Собственно сабж. Сервера интерлюда, фришки, во всю используют защиту l2.bin. Сразу возникает вопрос, что если админ о 16 годах смог поставить такую защиту, почему ее так трудно обойти?
Долго думал и пришел к такому выводу. Либо эту защиту продают на лево и на право, либо это фейк, а не защита.
Взял сервачек, ~10 человек онлайн и начал мутить. Пробовать в разных вариациях втыкать свой фейковый l2.bin в клиент.
Начал с того, что с пакетхаком клиент напрочь отказывался запускаться. Убирал из клиент по одному подозрительному файлу - не помогло. Переименовал l2.bin в l2.exe. Запуститься удалось, что само по себе уже продвижение, но на сервер как не пускало - так и не пускает.
После раздумий я решил попробовать сделать копию l2.exe, переименовать ее в l2.bin и запуститься. Клиент отказался запускаться. Мало того, так он еще по кругу стал запускать кучу l2.bin =) Я это поборол)
И тут мне пришла в голову идея)
Берем чистый l2.exe, переименовываем в l2.bin. Кидаем в папку с l2.exe. На мое удивление клиент запустился, и даже захотел приконектиться к серверу. Дошел до выбора сервера, но тут столкнулся с другой проблемой.
Код:
Протокол этой версии не может быть использован. Пожалуйста продолжайте.
В моем понимании, это l2.bin не подходит версией к клиенту) Значит нужно изменить версию в чистом l2.exe, переименовать в l2.bin и в теории (Ох как не люблю это слово) мы сможем зайти на сервер.
Поясню, что все это время l2.bin и l2.exe как полагается висят в процессах. Пакетхак не закрывается.
Лог пакетхака прилагаю.
Код:
18.08.2010 08:53:27 Успешно загрузили C:\Users\admin\Desktop\l2phx.3.5.33.164\inject.dll
18.08.2010 08:53:27 LSP модуль зарегистрирован в системе
18.08.2010 08:53:27 Стартует L2ph v3.5.33.164
18.08.2010 08:53:27 На 7788 зарегистрирован локальный сервер
18.08.2010 08:53:44 (LSP) Обнаружено соединение (Сокет 3288) IP/port 195.42.127.205:2166. Соединение будет перехвачено
18.08.2010 08:53:44 ServerListen: Обнаружено новое соединение.
18.08.2010 08:53:44 Тунель ($81551696) создан
18.08.2010 08:53:44 Тунель ($81551696) запущен для чтения с сокета № 364
18.08.2010 08:53:45 Тунель ($81551696), Серверный сокет № 364 / Клиентский сокет № 384, Соединение установлено с 195.42.127.205:2166
18.08.2010 08:53:47 Тунель ($81551696) Отвалились от клиента
18.08.2010 08:53:47 Тунель ($81551696) Отвалились от сервера
18.08.2010 08:53:47 (LSP) Обнаружено соединение (Сокет 3288) IP/port 195.42.127.205:2166. Соединение будет перехвачено
18.08.2010 08:53:47 ServerListen: Обнаружено новое соединение.
18.08.2010 08:53:47 Тунель ($108322560) создан
18.08.2010 08:53:47 Тунель ($108322560) запущен для чтения с сокета № 388
18.08.2010 08:53:47 Тунель ($108322560), Серверный сокет № 388 / Клиентский сокет № 396, Соединение установлено с 195.42.127.205:2166
18.08.2010 08:53:50 Тунель ($108322560) Отвалились от клиента
18.08.2010 08:53:50 Тунель ($108322560) Отвалились от сервера
18.08.2010 08:53:50 (LSP) Обнаружено соединение (Сокет 3468) IP/port 195.42.127.205:7777. Соединение будет перехвачено
18.08.2010 08:53:50 ServerListen: Обнаружено новое соединение.
18.08.2010 08:53:50 Тунель ($109699796) создан
18.08.2010 08:53:50 Тунель ($109699796) запущен для чтения с сокета № 408
18.08.2010 08:53:50 Тунель ($109699796), Серверный сокет № 408 / Клиентский сокет № 420, Соединение установлено с 195.42.127.205:7777
18.08.2010 08:53:50 Тунель ($109699796) Отвалились от сервера
18.08.2010 08:54:04 Тунель ($109699796) Отвалились от клиента
Скрин до куда смог дойти.
[Ссылки могут видеть только зарегистрированные пользователи. ]
Если где не прав - поправьте.
Последний раз редактировалось abbot; 18.08.2010 в 09:09.
Я считаю что не в шифрации дело. Когда ты заходишь на сервер - пару пакетов по типу "attack" не читаются. Unknow. И при отправке любого пакета(например 0F) краш клиента. Может дело по прежнему в l2.bin?
К тому же я не прошу меня чему то учить/давать ссылки на темы, которые я итак видел. Я прошу помочь, ибо каждый второй фри сервер с l2.bin . А это уже жестко напрягает.
Последний раз редактировалось abbot; 18.08.2010 в 16:41.
Я считаю что не в шифрации дело. Когда ты заходишь на сервер - пару пакетов по типу "attack" не читаются. Unknow. И при отправке любого пакета(например 0F) краш клиента. Может дело по прежнему в l2.bin?
К тому же я не прошу меня чему то учить/давать ссылки на темы, которые я итак видел. Я прошу помочь, ибо каждый второй фри сервер с l2.bin . А это уже жестко напрягает.
Как это дело не в шифрации ?? а пакеты unkown откуда ?? И если ты отправляешь пакет 0F получаеться краш, т.к серверу неизвестны данные пакеты имхо стоит шифрация
________________
ПРАСТИТЕ ЧТО ПИШУ БАЛЬШЫМИ БУКВАМИ И С АШИБКАМИ, ПРОСТА У МЕНЯ НАГА В ШИФТЕ ЗАСТРЯЛА
Окей парни. Я думал кто идей подкинет. Вы умные? Сидите на попе и ждите, пока за вас все сделают. А я еще способ обойти l2.bin нашел. Смысл вам говорить? Вы же шифровщики.
Вы слушаете только себя. Я говорил о том, что unknow возможно подменяется из-за l2.bin уже на компе. Ибо не все пакеты unknow, а только 1-2.
l2.exe выступает вроде защиты. а l2.bin как l2.exe.
защитный l2.exe закрывает l2phx и т.д. так же закрывает папки с l2phx. когда все чисто, он прописывает в l2.ini ip : port (по дефолту там что-то вроде 127.0.0.1:8000) и только потом работает l2.bin.
мне помог lsp перехват и hidetoolz. там где Unknow, стоит шифрация. нужен свой newxor.dll
Окей парни. Я думал кто идей подкинет. Вы умные? Сидите на попе и ждите, пока за вас все сделают. А я еще способ обойти l2.bin нашел. Смысл вам говорить? Вы же шифровщики.
Вы слушаете только себя. Я говорил о том, что unknow возможно подменяется из-за l2.bin уже на компе. Ибо не все пакеты unknow, а только 1-2.
Если не все пакеты шифрует,скорее всего это фейк l2.bin и возможен запуск клиента без него.Сейчас на большинстве фришек ставят фейк защиту.
________________
Я люблю любимый zhyk,потому zhyk.ru крут!
[Ссылки могут видеть только зарегистрированные пользователи. ]
l2.exe выступает вроде защиты. а l2.bin как l2.exe.
защитный l2.exe закрывает l2phx и т.д. так же закрывает папки с l2phx. когда все чисто, он прописывает в l2.ini ip : port (по дефолту там что-то вроде 127.0.0.1:8000) и только потом работает l2.bin.
мне помог lsp перехват и hidetoolz. там где Unknow, стоит шифрация. нужен свой newxor.dll
Бред. l2.bin - защита. Она подгружает GameGuard.des и еще с десяток интересных процессов. Если через PE убить подпроцесс GameGuard.des, то до выбора сервера доходит с оригинальными(те что были в патче) l2.bin и l2.exe.
Добавлено через 2 минуты
Цитата:
Сообщение от ppcNooB
Если не все пакеты шифрует,скорее всего это фейк l2.bin и возможен запуск клиента без него.Сейчас на большинстве фришек ставят фейк защиту.
Об этом изначально в теме и пытаюсь сказать. Но вопрос в другом. Да, допустим я смог зайти без l2.bin, вижу что регулярно летят пакеты Unknow. Их пару штук) Но при отправке банального "0F" клиент крашится. Почему?
Последний раз редактировалось abbot; 18.08.2010 в 18:12.
Причина: Добавлено сообщение
Бред. l2.bin - защита. Она подгружает GameGuard.des и еще с десяток интересных процессов. Если через PE убить подпроцесс GameGuard.des, то до выбора сервера доходит с оригинальными(те что были в патче) l2.bin и l2.exe.
Добавлено через 2 минуты
Об этом изначально в теме и пытаюсь сказать. Но вопрос в другом. Да, допустим я смог зайти без l2.bin, вижу что регулярно летят пакеты Unknow. Их пару штук) Но при отправке банального "0F" клиент крашится. Почему?
покачену. потому что при приходе на сервер он шифруеться и передаеться по другому а твой не шифруеться и поэтому ****ня!