wireshark icq password

Расксорьте его, и смените штатным образом :-)

Дело в том что wireshark постоянно при авторизации в аське ловит вот этот хекс da0ea8e880bee2a7.

В спицификации OSCAR сказанно что нужно проксорить каждый элемент с таким вот массивом:0xF3, 0x26, 0x81, 0xC4, 0x39, 0x86, 0xDB, 0x92, 0x71, 0xA3, 0xB9, 0xE6, 0x53, 0x7A, 0x95, 0x7C т.е. получается что ксорить нужно эти 2 хекса: da0ea8e880bee2a7 и F32681C43986DB92.

В результате получим 29 28 29 2С B9 38 39 35. Если посмотреть в соответствии с таблицой ASCII (http://ostermiller.org/calc/ascii.html) и кодировкой Windows 1251 (http://ru.wikipedia.org/wiki/Windows-1251) то пароль получается: )(),№895

Смотрится правдоподобно но не подходит.

Варианты в других кодировках:

)(),#895

)(),╣895

)(),¹895

)(),�895

)(),╧895

тоже не подходят.

Где я ошибся?

ЕМНИП аська передаёт хэш типа MD5, «размотать» его обратно в пароль малореально.

Вы не правы, сегодня есть 2 способа авторизации ... проксореный хекс и md5 с солью. У меня какраз первый вариант.

проще выдрать из клиента imho

Можете куда-нибудь выложить pcap дамп?

И да, какой мессенджер вы используете?

Хм, pidgin посылает MD5 хэш пароля, qutim — то же самое.