eMuleFuture

[JvA]

so liebe freunde der blasmusik,

ich hab mich mal auf gemacht in die tiefen abgründe der emule welt und hoffe wir können alle zusammen etwas dafür tun, dass die leecher und community mods besser erkannt werden.

zuerst einmal möchte ich zum fincan mod etwas sagen, denn ich glaube wir können nahezu alle clients ihrer community erkennen und zuverlässig bannen.
sobald man den fincan startet und er sich zu nodes verbunden hat läd er eine emfriends.met vom server herunter. die adresse ist: http://www.e-sipa.biz/fincan/emfriends.met
diese enthält die namen und hashs der community clients die mit einem fincan unterwegs sind. ich denke wenn wir diese datei einfach auch laden, parsen und dann die jeweiligen hashs bannen haben wir eine relativ sichere methode fürs erste. ich denke wenn ich fertig bin mit meinen derzeitigen umbauten am x-ray werde ich sowas schreiben.....oder einer von euch ist schneller.....was mir natürlich sehr entgegen käme da ich eh kaum zeit habe.

dann zum allseits gehassten aj. hier habe ich auch etwas herumgetestet und bin auf 2 dinge gestoßen....beim 2ten allerdings mit stulle.
erst einmal zum ersten. ich habe meinen eigenen hash so verändert wie es die alten aj-clients getan haben.....sobald man nun zu einem aj (egal welche version) verbindet sendet dieser einen opcode (0xB5). dies bringt und derzeit allerdings nicht viel weil selbst wenn wir den inhalt ohne hash veränderung über den selben opcode senden antwortet der aj nicht. er sendet uns diesen nur wenn wir auch den hash besitzen. die inhalte des packets sind allerdings immer nach einem ähnlichen muster aufgebaut. die beginnen mit ein paar gleichen bytes, dann wieder eine menge verschiedene und immermal ein paar identische. die länge der inhalte variirt, ist aber dennoch immer knapp über 50bytes.
die 2te sache ist, dass der aj sich anscheinend nicht mehr über eine hashveränderung identifiziert. vermutlich läuft das ganze nun über die zusätzlichen kad-packets. ich weiß allerdings nicht wie man den aj dazu bekommt diese zu senden.
insgesammt konnte ich 8 neue kadpackete ausmachen. diese wurden wiefolgt benannt:
KADEMLIA_COMM_BOOTSTRAP_REQ
KADEMLIA_COMM_BOOTSTRAP_RES
KADEMLIA_COMM_LOAD_AJ_REQ
KADEMLIA_COMM_PUBLISH_TOPFILES_REQ
KADEMLIA_COMM_SAVE_AJ_REQ
KADEMLIA_COMM_SEARCH_TOPFILES_REQ
KADEMLIA_COMM_SEARCH_TOPFILES_RES
KADEMLIA_COMM_STORE_AJ_REQ

mal sehen ob ihr damit was anfangen könnt.....mehr konnte ich bis jetzt noch nicht in erfahrung bringen.
außer evtl. das sich FlashGet 2.x ebenfalls über den hash identifizieren muss, da ihn der macher der DLP+ so bannt.

ich wünsche eine gute nacht
cya
JvA

[Stulle]

das problematische ist, dass wir nur mit glück überhaupt mal die packete als normaler client bekommen und dann wären auch nur wir geschützt... das ist ein echtes problem, dass die sich ein netzwerk im netzwerk aufbauen und ich meine das nicht nur weil sie leechen, sondern weil es auch die erkennung nahezu unmöglich macht.

[WiZaRd]

Was ich an der Stelle mal einwerfen will - hab wenig Zeit und vergesse es dauernd - ich bekomme seit neusten SEHR viele Pakete mit Opcode/Protokoll 0xac - weiss jemand was zum Geier das ist?

EDiT: aso zum Fincan: eine generische Erkennung wäre auf jeden Fall vorzuziehen, aber wenn du den Umweg über das File machen willst, dann kannst du auch nach Quellen für das Fincan-File ("Communityfile") Fragen und die einfach alle bannen.

EDiT2: "unmöglich" ist nie etwas...die Frage ist nur ob sich der Kosten/Nutzen Aufwand rechtfertigen lässt...

[JvA]

naja an dem fincan file hingen komischerweise auch andere emule-clients mit dran.....zwar wenige aber es waren zum beispiel stullemules mit dabei....
ich denke eine sicherere erkennung als über den hash gibts es nicht oder?

die packete kommen woher?.....per kad oder im normalen protokoll? und nein ich weiß es noch nicht aber ich kann ja mal schauen ob ichs auch von einem gesendet bekomme....vielleicht finde ich was.

[WiZaRd]

ich denke eine sicherere erkennung als über den hash gibts es nicht oder?

Es ist natürlich schön eine solche Liste zu haben... aber ob da ALLE drinstehen? Ich kann kein türkisch und von daher auch nicht prüfen ob man das nicht abschalten kann im Fincan. Ein Code dazu ist ja schnell geschrieben bei Bedarf...

die packete kommen woher?.....per kad oder im normalen protokoll? und nein ich weiß es noch nicht aber ich kann ja mal schauen ob ichs auch von einem gesendet bekomme....vielleicht finde ich was.

Wenn ich wieder einen Client laufen habe poste ich mal welche...

dann zum allseits gehassten aj. hier habe ich auch etwas herumgetestet und bin auf 2 dinge gestoßen....beim 2ten allerdings mit stulle.
erst einmal zum ersten. ich habe meinen eigenen hash so verändert wie es die alten aj-clients getan haben.....sobald man nun zu einem aj (egal welche version) verbindet sendet dieser einen opcode (0xB5). dies bringt und derzeit allerdings nicht viel weil selbst wenn wir den inhalt ohne hash veränderung über den selben opcode senden antwortet der aj nicht. er sendet uns diesen nur wenn wir auch den hash besitzen. die inhalte des packets sind allerdings immer nach einem ähnlichen muster aufgebaut. die beginnen mit ein paar gleichen bytes, dann wieder eine menge verschiedene und immermal ein paar identische. die länge der inhalte variirt, ist aber dennoch immer knapp über 50bytes.
die 2te sache ist, dass der aj sich anscheinend nicht mehr über eine hashveränderung identifiziert. vermutlich läuft das ganze nun über die zusätzlichen kad-packets. ich weiß allerdings nicht wie man den aj dazu bekommt diese zu senden.

Der AJ brüstet sich doch damit dass er NUR zu Commclients connecten kann. Das geht aber nur wenn man SOFORT erkennen kann ob jemand zu Comm gehört oder nicht und das geht (eigentlich ja gar nicht) nur wenn schon Anfangs etwas "Verräterisches" gesendet wird, daher scheiden die zusätzlichen Sachen eigentlich aus und übrig bleibt nur das Hello-Packet und eben insbes. der Hash. Der Opcode B5 wird schlicht eine Comm-Identifikation enthalten, so haben wir es früher auch immer gemacht, darin steht z.B: ein Hash zur Verifizierung, der Modname, wieviele Comm-Mitglieder man kennt usw. - an sich uninteressant ausser man will die Comm emulieren.

insgesammt konnte ich 8 neue kadpackete ausmachen. diese wurden wiefolgt benannt:
KADEMLIA_COMM_BOOTSTRAP_REQ
KADEMLIA_COMM_BOOTSTRAP_RES
KADEMLIA_COMM_LOAD_AJ_REQ
KADEMLIA_COMM_PUBLISH_TOPFILES_REQ
KADEMLIA_COMM_SAVE_AJ_REQ
KADEMLIA_COMM_SEARCH_TOPFILES_REQ
KADEMLIA_COMM_SEARCH_TOPFILES_RES
KADEMLIA_COMM_STORE_AJ_REQ

Interessant wären hier die Tag-Opcodes nicht die Namen...

mal sehen ob ihr damit was anfangen könnt.....mehr konnte ich bis jetzt noch nicht in erfahrung bringen.
außer evtl. das sich FlashGet 2.x ebenfalls über den hash identifizieren muss, da ihn der macher der DLP+ so bannt.

DLP+? Woher? Keine Sources? Der FlashGet v2x ist aber im Vgl. zum 1.96er VIEL bräver (und auch schlechter).

EDIT:

06.11.2008 12:29:36: *** AntiLeech: loaded 1100 userhash filters

ROFL! Ganz schön viele...

[WiZaRd]

Hier mal ein Auszug:

06.11.2008 12:46:25: Client UDP socket: protocol=0xac opcode=0xe8 sizeaftercrypt=44 Bytes realsize=44 Bytes Unknown protocol 0xac: 77.200.235.253:36061
06.11.2008 12:48:05: Client UDP socket: protocol=0xac opcode=0x9a sizeaftercrypt=51 Bytes realsize=51 Bytes Unknown protocol 0xac: 89.138.177.228:4672
06.11.2008 12:51:36: Client UDP socket: protocol=0xac opcode=0x06 sizeaftercrypt=49 Bytes realsize=49 Bytes Unknown protocol 0xac: 83.59.82.222:5372
06.11.2008 12:54:16: Client UDP socket: protocol=0xac opcode=0xd7 sizeaftercrypt=44 Bytes realsize=44 Bytes Unknown protocol 0xac: 189.129.149.66:38593
06.11.2008 12:59:58: Client UDP socket: protocol=0xac opcode=0x68 sizeaftercrypt=51 Bytes realsize=51 Bytes Unknown protocol 0xac: 79.176.23.107:4672

[JvA]

Es ist natürlich schön eine solche Liste zu haben... aber ob da ALLE drinstehen? Ich kann kein türkisch und von daher auch nicht prüfen ob man das nicht abschalten kann im Fincan. Ein Code dazu ist ja schnell geschrieben bei Bedarf...

dafür musst du kein türkisch können. bei mir iss der fincan entweder deutsch oder english....hier mal der link wo ichs her habe:
http://www.e-sipa.biz/fincan/eMule0.49b-Fincan-v7.0.rar
es stehen in dieser liste nicht alle hashs drin. wonach das geht (also ob die erst nach einer bestimmten online time geadded werden oder so weiß ich nicht. auf jeden fall stehen schon mal recht viele hashs drin....

EDIT:
<div class='quotetop'>ZITAT

06.11.2008 12:29:36: *** AntiLeech: loaded 1100 userhash filters

ROFL! Ganz schön viele...[/quote]
würdest du evtl sogar netterweise noch deinen code anbieten? weil warum immer mehrmals schreiben wenns der wizard sowieso schon getan hat?....erspart uns arbeit.

Der AJ brüstet sich doch damit dass er NUR zu Commclients connecten kann. Das geht aber nur wenn man SOFORT erkennen kann ob jemand zu Comm gehört oder nicht und das geht (eigentlich ja gar nicht) nur wenn schon Anfangs etwas "Verräterisches" gesendet wird, daher scheiden die zusätzlichen Sachen eigentlich aus und übrig bleibt nur das Hello-Packet und eben insbes. der Hash. Der Opcode B5 wird schlicht eine Comm-Identifikation enthalten, so haben wir es früher auch immer gemacht, darin steht z.B: ein Hash zur Verifizierung, der Modname, wieviele Comm-Mitglieder man kennt usw. - an sich uninteressant ausser man will die Comm emulieren.

mhh....gut das du so in der materie drin steckst.....ich hätte mir zwar sowas in der art schon denken können aber gut.....nochmal zum hash: wie gesagt, stulle und ich haben erst den offi laufen lassen und nen hash erstellt. dann haben beide den aj gestartet um zu sehen ob sich beide als comm erkennen. dies war auch so. dann haben beide geschaut ob der hash vom anderen sich geändert hat. dies war nicht der fall. dann haben wir zur sicherheit einen unserer mods gestartet denn der aj kann ja auch über das packet den ursprünglichen hash mitsenden und dann wieder anzeigen oder sonstwas.....keine ahnung was sich ekliptor nachts für perverse sachen unter der bettdecke ausdenkt. auf jeden fall hat denn immer einer seinen eigenen mod gestartet und das selbe ergebnis war die folge. sprich kann eine hashveränderung in meinen augen nicht stattfinden oder wie siehst du das?

was vielleicht noch interessant ist: ich war heute bei einer bekannten und habe der den x-ray nochmal ordentlich konfiguriert weil sie nen lowid prob hatte. auf jeden fall sind mir rein zufällig nen paar verbose meldungen aufgefallen die sowas beinhalteten wie das ein kad-opcode ignoriert wird weil er sehr oft gesendet wurde und unbekannt ist. ich weiß allerdings nicht mehr welcher das war. ich werde bei mir selbst nochmal den x-ray laufen lassen und ihre files saugen um zu testen ob ich den opcode rausfinde.

Interessant wären hier die Tag-Opcodes nicht die Namen...

ich weiß. aber wenn ich diese wüsste hätte ich sie schon mit hin geschrieben. hab die namen nur per PEiD ausgelesen aus der aj.exe. ka ob man da irgendwie auch per assambler code an die opcodes ran kommt. wenn das einer weiß sage er mir bitte wie und ich schau mal.

DLP+? Woher? Keine Sources? Der FlashGet v2x ist aber im Vgl. zum 1.96er VIEL bräver (und auch schlechter).

DLP+ kommt von irgendeinem asiaten oder so. link: http://fzh.soft2cn.cn/article.asp?id=18 jag die seite einfach durch google übersetzung. kommt mit viel fantasie schon was halbwegs sinnvolles raus. diese antileech.dll kann mit allen mods genutzt werden die das xman system nutzen: sprich xtreme und die mods die darauf aufbauen, x-ray, neo usw. die dlp+ wird leider auch ohne sources angeboten....zumindest habe ich bisher keine gefunden. auch auf eine anfrage meinerseits per mail wurde noch nicht geantwortet.

ich bin froh das wenigstens schonmal was zurück kommt und ihr euch dafür interessiert die leechererkennung vorran zu treiben. die ersten früchte sehe ich schon bei der fincan erkennung durch wizard. hoffentlich schaffen wir das auch beim aj oder anderen. wäre zumindest eine feine sache.

cya
JvA

edit: naja dann lass dir dochmal die clientinfos noch mit anzeigen, ob du herausfindest ob er einen mod nutzt und wenn ja welchen.....usw.

[Stulle]

phantasie? Phantasie!

zum thema: kad kontakte bringen uns wie gesagt nur bedingt weiter. zum einen möchte ich festhalten, dass nicht jeder initiale kad kontakt-packete bekommen muss. zum anderen ist mir aufgefallen, dass die bootstrap-via-ip/port funktion total übergangen wird. zwar nicht so die url variante, allerdings ist diese auch recht restriktiv. überhaupt hatte ich beim ersten AJ anlauf das gefühl, dass ich erst initiale kontakte aus dem shice-werk brauche, um reingelassen zu werden. daher auch meine vermutung, dass die identifikation nun nur noch über dritte im priv. kad netzwerk klappt. ob das wirklich so ist sei hingestellt, sicher ist, dass ekliptor ein möglichstes tut sich bedeckt zu halten.
auch interessant ist, dass KAD *immer* an ist. kurz um, etwas ist falsch im staate dänemark.

[JvA]

ich hab jetzt endlich auch bei mir die meldung bekommen:

07.11.2008 01:31:39: Kad: Request flood detected for opcode 0x52 (0x52) from IP 58.54.152.141 - Droping packets with this opcode

hat also nix damit zu tun.....falscher alarm also

@wiz: mach mal folgendes: install mal wireshark für den fall das dus noch nicht hast und dann lass mal den aj laufen. hau eine datei rein und klick dann auf super source finder. ich bin der meinung der opcode den du empfängst wird dafür verwendet.
das spuckte mir wireshark aus:

eDonkey Protocol
eDonkey Message
Protocol: Unknown (0xac)
Message Type: Unknown (0xb3)
Trailing/Undecoded data: 49 bytes

teste es aber am besten selbst nochmal. ich denke aber das sollte es sein.

[WiZaRd]

Erstmal danke für den Song... ich steh auf die Mucke - wer noch mehr will: http://www.keygenmusic.net/
Ich hör das irgendwie gern, v.a. beim Coden (jaja ich bin krank)

dafür musst du kein türkisch können. bei mir iss der fincan entweder deutsch oder english....hier mal der link wo ichs her habe:
http://www.e-sipa.biz/fincan/eMule0.49b-Fincan-v7.0.rar
es stehen in dieser liste nicht alle hashs drin. wonach das geht (also ob die erst nach einer bestimmten online time geadded werden oder so weiß ich nicht. auf jeden fall stehen schon mal recht viele hashs drin....

Ich starte so Dinger net gern auf meinem System und hab immo auch keine Lust mir mit Sandbox, Wireshark & Co das neue System zuzumüllen... aber als erster Anlauf isses ja net schlecht, die Anzahl der Hashes spricht ja Bände

Code folgt - muss aber von euch angepasst werden, ich nutze eben meine modinternen Funktionen:
Header:

Code: Alles auswählen

//>>> Anti-Fincan&const
public:
   bool      IsBadHash(const uchar* hash) const;
   bool      LoadBadHashLists();
//<<< Anti-Fincan&const

Source:

Code: Alles auswählen

#include "Friend.h" //>>> Anti-Fincan&Co
...
//>>> Anti-Fincan&Co
   LoadBadHashLists();
   if(!m_badHashList.IsEmpty())
      theApp.QueueCommLogLineEx(LOG_SUCCESS, L"*** AntiLeech: loaded %u userhash filters", m_badHashList.GetCount());
//<<< Anti-Fincan&Co
...
//>>> Anti-Fincan&Co
   if(IsBadHash(client->GetUserHash()))
      client->Ban(L"Bad Userhash", BA_BANKNOWN);   
//<<< Anti-Fincan&Co      
...
//>>> Anti-Fincan&Co
bool CAntiLeechChecker::IsBadHash(const uchar* hash) const
{
   if(hash == NULL)
      return false;

   const CString strHash = md4str(hash);
   return m_badHashList.Find(strHash) != NULL;
}

bool CAntiLeechChecker::LoadBadHashLists()
{
   m_badHashList.RemoveAll();

   const CString strURLs[] = {
      L"http://www.emulefuture.de/forum/redirect.php?url=http%3A%2F%2Fwww.e-sipa.biz%2Ffincan%2Femfriends.met"
   };

   for(int i = 0; i != _countof(strURLs); ++i)
   {
      const CString strURL = strURLs[i];
      if (strURL.IsEmpty() || strURL.Find(L"://") == -1)   // not a valid URL
      {
         AddLogLine(true, GetResString(IDS_INVALIDURL));
         continue;
      }

      CString strTempFilename;
      strTempFilename.Format(L"%stemp-%d-emfriends.met", thePrefs.GetMuleDirectory(EMULE_CONFIGDIR), ::GetTickCount());
      if(!DownloadFromURLToFile(strURL, strTempFilename, false))
         continue;

      CSafeBufferedFile file;
      CFileException fexp;
      if (!file.Open(strTempFilename, CFile::modeRead | CFile::osSequentialScan | CFile::typeBinary | CFile::shareDenyWrite, &fexp))
      {
         if (fexp.m_cause != CFileException::fileNotFound)
         {
            CString strError(GetResString(IDS_ERR_READEMFRIENDS));
            TCHAR szError[MAX_CFEXP_ERRORMSG];
            if (fexp.GetErrorMessage(szError, _countof(szError)))
               strError.AppendFormat(L" - %s", szError);
            LogError(LOG_STATUSBAR, L"%s", strError);            
         }
         continue;
      }

      try
      {
         uint8 header = file.ReadUInt8();
         if (header != MET_HEADER)
         {
            file.Close();
            continue;
         }
         UINT nRecordsNumber = file.ReadUInt32();
         for (UINT i = 0; i < nRecordsNumber; ++i)
         {
            CFriend* Record = new CFriend();
            Record->LoadFromFile(&file);
            if(Record->HasUserhash())
            {
               const CString strHash = md4str(Record->m_abyUserhash);
               if(!m_badHashList.Find(strHash))
                  m_badHashList.AddTail(strHash);
            }
            delete Record;
         }
         file.Close();
      }
      catch(CFileException* error)
      {
         if (error->m_cause == CFileException::endOfFile)
         {
            LogError(LOG_STATUSBAR,GetResString(IDS_ERR_EMFRIENDSINVALID));
         }
         else
         {
            TCHAR buffer[MAX_CFEXP_ERRORMSG];
            error->GetErrorMessage(buffer, _countof(buffer));
            LogError(LOG_STATUSBAR,GetResString(IDS_ERR_READEMFRIENDS),buffer);
         }
         error->Delete();
         continue;
      }

      _tremove(strTempFilename);
   }
   return !m_badHashList.IsEmpty();
}
//<<< Anti-Fincan&Co

mhh....gut das du so in der materie drin steckst.....ich hätte mir zwar sowas in der art schon denken können aber gut.....nochmal zum hash: wie gesagt, stulle und ich haben erst den offi laufen lassen und nen hash erstellt. dann haben beide den aj gestartet um zu sehen ob sich beide als comm erkennen. dies war auch so. dann haben beide geschaut ob der hash vom anderen sich geändert hat. dies war nicht der fall. dann haben wir zur sicherheit einen unserer mods gestartet denn der aj kann ja auch über das packet den ursprünglichen hash mitsenden und dann wieder anzeigen oder sonstwas.....keine ahnung was sich ekliptor nachts für perverse sachen unter der bettdecke ausdenkt. auf jeden fall hat denn immer einer seinen eigenen mod gestartet und das selbe ergebnis war die folge. sprich kann eine hashveränderung in meinen augen nicht stattfinden oder wie siehst du das?

Wie habt ihr den Hash geprüft? IM Mod oder habt ihr nur nachgesehen ob euer Hash sich offensichtlich ändert? Bei meinem letzten Test war es nämlich so dass der AJ den Hash INTERN geändert hat (z.B. erstellt er einen zweiten den er versendet während der "normale" überall angezeigt wird). Eine "gute" Erkennung läuft über den Weg:

• Initial Check (und ich nehme weiterhin an dass das über den Hash läuft) ob jemand zur Comm gehören könnte
• Handshake (o.g. Packet mit besonderem Inhalt, erst wenn der korrekt ist gehört man WIRKLICH zur Comm)

ich weiß. aber wenn ich diese wüsste hätte ich sie schon mit hin geschrieben. hab die namen nur per PEiD ausgelesen aus der aj.exe. ka ob man da irgendwie auch per assambler code an die opcodes ran kommt. wenn das einer weiß sage er mir bitte wie und ich schau mal.

Ich dachte seine .exe wäre gecrypted? Nun, wie dem auch sei... wenn du via Hexeditor die Strings auslesen kannst solltest du auch die Opcodes sehen können, die müssten im Prinzip ja direkt dahinter stehen weil das Defines sind.

DLP+ kommt von irgendeinem asiaten oder so. link: http://fzh.soft2cn.cn/article.asp?id=18 jag die seite einfach durch google übersetzung. kommt mit viel fantasie schon was halbwegs sinnvolles raus. diese antileech.dll kann mit allen mods genutzt werden die das xman system nutzen: sprich xtreme und die mods die darauf aufbauen, x-ray, neo usw. die dlp+ wird leider auch ohne sources angeboten....zumindest habe ich bisher keine gefunden. auch auf eine anfrage meinerseits per mail wurde noch nicht geantwortet.

Naja gut, also bringt das vorerst nichts... aber zur Not könnten wir ja auch gegen den FlashGet vorgehen - gemeinsam sind wir stark
Ich bin mir aber nicht sicher ob der gegen die GPL verstösst... und ansonsten wäre es ja "legal" wie beim Hydranode, ePlus usw.?

edit: naja dann lass dir dochmal die clientinfos noch mit anzeigen, ob du herausfindest ob er einen mod nutzt und wenn ja welchen.....usw.

Lasse ich - wenn verfügbar - aber die kommen von unbekannten Clients.

zum thema: kad kontakte bringen uns wie gesagt nur bedingt weiter. zum einen möchte ich festhalten, dass nicht jeder initiale kad kontakt-packete bekommen muss. zum anderen ist mir aufgefallen, dass die bootstrap-via-ip/port funktion total übergangen wird. zwar nicht so die url variante, allerdings ist diese auch recht restriktiv. überhaupt hatte ich beim ersten AJ anlauf das gefühl, dass ich erst initiale kontakte aus dem shice-werk brauche, um reingelassen zu werden. daher auch meine vermutung, dass die identifikation nun nur noch über dritte im priv. kad netzwerk klappt. ob das wirklich so ist sei hingestellt, sicher ist, dass ekliptor ein möglichstes tut sich bedeckt zu halten.
auch interessant ist, dass KAD *immer* an ist. kurz um, etwas ist falsch im staate dänemark.

Naja KAD muss er immer laufen haben weil er sie für sein ganzes KAD-Zeug (Credits, Toplist) benötigt.

@wiz: mach mal folgendes: install mal wireshark für den fall das dus noch nicht hast und dann lass mal den aj laufen. hau eine datei rein und klick dann auf super source finder. ich bin der meinung der opcode den du empfängst wird dafür verwendet.
das spuckte mir wireshark aus:
<div class='quotetop'>ZITAT

eDonkey Protocol
eDonkey Message
Protocol: Unknown (0xac)
Message Type: Unknown (0xb3)
Trailing/Undecoded data: 49 bytes

teste es aber am besten selbst nochmal. ich denke aber das sollte es sein.
[/quote]
Naja das ist ja schonmal interessant.... wieso krieg ich die dann immer? Simuliert mein Mod unbewusst nen AJ?!