

| Сообщение посчитали полезным:

НУ и что тебе мешает взять и разобрать/понять длл? Книги нужны по алгоритмам? Или что то сделать за вас так как своей работы 0, лень найти топик с запросами?

| Сообщение посчитали полезным:

noph пишет:
по этому адресу находится DLL-ка:
Ошибка!
Невозможно найти удалённый сервер

| Сообщение посчитали полезным:

NikolayD
я извиняюсь, о каких алгоритмах идёт речь? Об алгоритмах кодирования информации? и что дальше? пытаться угадать, какой из них подходит?
Я прошу помощи в определении чем защищёна библиотека и как эту защиту можно снять.. а дальше уже с дебаггером как-нибудь разберусь

| Сообщение посчитали полезным:

Nabu
у меня всё ок.. это же narod.ru :/

| Сообщение посчитали полезным:

noph пишет:
чем защищёна библиотека
Топик для этого есть --> Link <--

noph пишет:
эту защиту можно снять
руками

Здесь ждут --> Link <--

PS: ТАМ GameShield.

| Сообщение посчитали полезным:

* для копирования содержимого MessageBox достаточно нажать Ctrl+C и не нужно аттачить скрины

* почему не задал вопрос в соответствующей теме "Чем упаковано"?

* пользуйся кнопкой Правка



-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
* почему не задал вопрос в соответствующей теме "Чем упаковано"?
В той теме запрещены готовые решения поэтому и запостил тут, малоли может быть для кого-то эта задача окажется тривиальной..

По правке - сорри, не заметил ссылку. Привык к другому типу форумов.

| Сообщение посчитали полезным:

я попадаю вообще в непонятный набор функций типа:
0CAE1EF8 68 97200610 PUSH 10062097
0CAE1EFD ^E9 E2ABFFFF JMP gameShie.0CADCAE4
А чего тут непонятного. Перед возвратом(а может это самое начало) выполняется общая функция по адресу 0CADCAE4, потом работает адрес положенный на стек 10062097 - смотри что это такое и думай.

| Сообщение посчитали полезным:

Блин, уже б хоть всю прогу выложили б! Но там, походу, ВМ. Такие конструкции push + JMP напоминают Энигму. ВМ - это неприятно, но, может найдутся добрые люди и нахаляву заломают

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Такие конструкции push + JMP напоминают Энигму.
Это и есть Enigma Protector.

| Сообщение посчитали полезным:

Это и есть Enigma Protector Вряд ли. DLL эта - из обновления клиента для игры line2age.
Нормальное ее название GameShieldDll.dll - это не название защиты, это защита игры
Каспер видит там троян, но в Инете утверждают, что в DLL сидит сниффер, чтобы читеров ловить видимо.
А эти джампики очень похожи на "подвешенный" сниффер на функи из ws32_32.

| Сообщение посчитали полезным:

progopis пишет:
Это и есть Enigma Protector
Эта есть themida

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: