Zu dem vom Awesome's hab ich folgendes rausgefunden, vielleichtt hilft es ja
Spoiler anzeigen
Sein Programm verbindet sich mit seiner Homepage http://devsome.com und ruft dabei die Seite fd9123nxy12893hnd.php mit dem POST statt GET Befehl auf. Als Content wird arg= gesendet und dahinter eine Hexadecimal-Zahlenfolge die stark einer RC4 Verschlüsselung ähnelt aber keine ist, welche man per OllyDbg rausfinden kann.
Seine Funktion zum Crypten heißt -soweit ich weiß- irgendwas mit EnCrypt_.
Wenn man die Website auf den Localhost redirected kann man einen simplen HTTP WebServer bauen der die Pakete filtert, oder man snifft sie mittels WPE Pro / Wireshark.
Man müsste also versuchen die Goodboy Message zu erraten oder den Clienten so zu patchen das bei jeder Eingabe (ohne Aufruf der Seite, das wird ja gepatcht) die Goodboy Message kommt.