реверс l2divine

Сейчас на форуме: asfa, Rio, _MBK_, Adler (+8 невидимых)

Посл.ответ	Сообщение
rastHEX Ранг: 1.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 30 января 2013 16:45 · Личное сообщение · #1 Доброго времени суток. радует что проект жив, развивается и имеет кучу поклонников. отдельное "прЮвет" ПЕкиллу, Аре и Джеториксу. Перейдём к сабжу (сабж является ботом к онлайн игре однако обсуждения реверса таких прог не запрещены правилами и всёже просьба - не бросать больших какашко в тему) ссылка на программу http://dfiles.ru/files/02bb4xr52 (для скачивания с офсайта нада рега http://l2divine.com) Программа перед конектом к игре конектится на сервер авторизации http://l2divine.com под логином\паролем и проверяет там наличие акаунта к игре а так же его срок действия. Первое что пришло в голову - подмена сервера авторизации путём соответствующей записи в файле хостс. далее запускаем примитивный http сервер на локальной машине и отвечаем программе нужным ответом на запрос. wireshark помог узнать две вещи - 1. Программа посылает через ГЕТ яваскрипту строку с параметрами на 80й порт. ответ приходит на рандомный порт обьявленный в начале передачи 2. Запросы туда и обратно шифруются, и как я понимаю это крипто. исходящий Code: http://www.l2divine.com/ws/gateway.jsp?wsid=21&h=AQCMYXTEPOFeJfaADxNjl9bJFsR23XGMVe0vwRlPz98NK3GkJf8ZUf%2fdrtmzWKhNFlYQBLjRc9fTdKTOvX3eqfWB4IdevFQDjRjiJFNj5wfXUEjsczl8IjVR2hgcVlTMWJiSbgIkuqHq47Jr1h3so0ljmyiVhMO8AoQJNyXIUsr15Llj6MAtm2in9EivDx8dCEJbLHx%2fqU1nU26g5iibAwi%2b9xhTsDqWAZR2uM6WIWX6W6kd3cmbS6EkFIQZddLuGZED58JrKvYiXFqmTuqOhk8rQZ6Lo8KVcPmxuedqDmdZW5crA1oGgf6weeqqIdqCgcQuUPzjX0I1H55L0IpWZmo%3d входящий Code: AWpDKbfQFtVOWmKMri45eHwzT1Xoa+Z3v9wFCU9/Gui6phbAIl48FqMvqtWSZifnnHpoh6BXWrxf\n Xu1H1t2DGLjg6UEG9oEeW4vWTkx0z1Qt1rMywpbVqES6mVbuQtWHniG09b/AyBp0eIs19gSl9G/q\n q0SDobWHGwvfKJBe5mVrYgcUtV5bwDWXF+ddF5fl5pXHrTu7BvPTecxNhLw4QTWhrWkvGmEaKDyi\n 5AQV+pvusxx/8faINwFqAVSxvxfEcAENZnYO1jVR5jNehhJrGF15XlnsBFimUnTjOYRppRUTl8ug\n INOMnPCcD5daqHNip4ASw7NUpa43cqGN6aZLXmVpzFcAqIfEjuOGeI0p2qQW01spmrOjLKaAQQX4\n obAzrsCCVn7nbo/IxmX8xfEXfKhcWHp1snlw8opfMBfGzPFl0QJBokcj+FlogVGcV4HbtAsGNwGF\n +3XY41MAz6XHCF2wtKtubknnpVl96y8/HKDbnd1ykSPCssaW3jgq26jOzQ==\r\n Далее чтобы понять механизм криптования решил узнать упаковщик программы, ПЕид сказал Borland Delphi 6.0 - 7.0 [Overlay] однако программа написана на СИ (пользует фреймворк + разработчик сказал в личной переписке что делфи они не пользуют.) попробовал законектится к программе под олли, так и не понял (может не уследил и глаз кривой) где именно проводится раскриптовка данного сообщения. Отладчик иды просто сам закрывается при запуске программы под ним( Джаваскрипт с сайта не вытянуть - акунетикс сказал что серьёзных вулей нет( У кого есть время и желание - мне необходим лиш механизм ракриптовки, всё остальное мне по силам\жеданию\разуму сделать самому. спасибо заранее уважаемому комьюнити.

daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 30 января 2013 16:56 · Личное сообщение · #2 rastHEX Строка закодирована в base64, под ним какой-то бинарный мусор, значит зашифровано. Без реверса бинарника не обойтись ----- Research For Food
TryAga1n Ранг: 262.5 (наставник), 337thx Активность: 0.34↘0.25 Статус: Участник	Создано: 30 января 2013 17:21 · Личное сообщение · #3 Для тех, у кого в глаза нассано: Ara пишет: Запрещённые запросы - Спам-утилиты/вирусы/трояны/ботнеты/кейлоггеры и тд - Протекторы/обфускаторы/пакеры/крипторы/биндеры для ПО/видео/аудио/флеша/хтмл и тд - Софт для коммерческих организаций (ПО для игровых клубов, ресторанов, строительных организаций, диагностики автомобилей и тд) - ВСЕ боты/сервера/клиенты/читы/античиты/хаки/антихаки и тд от ВСЕХ онлайн игрушек - Анализаторы/боты от всякого связанного с рулетками софта
rastHEX Ранг: 1.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 30 января 2013 17:23 · Поправил: rastHEX · Личное сообщение · #4 правила форума тут http://exelab.ru/f/action=vthread&forum=5&topic=20778.html раздел вроде как "форум для новичков" а не "запросы на взлом программ" я прошу помочь а не сделать за меня. просьба ко всем - если можно то без подобного флуда
Tyra Ранг: 78.7 (постоянный), 43thx Активность: 0.07↘0 Статус: Участник	Создано: 30 января 2013 17:24 · Личное сообщение · #5 TryAga1n Так это вроде как и не запрос, а исследование.
TryAga1n Ранг: 262.5 (наставник), 337thx Активность: 0.34↘0.25 Статус: Участник	Создано: 30 января 2013 17:30 · Личное сообщение · #6 Для тех у кого не только нассано, но еще и насрато в глазах: http://exelab.ru/f/action=vthread&forum=2&topic=20478 http://exelab.ru/f/action=vthread&forum=6&topic=20090&page=0 http://exelab.ru/f/action=vthread&forum=5&topic=16474 http://exelab.ru/f/action=vthread&forum=5&topic=20127&page=0 http://exelab.ru/f/action=vthread&forum=6&topic=17614&page=0 https://ssl.exelab.ru/f/action=vthread&forum=5&topic=12369&page=0 http://exelab.ru/f/action=vthread&forum=2&topic=14168 http://exelab.ru/f//action=vthread&forum=5&topic=14042 http://exelab.ru/f/action=vthread&forum=5&topic=20460 http://exelab.ru/f/action=vthread&forum=2&topic=20705
rastHEX Ранг: 1.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 30 января 2013 17:36 · Личное сообщение · #7 TryAga1n Думаю Ara сам разберётся. ЗЫ: Что тебя так моя просьба зацепила? лучше бы что по теме дельного сказал а не засирал бы своим "Фе" ветку. ещё раз повторюсь - я прошу лиш помочь расшифровать 2 запроса и всё. мне ненужен патч к программе.
hors Ранг: 136.0 (ветеран), 360thx Активность: 0.27↘0.14 Статус: Участник Qt Developer	Создано: 30 января 2013 17:40 · Личное сообщение · #8 TryAga1n пишет: Для тех, у кого в глаза нассано: TryAga1n пишет: Для тех у кого не только нассано, но еще и насрато в глазах: Не позволяйте себе пренебрежительного отношения, жестокого высмеивания, хамства, мата и иных оскорблений по отношению к другим участникам форума. Не оскорбляйте форум и сайт. Нарушитель будет сначала предупрежден, а в следующий раз забанен (заблокирован, удалён). ----- http://ntinfo.biz
rastHEX Ранг: 1.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 30 января 2013 17:40 · Поправил: rastHEX · Личное сообщение · #9 Code: �ЊatД<б^%цЂc—ЦЙДvЭqЊUн/БOПЯ +q¤%яQэџv»fНbЎ4YX@гEП_MТ“:хчz§Ц‚zсP4c€‘MЏњ]A#±Мер€ХGh`qYS1bbIё’к‡«ЋЙЇXwІЌ%ЋlўVр $Ь—!K+Ч’еЏЈ�¶mўџС"ј<\|t! l±сЩъ”Цu6кb‰°0‹fэЖмҐЂe®3Ґ€Y~–кGwrfТиI!]t»†d@щрљКЅ€—©“єЈЎ“КРgўирҐ\>lnyЪѓ™ЦVеКАЦЃ ¬zЄ€v q”?8ЧРЌGз’ф"•™љЌЭ вот первый запрос после расшифровки - явная крипта. хм....разные онлайн декодировщики выдают разные результаты(((( Code: �at<^%cvqU/O +q%Qvfb4YX@E_Mғ:zzP4cM]A#Gh`qYS1bbIꇫɯXw%lV $ܗ!K+ג口�m"<\|t! lu6b0fe3Y~GwrfI!]td@ʽg\>lnyڃVցzvq?8ЍG" Сисер программа не обнаруживает пытаюсь провести реверс под ним. подскажите как бряк поставить на кнопку?(в Сисере естественно)
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 30 января 2013 17:50 · Личное сообщение · #10 От модератора: опять ботоводы, закрыто. ----- [nice coder and reverser]

Для печати