Сниффер

[RomanRom2]

ну это реально новый тип снифера, давайте назовем это пятым поколением чтоли
причем я думаю без разницы как именно, либо слайсинг, либо через таблицу импорта - технология одна, через перехват winapi.

каким образом различаются второй и последующие коннекты клиента? возможно ли разные коннекты хендлить в разных обработчиках?

[Йоха]

Цитата:

Сообщение от RomanRom2

причем я думаю без разницы как именно, либо слайсинг, либо через таблицу импорта - технология одна, через перехват winapi.

не уверен, но мне кажется разница есть, все таки замена таблицы импорта - это изменение памяти процесса wow.exe, варден может возмутиться. При использовании техники сплайсинга - все более менее чисто, не будет же вов проверять контрольные суммы образов системных библиотек в памяти.

Цитата:

Сообщение от RomanRom2

каким образом различаются второй и последующие коннекты клиента?

точно так же как и в прокси варианте. Обрабатывается вызов функции connect

Цитата:

Сообщение от RomanRom2

возможно ли разные коннекты хендлить в разных обработчиках?

да без проблем, в функции recv и send первым параметром идет SOCKET, для разных SOCKET вызываем разные обработчики если есть такая нужда.

P.S. внедрение в процесс производится тремя вариантами:
1) глобальный хук
2) CreateRemoteThread
3) использование раздела реестра KnownDLLs

У меня сейчас используется 2 вариант

[LordJZ]

Цитата:

Сообщение от Йоха

...
P.S. внедрение в процесс производится тремя вариантами:
1) глобальный хук
2) CreateRemoteThread
3) использование раздела реестра KnownDLLs
...

Кстати, я сегодня написал сниффер, напрямую пишущий бинарный код в память клиента. Работает отлично.

[Йоха]

Цитата:

Сообщение от LordJZ

Кстати, я сегодня написал сниффер, напрямую пишущий бинарный код в память клиента. Работает отлично.

а что пишется ?

[LordJZ]

Цитата:

Сообщение от Йоха

а что пишется ?

Предварительно и «налету» собираемый х86 исполняемый код.

[Йоха]

Цитата:

Сообщение от LordJZ

Предварительно и «налету» собираемый х86 исполняемый код.

А, ну да, почему бы ему не работать -)
Я тут читал в инете что даже можно экзешник выполнять в контексте другого процесса... есть некоторые нюансы, но в целом работает.

[RomanRom2]

вы про инжектор? да, инжектор - самый бронебойный вариант. только там надо много писать - изменить то что тебе надо, плюс подхачить проверки клиента. а их там несколько насколько я помню.

может кто подскажет? что случилось с опкодами в 4.2.2 или ранее, я уж не знаю (последний раз этим занимался в 3.2.0)? Чет цифры там уж нереально большие после дешифровки.

[Konctantin]

они рандомные, и имеют значение в 0x0000-0хFFFF

[Deamon]

Цитата:

Сообщение от Ven

может кто подскажет? что случилось с опкодами в 4.2.2 или ранее, я уж не знаю (последний раз этим занимался в 3.2.0)? Чет цифры там уж нереально большие после дешифровки.

Привет .
Опкоды меняются с каждым билдом начиная с релиза катаклизма. Близзы своим алгоритмом каждый раз генгерят рандомный набор опкодов.

[Mayss]

Цитата:

Сообщение от Deamon

Привет .
Опкоды меняются с каждым билдом начиная с релиза катаклизма. Близзы своим алгоритмом каждый раз генгерят рандомный набор опкодов.

По идее должна же быть некая последовательность расшифровки всех их под один "точный" опкод?, или там используется более "продвинутая" система расчета?.

[Forgotten]

Цитата:

Сообщение от Mayss

По идее должна же быть некая последовательность расшифровки всех их под один "точный" опкод?, или там используется более "продвинутая" система расчета?.

а зачем упрощать жизнь разработчикам? помоему там обычный рандом..

[Deamon]

Цитата:

Сообщение от Mayss

По идее должна же быть некая последовательность расшифровки всех их под один "точный" опкод?, или там используется более "продвинутая" система расчета?.

А зачем? Запустил специальную программку, программка сгенерила специальный .h файл с данными вида

Код:

#define SMSG_MONSTER_MOVE 0x2367
#define SMSG_COMPRESSED_DATA 0x6812
...

и т.д. Этот файлик подставили в клиентский проект, подставили в проект сервера. Скомпилировали оба проекта, и вуаля. Имеем пару клиент-сервер с рандомным набором опкодов.

ЗЫ: я немного утрирую. В начале клизмы, наверное и сейчас, в клиенте использовался condensedID - порядковый номер опкода, который получался из полного номера опкода по спец. алгоритму. Алгоритм менялся раз в несколько билдов. "Особо умные" могут сказать, что condesedID - это и есть старые опкоды, но нет. Никакой связи между старыми опкодами и новыми - нет. codensedID используется, как индекс для получения указателя на обработчик из массива указателей обратчиков опкодов. Ни более ни менее.

[SeT]

Почему из клиента нельзя вытащить алгоритм рассшифровки или сам список опкодов?
add. И напомните еще пожалуйста, зачем щас патчат клиент?

[Deamon]

Цитата:

Сообщение от SeT

Почему из клиента нельзя вытащить алгоритм рассшифровки или сам список опкодов?
add. И напомните еще пожалуйста, зачем щас патчат клиент?

1) Алгоритм расшифрофки? Ты имеешь ввиду condensedID? Еще раз. Нету никой связи между condensedID и старыми опкодами. Если быть точным, то близы рандомят опкод в виде condensedID, а потом по своему алгоритму вычисляют полный опкод. Это единственное отличие от того, что я написал выше.
2) Точно не скажу, ибо сам уже не помню. Вроде бы battle.net2 для авторизации использует загружаемые dll файлы. В конце этого dll файла стоит RSA подпись, проверяемая клиентом. RSA подпись подделать почти нереально, т.е. левую dllку клиенту не подсунешь. И, если мне не изменяет память, внутри dll-ки находится RSA ключ, которым должно расшифроваться сообщение от сервера во время авторизации. Т.е. опять из-за слишком малой вероятности подобрать секретную пару для RSA ключа - подделать сообщение от сервера невозможно. Итого, пройти авторизацию BN2 нужно пропатчить клиент, чтобы обойти эти ограничения.

[MaS0n]

зачем патчат - http://ru-mangos.ru/showpost.php?p=13863&postcount=488 и далее этой теме на 13 странице

Кратко : SMSG_REDIRECT_CLIENT подписан, сгенерировать свой без RSA ключа невозможно, а клиент без этого пакета не работает, не отправляет например movement пакеты, патчат - просто сбрасывая все пакеты в одно соединение, чтоб обойтись без переключения соединений

[LordJZ]

Цитата:

Сообщение от SeT

Почему из клиента нельзя вытащить алгоритм рассшифровки или сам список опкодов?
add. И напомните еще пожалуйста, зачем щас патчат клиент?

Почти полный список S2C опкодов получить при нужной сноровке можно за 10 минут, например, 4.2.2.

[Lordronn]

Со всем разобрался, вот сделал снифф. Проверьте все верно тут или нет

http://filebeam.com/ce3a2877913b3c86fa5e7c154e20a44f

Цитата:

Сообщение от Йоха

Я уже реализовал подход с перехватом как ты говоришь "баянистым" -) путем джампа на месте стандартного пролога. и все чудесно, антивирь молчит, вов играет, я получаю данные.
Кстати есть такая штука: detours - автор сама MS, сейчас это монстрило стоит 10к зелени, но первый ее простой вариант в виде одного .h и 1 .cpp файла прекрасно справляется с поставленой задачей

Все это ловится несложно, в случае подозрений в близзард уходит ws2_32.dll из памяти и смотрится уже человеком. А там jmp'ы в далекую даль... Спрятаться можно, но патчить нужно не известными на весь инет способами, а хитро на один-два уровня ниже - чтобы простым встроенным дизасемблером не находилось.

Сейчас смотрю swtor, там вот такое встречается: Cloaked DLL found, Detour function found. Так что не ловится до тех пор пока лень програмерам близзардовским.

[Йоха]

Цитата:

Сообщение от b0rg

Все это ловится несложно, в случае подозрений в близзард уходит ws2_32.dll из памяти и смотрится уже человеком. А там jmp'ы в далекую даль... Спрятаться можно, но патчить нужно не известными на весь инет способами, а хитро на один-два уровня ниже - чтобы простым встроенным дизасемблером не находилось.

Сейчас смотрю swtor, там вот такое встречается: Cloaked DLL found, Detour function found. Так что не ловится до тех пор пока лень програмерам близзардовским.

Зачем бежать впереди паровоза ?
Пока такой вариант работает нормально, как близы сделают проверку на сплайсинг, тогда будем думать.

кто-нибудь уже нашел как сиды собираются?
Мои мысли привели меня сюда sub_6943A0,
вроде что-то похожее, но пока нету возможности проверить

Код:

int __thiscall sub_6943A0(void *this, int a2, int a3)
{
  int v3; // edi@1
  int v4; // esi@1
  signed int v5; // ebx@1
  int result; // eax@3
  void *v7; // [sp+Ch] [bp-4h]@1

  v3 = a2;
  v7 = this;
  v4 = (int)((char *)this + 20);


  v5 = 8;
  do
  {
    a2 = 0;
    CDataStore::GetInt32(v3, (int)&a2);
    *(_DWORD *)v4 = a2;
    v4 += 4;
    --v5;
  }
  while ( v5 );


  a2 = 0;
  CDataStore::GetInt32(v3, (int)&a2);
  *((_DWORD *)v7 + 4) = a2;
  BYTE3(a2) = 0;
  result = CDataStore::GetInt8(v3, (int)((char *)&a2 + 3));
  *((_BYTE *)v7 + 52) = BYTE3(a2);
  return result;
}

[Йоха]

Тут просто копирование 8 int'ов в какую-то переменную со смещением 20 от this.

я пока не смотрел 15005, но предыдущих билдах сиды были перемешаны

[Добавлено]

посмотрел 15005, похоже ты прав. По аналогии скорее всего это и есть чтение сидов. Странно только то, что теперь они идут просто подряд без перемешивания.

[HuntsMan]

Говорят в 4.3 добавили потоковое сжатие. Никто ещё не разбирался с этим?

[Lordronn]

Мм посмотрел тут мув. часть SMSG_UPDATE_OBJECT и не догоняю. Толи я не то нашел, толи они ее опять покаряжили.
sub_697330 - оно?

Пытался спарсить с помощью структуру с 4.2, но упал после первого юнита. У него в мув. часте были все 0, а апдейт флаг UPDATEFLAG_UNK3 = 0x1000,

[LordJZ]

Цитата:

Сообщение от Lordronn

Мм посмотрел тут мув. часть SMSG_UPDATE_OBJECT и не догоняю. Толи я не то нашел, толи они ее опять покаряжили.
sub_697330 - оно?

Пытался спарсить с помощью структуру с 4.2, но упал после первого юнита. У него в мув. часте были все 0, а апдейт флаг UPDATEFLAG_UNK3 = 0x1000,

https://gist.github.com/1460491

[RomanRom2]

хотел спросить, сейчас снифер какой нить есть рабочий? кто нить чо нить ваще снифает? какие сейчас подводные камни? вытаскивается ли ключ? информацией конечно же никто не поделиться, хотя бы скажите да/нет.

[Lordronn]

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 200 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

А естьли Снифер для mop?

[RomanRom2]

куда снифы раздавать? есть ли централизованное место сбора или просто куда то кому то сливать и всё? есть ли возможность мне брать их?

Нужно новое снифить с мор кто сможет помочь с этим. Буду очень благодарен.

[YuruY]

МоПа еще не вышла, выйдет, будем думать.
Накой бетту собирать, потом выкидывать и пересобирать?

[Fmut]

А можно мне тоже снифер?

[Fedia22]

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 333 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

Цитата:

Сообщение от Fmut

А можно мне тоже снифер?

уважаемый, вы дажу удасужились совершить ошибку в 5 словах ай-яй-яй

[HuntsMan]

Цитата:

Сообщение от RomanRom2

куда снифы раздавать? есть ли централизованное место сбора или просто куда то кому то сливать и всё? есть ли возможность мне брать их?

Есть идеи как можно все это красиво организовать. Вот только кто возьмется это захостить?

[RomanRom2]

нуу, допустим

[Sid]

Пиратбей?

[RomanRom2]

ну так чоо там чоо там? или не хотим озвучивать в паблик?
скайпы/аськи знаете, пишите.

[YuruY]

дак чоо??
Сниффера нет.(

[RomanRom2]

я думал у вас то есть...

[Amaru]

Поделитесь, пожалуйста, снифами лфг 4.3.4 15595