[HaBo]

call286 · 28.04.07, 15:28

Hallo alle,

Ich beschäftige mich seit einer Weile mit Paketen, die ein Programm auf meinem Rechner empfängt.

Ich würde diese Pakete gerne nachbauen, leider scheitere ich an einer (so vermute ich) Prüfsumme am Anfang des Pakets.

Ich betrachte nur die Presentation Schicht, also die Nutzdaten.
Ich habe bereits CRC-16, CRC-CCITT und Fletcher-16 als Prüfsummenverfahren ausprobiert, leider komme ich damit nicht auf die gesuchte Zahl. Nun bin ich auf der Suche nach Ansätzen, wie ich auf die gesuchte Zahl kommen kann. Die Prüfsumme ist immer 2 Byte lang, sie scheint auch nicht die Standard Udp-Prüfsumme zu sein.

Ich poste mal ein Beispielpaket, das rot markierte ist die besagte Zahl:
B8 B6 2D 00 00 00 00 00 00 00 02 01 00 F5 ED 01
00 6D 00 00 00 E2 B0 A0 54 63 61 6C 6C 32 38 36
00 00 00 00 00 00 00 00 00 00 00 00 00

Ändert sich ein Byte, ändert sich auch die Prüfsumme, so z.b. wenn sich 6D (grün) auf 6C ändert, so wird aus der Prüfsumme 25 7D.

So langsam gehen mir die Prüfverfahren aus, mit denen ich das probieren kann. Habe auch schon probiert ein md5 und CRC-32 zu berechnen, ob es sich um einen Teil dieser Verfahren handelt, leider auch ohne Erfolg.

Ich wäre für jeden Hinweis dankbar

MfG call

Lesco · 28.04.07, 16:29

Also ich vermute es ist ein eigener "nicht-standard"-Algorithmus, daher kannst du das Testen vorhandener Algorithmen imho vergessen. Es ist schneller und sicherer stattdessen das Programm, das die Pakete empfängt mit einem Disassembler od. Debugger zu analysieren, dann siehst du auch, wie die Pakete interpretiert und die Prüfsumme berechnet wird.

Anzeige

- Anzeige -

adrian90 · 28.04.07, 17:09

Aber ist das denn nicht ein offizieller Standard?

Xalon · 28.04.07, 17:34

Na vom Coder des Programms ein selbst gemachter

call286 · 28.04.07, 21:23

Sry, das ich jetzt erst antworte, war unterwegs, erstmal danke für die Beteiligung. Leider bin ich nicht genügend bewandert in disassemblen und Assembler, ausserdem ist die dll die dafür zuständig ist und die exe wohl irgendwie vercrypted. Zumindest sagt das ein Freund von mir, der mal kurz drübergeschaut hat.

Also ein Standardalgo für 2 Byte sind die oben genannten, von denen ist es keiner, es sei denn, sie berechnen ihn über die gesamte Länge, ich habe es über die Daten ohne die Prüfsumme berechnet. Und ich habe auch mal FF FF und 00 00 und 01 01 vorne dran gestellt. Aber leider sind das nur Schüsse ins Blaue gewesen, ohne Erfolg.

Also werde ich mal schauen, ob ich es irgendwie debuggen kann. Kann ich dafür den verwenden, der beim Visual Studio dabei ist? Ist aber nur die Express Edition.

Oder würdet ihr einen anderen Debugger empfehlen?
Hat es überhaupt Sinn eine vercryptete exe zu debuggen?

Xalon · 29.04.07, 00:44

Nimm den OllyDebugger

call286 · 29.04.07, 02:21

Hm, ich kanns nciht debuggen.
Ist mit Themida geschützt, so wie es aussieht.
Ich denke da muss ich vorher noch viel lernen,
hab mal im Forum danach gestöbert und das scheint ja was böses zu sein

Anzeige

- Anzeige -

28.04.07, 15:28	#1 (permalink)
call286 Registriert seit: 28.04.07 Likes: 0	Prüfsummenverfahren 2 Byte Anzeige Hallo alle, Ich beschäftige mich seit einer Weile mit Paketen, die ein Programm auf meinem Rechner empfängt. Ich würde diese Pakete gerne nachbauen, leider scheitere ich an einer (so vermute ich) Prüfsumme am Anfang des Pakets. Ich betrachte nur die Presentation Schicht, also die Nutzdaten. Ich habe bereits CRC-16, CRC-CCITT und Fletcher-16 als Prüfsummenverfahren ausprobiert, leider komme ich damit nicht auf die gesuchte Zahl. Nun bin ich auf der Suche nach Ansätzen, wie ich auf die gesuchte Zahl kommen kann. Die Prüfsumme ist immer 2 Byte lang, sie scheint auch nicht die Standard Udp-Prüfsumme zu sein. Ich poste mal ein Beispielpaket, das rot markierte ist die besagte Zahl: B8 B6 2D 00 00 00 00 00 00 00 02 01 00 F5 ED 01 00 6D 00 00 00 E2 B0 A0 54 63 61 6C 6C 32 38 36 00 00 00 00 00 00 00 00 00 00 00 00 00 Ändert sich ein Byte, ändert sich auch die Prüfsumme, so z.b. wenn sich 6D (grün) auf 6C ändert, so wird aus der Prüfsumme 25 7D. So langsam gehen mir die Prüfverfahren aus, mit denen ich das probieren kann. Habe auch schon probiert ein md5 und CRC-32 zu berechnen, ob es sich um einen Teil dieser Verfahren handelt, leider auch ohne Erfolg. Ich wäre für jeden Hinweis dankbar MfG call

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Firefox 3.5 Datei nach Download 0 Byte	nookstar	Applikationen	3	02.10.09 14:46
Java binär Byte.parseByte()	Haldir	Code Kitchen	4	14.09.09 18:29
[ASM]Byte Inversieren	sd333221	Code Kitchen	2	02.02.07 15:27
Winamp 5.12 erzeugt 0-Byte Dateien ?!	sartre	Music- & Filmbox	5	21.12.05 19:20
[Source] Byte Array in VB.NET nach String durchsuchen	ByteWolf	Code Kitchen	0	29.05.05 15:36

28.04.07, 16:29	#2 (permalink)
Lesco Senior Member Registriert seit: 03.09.05 Likes: 0	Also ich vermute es ist ein eigener "nicht-standard"-Algorithmus, daher kannst du das Testen vorhandener Algorithmen imho vergessen. Es ist schneller und sicherer stattdessen das Programm, das die Pakete empfängt mit einem Disassembler od. Debugger zu analysieren, dann siehst du auch, wie die Pakete interpretiert und die Prüfsumme berechnet wird.

28.04.07, 17:09	#3 (permalink)
adrian90 Registriert seit: 06.04.05 Likes: 0	Aber ist das denn nicht ein offizieller Standard?

28.04.07, 17:34	#4 (permalink)
Xalon Registriert seit: 23.05.05 Likes: 0	Na vom Coder des Programms ein selbst gemachter

28.04.07, 21:23	#5 (permalink)
call286 Themenstarter Registriert seit: 28.04.07 Likes: 0	Sry, das ich jetzt erst antworte, war unterwegs, erstmal danke für die Beteiligung. Leider bin ich nicht genügend bewandert in disassemblen und Assembler, ausserdem ist die dll die dafür zuständig ist und die exe wohl irgendwie vercrypted. Zumindest sagt das ein Freund von mir, der mal kurz drübergeschaut hat. Also ein Standardalgo für 2 Byte sind die oben genannten, von denen ist es keiner, es sei denn, sie berechnen ihn über die gesamte Länge, ich habe es über die Daten ohne die Prüfsumme berechnet. Und ich habe auch mal FF FF und 00 00 und 01 01 vorne dran gestellt. Aber leider sind das nur Schüsse ins Blaue gewesen, ohne Erfolg. Also werde ich mal schauen, ob ich es irgendwie debuggen kann. Kann ich dafür den verwenden, der beim Visual Studio dabei ist? Ist aber nur die Express Edition. Oder würdet ihr einen anderen Debugger empfehlen? Hat es überhaupt Sinn eine vercryptete exe zu debuggen?

29.04.07, 00:44	#6 (permalink)
Xalon Registriert seit: 23.05.05 Likes: 0	Nimm den OllyDebugger

29.04.07, 02:21	#7 (permalink)
call286 Themenstarter Registriert seit: 28.04.07 Likes: 0	Hm, ich kanns nciht debuggen. Ist mit Themida geschützt, so wie es aussieht. Ich denke da muss ich vorher noch viel lernen, hab mal im Forum danach gestöbert und das scheint ja was böses zu sein

[HaBo]

Prüfsummenverfahren 2 Byte