Prüfsummenverfahren 2 Byte

[call286]

Hallo alle,

Ich beschäftige mich seit einer Weile mit Paketen, die ein Programm auf meinem Rechner empfängt.

Ich würde diese Pakete gerne nachbauen, leider scheitere ich an einer (so vermute ich) Prüfsumme am Anfang des Pakets.

Ich betrachte nur die Presentation Schicht, also die Nutzdaten.
Ich habe bereits CRC-16, CRC-CCITT und Fletcher-16 als Prüfsummenverfahren ausprobiert, leider komme ich damit nicht auf die gesuchte Zahl. Nun bin ich auf der Suche nach Ansätzen, wie ich auf die gesuchte Zahl kommen kann. Die Prüfsumme ist immer 2 Byte lang, sie scheint auch nicht die Standard Udp-Prüfsumme zu sein.

Ich poste mal ein Beispielpaket, das rot markierte ist die besagte Zahl:
B8 B6 2D 00 00 00 00 00 00 00 02 01 00 F5 ED 01
00 6D 00 00 00 E2 B0 A0 54 63 61 6C 6C 32 38 36
00 00 00 00 00 00 00 00 00 00 00 00 00

Ändert sich ein Byte, ändert sich auch die Prüfsumme, so z.b. wenn sich 6D (grün) auf 6C ändert, so wird aus der Prüfsumme 25 7D.

So langsam gehen mir die Prüfverfahren aus, mit denen ich das probieren kann. Habe auch schon probiert ein md5 und CRC-32 zu berechnen, ob es sich um einen Teil dieser Verfahren handelt, leider auch ohne Erfolg.

Ich wäre für jeden Hinweis dankbar

MfG call

 

[Lesco]

Also ich vermute es ist ein eigener "nicht-standard"-Algorithmus, daher kannst du das Testen vorhandener Algorithmen imho vergessen. Es ist schneller und sicherer stattdessen das Programm, das die Pakete empfängt mit einem Disassembler od. Debugger zu analysieren, dann siehst du auch, wie die Pakete interpretiert und die Prüfsumme berechnet wird.

 

[adrian90]

Aber ist das denn nicht ein offizieller Standard?

 

[Xalon]

Na vom Coder des Programms ein selbst gemachter

 

[call286]

Sry, das ich jetzt erst antworte, war unterwegs, erstmal danke für die Beteiligung. Leider bin ich nicht genügend bewandert in disassemblen und Assembler, ausserdem ist die dll die dafür zuständig ist und die exe wohl irgendwie vercrypted. Zumindest sagt das ein Freund von mir, der mal kurz drübergeschaut hat.

Also ein Standardalgo für 2 Byte sind die oben genannten, von denen ist es keiner, es sei denn, sie berechnen ihn über die gesamte Länge, ich habe es über die Daten ohne die Prüfsumme berechnet. Und ich habe auch mal FF FF und 00 00 und 01 01 vorne dran gestellt. Aber leider sind das nur Schüsse ins Blaue gewesen, ohne Erfolg.

Also werde ich mal schauen, ob ich es irgendwie debuggen kann. Kann ich dafür den verwenden, der beim Visual Studio dabei ist? Ist aber nur die Express Edition.

Oder würdet ihr einen anderen Debugger empfehlen?
Hat es überhaupt Sinn eine vercryptete exe zu debuggen?

 

[Xalon]

Nimm den OllyDebugger

 

[call286]

Hm, ich kanns nciht debuggen.
Ist mit Themida geschützt, so wie es aussieht.
Ich denke da muss ich vorher noch viel lernen,
hab mal im Forum danach gestöbert und das scheint ja was böses zu sein =)