Что это за шифр?

Ситуация следующая.
Идет обмен по HTTPS между клиентом и сервером.После дешифрации HTTPS через прокси появилась такая картина. Клиент посылает запросы на сервер:

POST /servlet/pdas?rnd=1e7e1a3
PDAS_HEADER_DEFLATE: eJylkUtvgkAUhf8KufuWeThUExhjO8FaITWoaXcNRaGkDLQDKvrrO9gHROOqi7u435xz5iTXHtYyM7ZrVaZF7gC+RjDkdlzLMjG2DnyswhK4LY3KgSXrgfHpANIgNrR4PhHAlxghwV5mwfsoyF69vVqpnAm1G23cfu5F7ngeT4sH/54WyVu6eGLTQMxIvlf17jD2olraZvwTR5lOY70OoBZw9/nOb5FF2O+XLcSY/L/HFSFt4gCRPnB0BNk3wLqLnfy94xvgtyoKy2oiuj6sfcfdTE7lfpmcay1EBxgzeskTptm5CV1QL1K5ftxUJ/LmdmnXZGZ6ZFOzOTP/AjwnkJc=

POST /servlet/pdas?rnd=1e7ee1e
PDAS_HEADER_DEFLATE: eJylkV9vgjAUxb8Kue8bLbVME6hxa3BOyAxqtreFoXRkFLaCin76FfcHovFpD/fh/nrO6UmuM6xlZmzXqkyL3AV8jWDInKSWpTC2LnysohKYI43KhSXtgfHpAtIgMbR4PuHAlhghTl9m4fsozF79vVqpnHK1G228fu7H3nieTIuH4J4U4i1dPNFpyGdWvlf17jD241o6ZvITR6hOo70OIDYw7/kuaJFt0d8vW4ix9f8eVxZpEwfI6gNDR5B9A6y7OOLvHd8Au1VxVFYT3vVh7TvupjiVB6U419qIDDCm5JInSrNzE7qgXqRy/bipTuTN7dKuycz0yKZmc2b2BT0fkJg=

POST /servlet/pdas?rnd=1e7faa3
PDAS_HEADER_DEFLATE: eJylkUFvgkAQhf/KZu4tu+BSTWCNLcFaITWoaW8NRdluykK7oKK/vovaSjSeepjDfPPezEvG6dcyQ+ulKkWRu0BuMfSZk9ay5GjtwtciLoE5ElUuzGkH0LcLWIMUafF05AGbE4w9+jaJPgdR9h5s1ULl1FObwcrv5kHiD6fpuHgKH62Cf4jZCx1H3sTMt6re7IZBUkvHSI/rLKq30U4LWDYw//UhPCHbpL8nT5AQ8/85bszW5R42u8DwHmQHQHQWh//NyR2we5XEZTXy2j6iffve4OfysOSXWhtbPUKodc0Ti+zShK+oZ0Iun1fVmbz5nWibjEyXbGI2b2Y/PheQmQ==

POST /servlet/pdas?rnd=1e80759
PDAS_HEADER_DEFLATE: eJylkVFvgjAUhf9Kc983WrBME6hxIzgnZAY129vCULpmFLaCiv76FXWTaHzaw324X885Pcl1+rXM0HqpSlHkLpBbDH3mpLUsOVq78LWIS2CORJULc9oB9O0C1iBFWjwdecDmBGOPvk2iz0GUvQdbtVA59dRmsPK7eZD4w2k6Lp7CR6vgH2L2QseRNzHzrao3u2GQ1NIx0mOcRXUa7bSAZQPzXx/CE7JN+vvlCRJi/r/HjdlK7GGzCwzvQXYARHdx+N87uQN2r5K4rEZe20e0b78b/FwelvxSa2OrRwi1rnlikV2a8BX1TMjl86o6kze3E22TkemRTc3mzOwHPw+Qmg==

POST /servlet/pdas?rnd=1e8142e
PDAS_HEADER_DEFLATE: eJylkV9vgjAUxb9Kc983WmqZJlDjRnBOyAxqtreFoXRkFLaCin76FfcHovFpD/fh/nrO6UmuPaxlhrZrVaZF7gC5xjDkdlLLUqCtAx+rqARuS1Q5sGQ9QJ8OYA0SpMXziQt8STB22cssfB+F2au/VyuVM1ftRhuvn/uxN54n0+IhuKeFeEsXT2waujMz36t6dxj7cS1tI/mJo0ynsV4HUAu493wXtMgy2e+XLSTE/H+PK9NqEwfY7APHR5B9A6K72OLvndwAv1VxVFYTt+sj2nfcDXEqD0pxrrUwHRDC6CVPlGbnJnxBvUjl+nFTncib26Vdk5HpkU3N5sz8C0AHkJs=

POST /servlet/pdas?rnd=1e820c7
PDAS_HEADER_DEFLATE: eJylkV9vgjAUxb8Kue8bLbWoCdS4NTgnZAY129vCUDoyCltBxX36FfcHovFpD/fh/nrO6UmuM6plZuw2qkyL3AV8jWDEnKSWpTB2LryvoxKYI43KhRXtgfHhAtIgMbR4MeXAVhghTp/n4ds4zF78g1qrnHK1H2+9Qe7H3mSRzIr74I4U4jVdPtJZyOdWflD1/nPix7V0zOQnjlCdRnsdQGxg3tNt0CLbor9fthBj6/89rqx+mzhE1gAYOoLsG2DdxRF/77gP7EbFUVlNedeHte+4m+JUHpTiXGsjMsSYkkueKM3OTeiCepnKzcO2OpE3t0u7JjPTI5uazZnZF0D/kJw=

POST /servlet/pdas?rnd=1e82d37
PDAS_HEADER_DEFLATE: eJylkVFvgjAUhf8Kue8bbbEME6hxIzgnZAY129vCUBgZha1FRX/9irpBND7t4T7cr+ecnuTag5rn2mYlZFYWDuBbBANmJzWXqbZx4GsZSWA21yoHFrQH2rcDSIFEU+LZ2AW2wAi59G0afg7D/N3fiaUoqCu2w7VnFX7sjWbJpHwKHo0y/cjmL3QSulNS7ES93Y/8uOa2npziDKrSaK8DDBOY9/oQtMgk9PfLFmJM/t/jhlhtYh8RCxg6gPwIsOpip3/v+A7YvYgjWY3drg8r32HX03N5INNLrYmMPsbUuOaJsvzShK6o5xlfPa+rM3lzu6xr0nM1vKnZnJn9AEH3kJ0=

POST /servlet/pdas?rnd=1e839a8
PDAS_HEADER_DEFLATE: eJylkVFvgjAUhf8Kue8bLVgmSalxIzgnZAY129vCUBgZha1FRX/9irpBND7t4T7cr+ecnuTSQc1zbbMSMisLB/AtggGjSc1lqm0c+FpGEhjlWuXAgvRA+3YAKZBoSjwbu8AWGCGXvE3Dz2GYv/s7sRQFccV2uPb6hR97o1kyKZ+CR7NMP7L5C5mE7tQodqLe7kd+XHOqJ6c4k6g00usA0wLmvT4ELbIM8vtlCzE2/t/jxrDbRBsZfWDoAPIjwKoLTf/e8R2wexFHshq7XR9WvsOup+fyQKaXWguZNsbEvOaJsvzShK6o5xlfPa+rM3lzu6xr0nM1vKnZnJn9AELvkJ4=

POST /servlet/pdas?rnd=1e845dc
PDAS_HEADER_DEFLATE: eJylkVFvgjAUhf8Kue8bLbVME6hxIzgnZAY129vCUDoyCluLiv76lbkNovFpD/fhfj3n9CTXGdYiN7ZrqbKycAFfIxgyJ62F4sbWhY9VrIA5wqhcWNIeGJ8uIA1SQ4vnEw/YEiPk0ZdZ9D6K8tdgL1eyoJ7cjTZ+vwgSfzxPp+VDeE9K/pYtnug08mZWsZf17jAOklo4ZvoTR6hOo70OIDYw//kubJFt0d8vW4ix9f8eVwS1iQNk9YEdQX4EWHdx+N87vgF2K5NYVROv68Pa972b/FQeKn6utREZYEzJJU+c5ecmdEG9yMT6cVOdyJvbZV2TmesRTc3mzOwLOzCQlg==

POST /servlet/pdas?rnd=1e852a7
PDAS_HEADER_DEFLATE: eJylkV9vgjAUxb8Kue8bLbVME6hxa3BOyAxqtreFoXRkFLaCin76FfcHovFpD/fh/nrO6UmuM6xlZmzXqkyL3AV8jWDInKSWpTC2LnysohKYI43KhSXtgfHpAtIgMbR4PuHAlhghTl9m4fsozF79vVqpnHK1G228fu7H3nieTIuH4J4U4i1dPNFpyGdWvlf17jD241o6ZvITR6hOo70OIDYw7/kuaJFt0d8vW4ix9f8eVwS3iQNk9YGhI8i+AdZdHPH3jm+A3ao4KqsJ7/qw9h13U5zKg1Kca21EBhhTcskTpdm5CV1QL1K5ftxUJ/LmdmnXZGZ6ZFOzOTP7AjwokJc=

POST /servlet/pdas?rnd=1e85efa
PDAS_HEADER_DEFLATE: eJylkV9vgjAUxb8Kue8bLbVME6hxa3BOyAxqtreFoXRkFLaCin76FfcHovFpD/fh/nrO6UmuM6xlZmzXqkyL3AV8jWDInKSWpTC2LnysohKYI43KhSXtgfHpAtIgMbR4PuHAlhghTl9m4fsozF79vVqpnHK1G228fu7H3nieTIuH4J4U4i1dPNFpyGdWvlf17jD241o6ZvITR6hOo70OIDYw7/kuaJFt0d8vW4ix9f8eV8RqEwfI6gNDR5B9A6y7OOLvHd8Au1VxVFYT3vVh7TvupjiVB6U419qIDDCm5JInSrNzE7qgXqRy/bipTuTN7dKuycz0yKZmc2b2BT0gkJg=

POST /servlet/pdas?rnd=1e86b7e
PDAS_HEADER_DEFLATE: eJylkV9vgjAUxb8Kue8bLbVME6hxa3BOyAxqtreFoXRkFLaCin76FfcHovFpD/fh/nrO6UmuM6xlZmzXqkyL3AV8jWDInKSWpTC2LnysohKYI43KhSXtgfHpAtIgMbR4PuHAlhghTl9m4fsozF79vVqpnHK1G228fu7H3nieTIuH4J4U4i1dPNFpyGdWvlf17jD241o6ZvITR6hOo70OIDYw7/kuaJFt0d8vW4ix9f8eV4S0iQNk9YGhI8i+AdZdHPH3jm+A3ao4KqsJ7/qw9h13U5zKg1Kca21EBhhTcskTpdm5CV1QL1K5ftxUJ/LmdmnXZGZ6ZFOzOTP7Aj4YkJk=

Отличия в оригинальных(дешифрованных) запросах должно быть в 2 байтах - счетчик запросов.
У кого какие мысли, как шифруется этот PDAS_HEADER_DEFLATE?

Это уж всё совсем по-детски. Что имеем?
1. есть почти одинаковой длины сообщения в формате base64 - то 257 то 256 байт, начинающиеся одинаково и разные потом.
2. Есть параметр "rnd=", который с каждым пакетом растёт и отличается на примерно 3200

что это значит?
rnd фактически берётся из таймера и пакеты следуют через 3 секунды, и он явно является rand seed псевдослучайной последовательности, об которую ксорятся пакеты, поэтому и начало у них совпадает, что содержимое похоже и randseed похож (дальше последовательности уже заколбашиваются и всё перемешивается, или шифр зависит от предыдущих байт и заколбашивает (невязки накапливаются) от несовпадений в пакетах (кроме счётчика запросов там может быть и время, например, и номер пакета в сессии и т.п.)
Различия в длине настораживают.
Дальше нужно сопоставлять изменения в коде и rnd, надеясь на совпадение начала декодированных пакетов, и восстановить алгоритм генерации последовательности (тут у девелоперов, далёких от алгебры, как правило, дальше rol и xor не идёт) - это мне уже лениво делать, т.к. удовольствия не добавит...

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?

drmist Guest	#2 Это нравится:0 Да/0 Нет 29.08.2005 21:18:15 Обычно используется DES. а вобще если есть возможность приконнектиться к серверу - то можно выяснить это наверняка

less Guest	#3 Это нравится:0 Да/0 Нет 30.08.2005 15:05:04 Не знаю что внутри но судя по = и == на концах - это BASE64

Cash Guest	#4 Это нравится:0 Да/0 Нет 31.08.2005 05:45:22 Просто херня какая то! :ban:

Eugene Ulianov Guest	#5 Это нравится:0 Да/0 Нет 01.09.2005 11:12:42 Это уж всё совсем по-детски. Что имеем? 1. есть почти одинаковой длины сообщения в формате base64 - то 257 то 256 байт, начинающиеся одинаково и разные потом. 2. Есть параметр "rnd=", который с каждым пакетом растёт и отличается на примерно 3200 что это значит? rnd фактически берётся из таймера и пакеты следуют через 3 секунды, и он явно является rand seed псевдослучайной последовательности, об которую ксорятся пакеты, поэтому и начало у них совпадает, что содержимое похоже и randseed похож (дальше последовательности уже заколбашиваются и всё перемешивается, или шифр зависит от предыдущих байт и заколбашивает (невязки накапливаются) от несовпадений в пакетах (кроме счётчика запросов там может быть и время, например, и номер пакета в сессии и т.п.) Различия в длине настораживают. Дальше нужно сопоставлять изменения в коде и rnd, надеясь на совпадение начала декодированных пакетов, и восстановить алгоритм генерации последовательности (тут у девелоперов, далёких от алгебры, как правило, дальше rol и xor не идёт) - это мне уже лениво делать, т.к. удовольствия не добавит...