[Server Emulation] Loginsystem basteln? (Packetsniffing)

06/07/2012 20:37 Terreox#1

Hallo ihr Coder da drau�en,

ich habe ein wenig langeweile momentan und w�rde ein wenig was im Bereich der Serveremulation machen. Als ersten kleinen Schritt habe ich mir vorgenommen, dass ich ein Programm baue, welches den Datenverkehr des Programmes X abf�ngt, bearbeitet und eine Antwort sendet.
M�glich w�re z.B. folgendes:
Programm A sendet z.B. Logindaten -> Serveremulator f�ngt ab -> gleich Daten mit z.B. einer DB ab -> sendet true oder false Antwort zur�ck.

Gut was so simpel gedacht ist wird wohl eher etwas komplexer sein, da man denk ich auf jedenfall erstmal den Traffic des Programmes analysieren muss, um �berhaupt zu erfahren wie gesendet wird und was zur�ckkommt.

Darum geht es mir auch: Dem Packetsniffing und der Analyse. Gibt es hierzu irgendwo empfehlenswerte Anleitungen oder sonstige Papers die die Theorie oder am besten auch die Theorie mit praktischer Umsetzung erkl�ren?
Es geht hier nicht um einen Bot oder Trojaner etc. Ich will einfach nur erreichen, dass ich mir eine Art PServer-Loginsystem f�r ein Programm bauen kann.

W�rde mich �ber Tipps und Hinweise zu diesem Thema (oder auch weiterf�hrenden Themen aus diesem Bereich der Programmierung, die etwas damit zu tun haben) sehr freuen :)

06/10/2012 03:32 MoepMeep#2

Send/recv hook/detour bzw das ganze �ber einen proxy umleiten.

06/10/2012 15:47 Xijezu#3

Bei Packetsniffing w�rde ich pers�nlich ja zur�ck auf die Man-in-the-middle-Methode zur�ckgreifen, sprich den Clienten, falls m�glich, auf den Packetsniffer verbinden lassen, der sich auch zum Server verbindet, dementsprechend dann die Packets weiterleitet und zwischendurch diese auch loggt.

Problem an der Sache ist nur die Encryption der Packets, denn ich denke, kaum ein Spiel schickt noch unverschl�sselte Packets.
Wir hatten damals das Gl�ck und hatten ein Teil des Sourcecodes des Servers. *hust*

06/10/2012 21:36 Terreox#4

Vielen Dank f�r die Antworten :)
Gut zu Man-in-the-middle sollte sich doch was finden lassen. Ich werde mich mal damit besch�ftigen

06/10/2012 21:58 MrSm!th#5

Du wirst letztendlich nicht um das Reversen des Clients herumkommen, um die Verschl�sselung zu knacken.
Ein Public Sniffer hilft nur bedingt, da er halt die Verschl�sselung nicht kennt und nur die verschl�sselten Pakete anzeigt. Und nach dem Reversing Vorgang schreibt man sich normalerweise selbst nen kleinen Sniffer, der die Pakete auch gleich entschl�sselt darstellt, um den Traffic zu analysieren.

06/12/2012 17:30 Tyrar#6

Quote:

Originally Posted by MrSm!th

Du wirst letztendlich nicht um das Reversen des Clients herumkommen, um die Verschl�sselung zu knacken.
Ein Public Sniffer hilft nur bedingt, da er halt die Verschl�sselung nicht kennt und nur die verschl�sselten Pakete anzeigt. Und nach dem Reversing Vorgang schreibt man sich normalerweise selbst nen kleinen Sniffer, der die Pakete auch gleich entschl�sselt darstellt, um den Traffic zu analysieren.

Grunds�tzlich wird in diesen f�llen ein Hook an die Funktionen platziert, die die Rohdaten entgegennehmen. Damit h�tte man (zumindest alleine f�r das Sniffen) das reversen der Encryption umgangen (allerdings wenn man einen Emulator schreiben will, sowieso notwendig)

06/12/2012 21:04 MrSm!th#7

Auch daf�r w�re erstmal Reversing notwendig.

06/13/2012 13:57 Tyrar#8

Quote:

Originally Posted by MrSm!th

Auch daf�r w�re erstmal Reversing notwendig.

allerdings nich so extrem, die gesamte encryption reversen zu m�ssen, aber das nur am rande ;)

06/13/2012 23:58 MrSm!th#9

Das kommt aufs Verfahren und die eigenen Sinne an. I.d.R. musst du es nur erkennen, oft sind es bekannte Verfahren oder sogar bekannte Libs, dann musst du es nicht selbst reversen.

Au�erdem macht das doch viel mehr Spa� :p

06/15/2012 16:28 Tyrar#10

Quote:

Originally Posted by MrSm!th

Das kommt aufs Verfahren und die eigenen Sinne an. I.d.R. musst du es nur erkennen, oft sind es bekannte Verfahren oder sogar bekannte Libs, dann musst du es nicht selbst reversen.

Au�erdem macht das doch viel mehr Spa� :p

spa�ig!=effektiv ;)

es ist (in meinen augen) definitiv effektiver, zu suchen wo eine art von encryption durchgef�hrt wird und davor einen hook zu platzieren, als zuerst rauszufinden, welche encryption verwendet wird/welcher key/blablabla
vorallem k�nnten es auch modifizierte algos sein und da kommt man mit nem simplen scanner nicht mehr einfach so dran

06/15/2012 16:44 MrSm!th#11

Doch, gerade Scanner schaffen das dann eher als das menschliche Auge.
Probleme gibts erst bei modifizierten Algorithmen.