मैं विंडोज़ ऐप में इंजीनियर स्कैम्बल किए गए पैकेट को कैसे उलटा कर सकता हूं?

Question

मुझे लगता है कि स्पष्ट में एक सर्वर के लिए पैकेट भेजता करने के लिए इस्तेमाल एक खिड़कियों exe एप्लिकेशन है। इस एप्लिकेशन को निश्चित रूप से करीब प्राप्त किया जाता है (यह क्लाइंट ऐप फोन की सुविधा देता है), लेकिन कुछ चालाक हैकर द्विआधारी हेक्स से संपादित, और यह पैकेट कि तले कर रहे हैं भेज दिया।

अब, जाहिर है, उन पैकेटों को इस तरह से तंग कर दिया गया है जो कि समझ में आता है (अन्यथा सर्वर इसे समझने में सक्षम नहीं होगा), लेकिन मैं जो करना चाहता था वह एक एमुलेटर लिखना है जो इस बाइनरी ऐप को अनुकरण करता है सर्वर के लिए समान पैकेट, और प्रतिक्रिया को असम्बद्ध करने में सक्षम होने (यदि यह scrambled है)।

हेक्स एड ग्राहक जिस क्रम पुराने ग्राहक नहीं था चलाने के लिए, में एक अतिरिक्त dll की आवश्यकता है। मैं यह सोचते हैं कि किसी भी तरह हेक्स एड ग्राहक कि DLL लोड करने में कामयाब (देता है इसे कहते client.dll) और कि dll के समारोह पांव मार/unscrambling लागू करने के लिए, कुछ Windows API कि से भेजे गए सभी पैकेट भेज दिए में hooking द्वारा होता है client.exe प्रक्रिया।

यदि कोई ऐसा व्यक्ति है जो मुझे यह निर्देश दे सकता है कि यह कैसे काम करता है, यह कैसे काम करता है कि यह सब कैसे काम करता है, और मैं कैसे स्कैम्बिंग इंजीनियर को उलटा कर सकता हूं, इसकी वास्तव में सराहना की जाएगी।

मुझे नहीं पता कि किस प्रकार की जानकारी प्रदान की जानी चाहिए, लेकिन यदि कोई कमी है, तो बस जवाब दें, और मैं अधिक जानकारी के साथ पोस्ट करूंगा, और यदि कोई द्विआधारी चाहता है, तो मुझे इसे प्रदान करने में खुशी होगी।

---

किसी भी इच्छुक पार्टियों के लिए द्विआधारी डाउनलोड:

http://dl.getdropbox.com/u/46623/client.dll

http://dl.getdropbox.com/u/46623/newClient.exe

http://dl.getdropbox.com/u/46623/originalClient.exe

इन क्योंकि संसाधन फ़ाइलों के लिए आवश्यक हैं चलाने के अभ्यस्त - वे कर रहे हैं के बारे में 3 गिग्स, तो कहीं भी अपलोड करने के लिए बहुत बड़ा है। दोषी को बचाने के लिए नाम बदल दिए गए हैं =), लेकिन शायद यह डीएलएल के नाम की रक्षा नहीं करता है ...

Answer 1

मैं यह सोचते हैं रहा है कि व्यक्ति जो इस हुक जो पैकेट आई/ओ ऊपर उल्लिखित कार्यक्रम के लिए या तो झुका है प्रासंगिक विंडोज 'सॉकेट API (WSASend, send, आदि) के लिए एन्क्रिप्शन कहते हैं कोडित या झुका आंतरिक प्रोग्राम फ़ंक्शंस डेटा भेजने/प्राप्त करने के लिए उपयोग किया जाता है।

यह कहा जा रहा है कि, मैं सुझाव दूंगा कि वास्तव में क्या लगाया जा रहा है यह जानने के लिए आप एक हुक डिटेक्शन प्रोग्राम (उदा। आरकेयूएनएचकर) का उपयोग करें। एक बार जब आप जानते हैं कि कौन से एपीआई लगाए गए हैं तो आपको यह भी पता होना चाहिए कि ये हुक कहां जा रहे हैं और वहां से आपको हुक फ़ंक्शंस को मैन्युअल रूप से रिवर्स करना होगा।

सीखने के विषय के रूप में यह कैसे करना है, मैं आपको सबकुछ सिखाने के लिए केवल एक ट्यूटोरियल पर निर्देशित नहीं कर सकता लेकिन मुझे सलाह है कि आप Tuts4You साइट पर देखें, इसमें ट्यूटोरियल की एक बड़ी संख्या है जो सभी को मिल जाएगी आपकी जरूरतों का

यदि संभव हो, तो संपादित क्लाइंट & हुक डीएलएल की एक प्रति अपलोड करें, यदि मेरे पास समय है तो मैं आपको प्रतिकृति एन्क्रिप्शन & डिक्रिप्शन फ़ंक्शन कोड दूंगा।

Answer 2

आपको अतिरिक्त डीएलएल द्वारा निर्यात किए गए कार्यों को हुक करने और कार्यों को देखने और पैरामीटर को देखने की आवश्यकता है उन्हें पास कर दिया। यह आसान नहीं होगा क्योंकि आपके पास टाइप जानकारी नहीं है (उदा। डीएलएल निर्यात के लिए फ़ंक्शन हस्ताक्षर।)

एपीआई हुकिंग पर कुछ जानकारी के लिए here देखें। आपको माइक्रोसॉफ्ट से Windbg पर एक अच्छा डीबगर की भी आवश्यकता होगी।

जहां तक ​​मेरा तुम यहाँ है ही एकमात्र विकल्प देख सकते हैं ब्लैक बॉक्स परीक्षण यानी दोनों प्रणालियों के लिए जाना जाता इनपुट देने के लिए और मतभेद और समानता खोजने के लिए एक दूसरे के खिलाफ प्रतिक्रियाओं की तुलना है।

 
       +--------------+ 
Input--------->| Original App |--------->Response1 
       +--------------+ 

       +------------+ 
Input--------->| Modded App |--------->Response2 
       +------------+ 

अब एक बार जब आप अतिरिक्त डीएलएल से फ़ंक्शंस का उपयोग कैसे करें, तो आप इसे मूल ऐप के समान तरीके से उपयोग कर सकते हैं।