Windows 앱에서 스크램블 패킷을 역 엔지니어링하려면 어떻게해야합니까?

StackOverflow https://stackoverflow.com/questions/545172

문제

Clear에서 패킷을 서버로 보내는 데 사용되는 Windows Exe 앱이 있습니다. 이 앱 (클라이언트 앱이라고 부르면)은 확실히 근접한 소스이지만 일부 영리한 해커 헥스 편집 바이너리를 편집했으며 스크램블 된 패킷을 보내도록했습니다.

이제 분명히, 그 패킷은 해독 할 수있는 방식으로 스크램블되어 있습니다 (그렇지 않으면 서버가 이해할 수 없을 것입니다). 그러나 내가하고 싶은 것은이 바이너리 앱을 에뮬레이션하는 에뮬레이터를 작성하여 동일한 패킷을 서버, 응답을 방출 할 수 있습니다 (스크램블 된 경우).

HEX-ED 클라이언트는 실행하기 위해 추가 DLL이 필요했으며, 이전 클라이언트는하지 않은 것입니다. 어떻게 든 HEX-ED 클라이언트가 해당 DLL (Client.dll이라고 부르자)을로드 할 수 있다고 가정하고 DLL의 기능은 Scrambling/Unbscrambling을 구현하여 일부 Windows API에 연결하여 클라이언트.exe 프로세스.

이 모든 것이 어떻게 작동하는지, 그리고 스크램핑을 리버스 엔지니어링 할 수있는 방법을 시작하는 방법에 대해 저에게 지시 할 수있는 사람이 있다면 정말 감사 할 것입니다.

나는 어떤 종류의 정보를 제공할지 모르겠지만, 부족한 경우, 답장 만하면 더 자세한 내용을 게시 할 것이며 누군가가 바이너리를 원한다면 기꺼이 제공하게되어 기쁩니다.

이해 관계자를위한 이진 다운로드 :

http://dl.getdropbox.com/u/46623/client.dll

http://dl.getdropbox.com/u/46623/newclient.exe

http://dl.getdropbox.com/u/46623/originalclient.exe

리소스 파일이 필요하기 때문에 실행되지 않습니다. 약 3 개의 공연이므로 어디서나 업로드하기에는 너무 큽니다. 유죄를 보호하기 위해 이름이 변경되었지만 DLL의 이름을 보호하지 않을 것입니다 ...

도움이 되었습니까?

해결책

나는 이것을 코딩 한 사람이라고 가정합니다 위에서 언급 한 프로그램에 대한 패킷 I/O에 암호화를 추가합니다. 고리 관련 Windows의 소켓 API (WSASend, send, 등) 또는 데이터를 보내거나받는 데 사용되는 내부 프로그램 기능을 연결했습니다.

이것은 후크 감지 프로그램을 사용하는 것이 좋습니다 (예 : rkunhooker) 실제로 무엇이 푹 빠지고 있는지 알아 내기 위해. API가 무엇인지 알게되면이 후크가 어디로 가고 있는지 알아야하고 거기에서 후크 기능을 수동으로 리버스 엔지니어링해야합니다.

이 작업을 수행하는 방법을 배우는 주제에 관해서는, 나는 당신에게 모든 것을 가르쳐주는 튜토리얼을 하나만 지시 할 수 없었지만 나는 당신이 tuts4you 사이트에는 귀하의 모든 요구를 충족시키는 수많은 튜토리얼이 있습니다.

가능하면 편집 된 클라이언트 및 Hook DLL의 사본을 업로드하십시오. 시간이 있으면 복제 암호화 및 암호 해독 기능을 코딩 할 것입니다.

다른 팁

추가 DLL에 의해 내보낸 함수를 연결하고 호출되는 기능과 매개 변수가 전달되는 매개 변수를 조사해야합니다. 유형 정보가 없기 때문에 쉽지 않을 것입니다 (예 : DLL 내보내기의 기능 서명).)

바라보다 여기 API 훅킹에 대한 정보. 또한 좋은 디버거를 시도해야합니다 Windbg Microsoft에서.

내가 여기에있는 유일한 옵션을 볼 수있는 한 블랙 박스 테스트, 즉 두 시스템에 알려진 입력을 제공하고 서로 대답을 비교하여 차이점과 유사성을 찾습니다.

               +--------------+
Input--------->| Original App |--------->Response1
               +--------------+

               +------------+
Input--------->| Modded App |--------->Response2
               +------------+

이제 추가 DLL에서 함수를 사용하는 방법을 알아 내면 원래 앱과 같은 방식으로 직접 사용할 수 있습니다.

라이센스 : CC-BY-SA ~와 함께 속성
제휴하지 않습니다 StackOverflow
scroll top