|
Регистрация | Файлы | Правила | Альбомы | Дневники | Справка | Пользователи | Календарь | Поиск | Сообщения за день | Все разделы прочитаны |
Опкоды, Формулы, Клиент Разбор и изучение взаимодействия клиента с сервером |
|
Опции темы | Поиск в этой теме | Опции просмотра |
13.07.2011, 10:36 | #241 |
WowCore Dev
Регистрация: 31.03.2010
Сообщений: 468
Сказал(а) спасибо: 73
Поблагодарили 106 раз(а) в 70 сообщениях
|
ну это реально новый тип снифера, давайте назовем это пятым поколением чтоли
причем я думаю без разницы как именно, либо слайсинг, либо через таблицу импорта - технология одна, через перехват winapi. каким образом различаются второй и последующие коннекты клиента? возможно ли разные коннекты хендлить в разных обработчиках? |
13.07.2011, 15:35 | #242 | |
Умный
Регистрация: 02.07.2010
Сообщений: 434
Сказал(а) спасибо: 27
Поблагодарили 73 раз(а) в 45 сообщениях
|
Цитата:
точно так же как и в прокси варианте. Обрабатывается вызов функции connect да без проблем, в функции recv и send первым параметром идет SOCKET, для разных SOCKET вызываем разные обработчики если есть такая нужда. P.S. внедрение в процесс производится тремя вариантами: 1) глобальный хук 2) CreateRemoteThread 3) использование раздела реестра KnownDLLs У меня сейчас используется 2 вариант Последний раз редактировалось Йоха; 13.07.2011 в 15:43. |
|
13.07.2011, 17:01 | #243 |
Супер-модератор
Регистрация: 07.03.2010
Сообщений: 647
Сказал(а) спасибо: 100
Поблагодарили 252 раз(а) в 123 сообщениях
|
|
13.07.2011, 19:23 | #244 |
Умный
Регистрация: 02.07.2010
Сообщений: 434
Сказал(а) спасибо: 27
Поблагодарили 73 раз(а) в 45 сообщениях
|
|
13.07.2011, 19:46 | #245 |
Супер-модератор
Регистрация: 07.03.2010
Сообщений: 647
Сказал(а) спасибо: 100
Поблагодарили 252 раз(а) в 123 сообщениях
|
|
13.07.2011, 19:58 | #246 |
Умный
Регистрация: 02.07.2010
Сообщений: 434
Сказал(а) спасибо: 27
Поблагодарили 73 раз(а) в 45 сообщениях
|
А, ну да, почему бы ему не работать -)
Я тут читал в инете что даже можно экзешник выполнять в контексте другого процесса... есть некоторые нюансы, но в целом работает. Последний раз редактировалось Йоха; 13.07.2011 в 20:01. |
13.07.2011, 22:38 | #247 |
WowCore Dev
Регистрация: 31.03.2010
Сообщений: 468
Сказал(а) спасибо: 73
Поблагодарили 106 раз(а) в 70 сообщениях
|
вы про инжектор? да, инжектор - самый бронебойный вариант. только там надо много писать - изменить то что тебе надо, плюс подхачить проверки клиента. а их там несколько насколько я помню.
|
05.11.2011, 08:43 | #248 |
Гость
Сообщений: n/a
|
может кто подскажет? что случилось с опкодами в 4.2.2 или ранее, я уж не знаю (последний раз этим занимался в 3.2.0)? Чет цифры там уж нереально большие после дешифровки.
|
07.11.2011, 15:42 | #250 | |
WowCore Dev
Регистрация: 11.03.2010
Сообщений: 112
Сказал(а) спасибо: 10
Поблагодарили 51 раз(а) в 25 сообщениях
|
Цитата:
Опкоды меняются с каждым билдом начиная с релиза катаклизма. Близзы своим алгоритмом каждый раз генгерят рандомный набор опкодов. |
|
07.11.2011, 16:23 | #251 |
Ученый
|
По идее должна же быть некая последовательность расшифровки всех их под один "точный" опкод?, или там используется более "продвинутая" система расчета?.
|
07.11.2011, 16:32 | #252 |
Новичок
Регистрация: 07.04.2010
Сообщений: 25
Сказал(а) спасибо: 1
Поблагодарили 2 раз(а) в 2 сообщениях
|
|
07.11.2011, 18:01 | #253 | |
WowCore Dev
Регистрация: 11.03.2010
Сообщений: 112
Сказал(а) спасибо: 10
Поблагодарили 51 раз(а) в 25 сообщениях
|
Цитата:
Код:
#define SMSG_MONSTER_MOVE 0x2367 #define SMSG_COMPRESSED_DATA 0x6812 ... ЗЫ: я немного утрирую. В начале клизмы, наверное и сейчас, в клиенте использовался condensedID - порядковый номер опкода, который получался из полного номера опкода по спец. алгоритму. Алгоритм менялся раз в несколько билдов. "Особо умные" могут сказать, что condesedID - это и есть старые опкоды, но нет. Никакой связи между старыми опкодами и новыми - нет. codensedID используется, как индекс для получения указателя на обработчик из массива указателей обратчиков опкодов. Ни более ни менее. Последний раз редактировалось Deamon; 07.11.2011 в 18:10. |
|
07.11.2011, 18:13 | #254 |
Ученый
Регистрация: 13.03.2010
Сообщений: 110
Сказал(а) спасибо: 55
Поблагодарили 23 раз(а) в 14 сообщениях
|
Почему из клиента нельзя вытащить алгоритм рассшифровки или сам список опкодов?
add. И напомните еще пожалуйста, зачем щас патчат клиент? |
07.11.2011, 18:43 | #255 | |
WowCore Dev
Регистрация: 11.03.2010
Сообщений: 112
Сказал(а) спасибо: 10
Поблагодарили 51 раз(а) в 25 сообщениях
|
Цитата:
2) Точно не скажу, ибо сам уже не помню. Вроде бы battle.net2 для авторизации использует загружаемые dll файлы. В конце этого dll файла стоит RSA подпись, проверяемая клиентом. RSA подпись подделать почти нереально, т.е. левую dllку клиенту не подсунешь. И, если мне не изменяет память, внутри dll-ки находится RSA ключ, которым должно расшифроваться сообщение от сервера во время авторизации. Т.е. опять из-за слишком малой вероятности подобрать секретную пару для RSA ключа - подделать сообщение от сервера невозможно. Итого, пройти авторизацию BN2 нужно пропатчить клиент, чтобы обойти эти ограничения. |
|
07.11.2011, 19:17 | #256 |
Модератор
|
зачем патчат - http://ru-mangos.ru/showpost.php?p=13863&postcount=488 и далее этой теме на 13 странице
Кратко : SMSG_REDIRECT_CLIENT подписан, сгенерировать свой без RSA ключа невозможно, а клиент без этого пакета не работает, не отправляет например movement пакеты, патчат - просто сбрасывая все пакеты в одно соединение, чтоб обойтись без переключения соединений |
08.11.2011, 04:43 | #257 | |
Супер-модератор
Регистрация: 07.03.2010
Сообщений: 647
Сказал(а) спасибо: 100
Поблагодарили 252 раз(а) в 123 сообщениях
|
Цитата:
|
|
20.11.2011, 00:45 | #258 |
Умный
Регистрация: 17.06.2010
Сообщений: 397
Сказал(а) спасибо: 58
Поблагодарили 55 раз(а) в 38 сообщениях
|
Со всем разобрался, вот сделал снифф. Проверьте все верно тут или нет
http://filebeam.com/ce3a2877913b3c86fa5e7c154e20a44f Последний раз редактировалось Lordronn; 20.11.2011 в 15:25. |
25.11.2011, 11:33 | #259 | |
Гость
Сообщений: n/a
|
Цитата:
Сейчас смотрю swtor, там вот такое встречается: Cloaked DLL found, Detour function found. Так что не ловится до тех пор пока лень програмерам близзардовским. Последний раз редактировалось b0rg; 25.11.2011 в 11:40. |
|
28.11.2011, 09:57 | #260 | |
Умный
Регистрация: 02.07.2010
Сообщений: 434
Сказал(а) спасибо: 27
Поблагодарили 73 раз(а) в 45 сообщениях
|
Цитата:
Пока такой вариант работает нормально, как близы сделают проверку на сплайсинг, тогда будем думать. |
|
30.11.2011, 10:42 | #261 |
Гость
Сообщений: n/a
|
кто-нибудь уже нашел как сиды собираются?
Мои мысли привели меня сюда sub_6943A0, вроде что-то похожее, но пока нету возможности проверить Код:
int __thiscall sub_6943A0(void *this, int a2, int a3) { int v3; // edi@1 int v4; // esi@1 signed int v5; // ebx@1 int result; // eax@3 void *v7; // [sp+Ch] [bp-4h]@1 v3 = a2; v7 = this; v4 = (int)((char *)this + 20); v5 = 8; do { a2 = 0; CDataStore::GetInt32(v3, (int)&a2); *(_DWORD *)v4 = a2; v4 += 4; --v5; } while ( v5 ); a2 = 0; CDataStore::GetInt32(v3, (int)&a2); *((_DWORD *)v7 + 4) = a2; BYTE3(a2) = 0; result = CDataStore::GetInt8(v3, (int)((char *)&a2 + 3)); *((_BYTE *)v7 + 52) = BYTE3(a2); return result; } Последний раз редактировалось Ven; 30.11.2011 в 10:49. |
30.11.2011, 14:22 | #262 |
Умный
Регистрация: 02.07.2010
Сообщений: 434
Сказал(а) спасибо: 27
Поблагодарили 73 раз(а) в 45 сообщениях
|
Тут просто копирование 8 int'ов в какую-то переменную со смещением 20 от this.
я пока не смотрел 15005, но предыдущих билдах сиды были перемешаны [Добавлено] посмотрел 15005, похоже ты прав. По аналогии скорее всего это и есть чтение сидов. Странно только то, что теперь они идут просто подряд без перемешивания. Последний раз редактировалось Йоха; 30.11.2011 в 23:46. |
06.12.2011, 17:51 | #264 |
Умный
Регистрация: 17.06.2010
Сообщений: 397
Сказал(а) спасибо: 58
Поблагодарили 55 раз(а) в 38 сообщениях
|
Мм посмотрел тут мув. часть SMSG_UPDATE_OBJECT и не догоняю. Толи я не то нашел, толи они ее опять покаряжили.
sub_697330 - оно? Пытался спарсить с помощью структуру с 4.2, но упал после первого юнита. У него в мув. часте были все 0, а апдейт флаг UPDATEFLAG_UNK3 = 0x1000, |
11.12.2011, 16:03 | #265 | |
Супер-модератор
Регистрация: 07.03.2010
Сообщений: 647
Сказал(а) спасибо: 100
Поблагодарили 252 раз(а) в 123 сообщениях
|
Цитата:
|
|
Пользователь сказал cпасибо: | Lordronn (11.12.2011) |
21.08.2012, 11:50 | #266 |
WowCore Dev
Регистрация: 31.03.2010
Сообщений: 468
Сказал(а) спасибо: 73
Поблагодарили 106 раз(а) в 70 сообщениях
|
хотел спросить, сейчас снифер какой нить есть рабочий? кто нить чо нить ваще снифает? какие сейчас подводные камни? вытаскивается ли ключ? информацией конечно же никто не поделиться, хотя бы скажите да/нет.
|
21.08.2012, 12:30 | #267 | |
Умный
Регистрация: 17.06.2010
Сообщений: 397
Сказал(а) спасибо: 58
Поблагодарили 55 раз(а) в 38 сообщениях
|
|
|
22.08.2012, 13:24 | #268 |
Гость
Сообщений: n/a
|
А естьли Снифер для mop?
|
25.08.2012, 10:17 | #269 |
WowCore Dev
Регистрация: 31.03.2010
Сообщений: 468
Сказал(а) спасибо: 73
Поблагодарили 106 раз(а) в 70 сообщениях
|
куда снифы раздавать? есть ли централизованное место сбора или просто куда то кому то сливать и всё? есть ли возможность мне брать их?
|
25.08.2012, 20:16 | #270 |
Гость
Сообщений: n/a
|
Нужно новое снифить с мор кто сможет помочь с этим. Буду очень благодарен.
Последний раз редактировалось aleksis; 18.09.2012 в 15:03. |
26.08.2012, 06:51 | #271 |
YTDB Dev
Регистрация: 01.02.2010
Сообщений: 288
Сказал(а) спасибо: 125
Поблагодарили 97 раз(а) в 53 сообщениях
|
МоПа еще не вышла, выйдет, будем думать.
Накой бетту собирать, потом выкидывать и пересобирать? Последний раз редактировалось YuruY; 04.09.2012 в 13:41. |
03.09.2012, 14:30 | #272 |
Пользователь
Регистрация: 20.06.2010
Сообщений: 42
Сказал(а) спасибо: 4
Поблагодарили 5 раз(а) в 5 сообщениях
|
А можно мне тоже снифер?
|
03.09.2012, 15:45 | #273 | |
Ученый
Регистрация: 03.03.2010
Адрес: Сибирь, 58°14′00″ с. ш. 92°29′00″ в. д.
Сообщений: 288
Сказал(а) спасибо: 79
Поблагодарили 37 раз(а) в 14 сообщениях
Записей в дневнике: 18
|
уважаемый, вы дажу удасужились совершить ошибку в 5 словах ай-яй-яй Последний раз редактировалось Fedia22; 03.09.2012 в 15:51. |
|
04.12.2012, 06:26 | #275 |
WowCore Dev
Регистрация: 31.03.2010
Сообщений: 468
Сказал(а) спасибо: 73
Поблагодарили 106 раз(а) в 70 сообщениях
|
нуу, допустим
|
04.12.2012, 07:24 | #276 |
Ученый
Регистрация: 02.04.2010
Сообщений: 237
Сказал(а) спасибо: 41
Поблагодарили 99 раз(а) в 44 сообщениях
|
Пиратбей?
__________________
SpellWork Qt4 |
04.12.2012, 20:38 | #277 |
WowCore Dev
Регистрация: 31.03.2010
Сообщений: 468
Сказал(а) спасибо: 73
Поблагодарили 106 раз(а) в 70 сообщениях
|
ну так чоо там чоо там? или не хотим озвучивать в паблик?
скайпы/аськи знаете, пишите. |
04.12.2012, 21:02 | #278 |
YTDB Dev
Регистрация: 01.02.2010
Сообщений: 288
Сказал(а) спасибо: 125
Поблагодарили 97 раз(а) в 53 сообщениях
|
дак чоо??
Сниффера нет.( Последний раз редактировалось YuruY; 06.12.2012 в 05:09. |
04.12.2012, 21:40 | #279 |
WowCore Dev
Регистрация: 31.03.2010
Сообщений: 468
Сказал(а) спасибо: 73
Поблагодарили 106 раз(а) в 70 сообщениях
|
я думал у вас то есть...
|
05.12.2012, 03:21 | #280 |
MaNGOS Dev
Регистрация: 16.01.2011
Сообщений: 262
Сказал(а) спасибо: 57
Поблагодарили 73 раз(а) в 59 сообщениях
|
Поделитесь, пожалуйста, снифами лфг 4.3.4 15595
|
Опции темы | Поиск в этой теме |
Опции просмотра | |
|
|