More Related Content
Similar to App+protocol+analysis (20)
App+protocol+analysis
- 16. 分析方法与相关实例
IM类:
主要是认证、发消息、传文件,目前的IM大部分都具有P2P的特性
1.人人桌面
接收到消息时的数据包,其中17 03 01是ssl固定字符,70是后面经过加密后的数据的长度
000002AA 17 03 01 00 70 38 20 6f 68 84 39 d9 38 ba c2 98 ....p8 o h.9.8...
000002BA 0e 2b b2 c9 24 39 99 f5 e8 5c 59 c0 4f 9d 8c 70 .+..$9.. .Y.O..p
000002CA 75 af 75 fc 2e 33 a5 64 85 b2 87 0f 84 bf f8 84 u.u..3.d ........
000002DA f9 cd 44 b1 6c cd ff f8 e2 6e 72 d6 34 27 d7 1d ..D.l... .nr.4'..
000002EA 10 2e f3 69 a2 d2 38 53 82 b7 b8 fa 7e 31 77 a3 ...i..8S ....~1w.
000002FA 33 a4 71 80 14 61 6c d9 2b f0 76 d8 4d ea 87 6c 3.q..al. +.v.M..l
0000030A 27 b2 61 70 34 11 2b cf fe 15 74 c2 0c 88 6e 1f '.ap4.+. ..t...n.
0000031A 7d f2 b3 af b1 }....
经过DecryptMessage后消息解密了,但是之前密钥没有跟踪到,水平有限就没有继续跟踪了
- 24. 分析方法与相关实例
P2P类
1.百度影音
udp协议中与特定节点通信的数据包
023BF100 2E 5F 66 0F 04 1F D2 8A 07 01 67 C9 AD 42 B9 2A ._f見g森B?
023BF110 D8 7D 4F 23 50 03 A7 71 91 00 B7 A3 E6 0E 8A 42 貆O#P ?罚?夿
023BF120 C4 2F 65 DB 48 A7 85 EC 47 E7 62 05 76 79 19 8A ?e vy
023BF130 A8 08 E4 CD 1B 00 7A DB 25 7D 82 67 AD 03 3A 5E ?渫.z?}俫?:^
通过跟踪调试会发现前四个字节是第五个字节跟包长减4经过CRC32运算得出来的校验值
int __fastcall sub_10047950(int a1, int a2)
{
int result; // eax@1
for ( result = -2; a2; --a2 )
result = dword_10068CC8[*(_BYTE *)a1++ ^ (unsigned __int8)result] ^ ((unsigned int)result >> 8);
return result;
}
==》
#define crc32_t unsigned long
crc32_t data_crc32 = 0xfffffffe;
for (u_int32_t i =0 ;i<dsize - 4; i++){
u_int32_t tmp = (data_crc32 & 0xff)^packet_data[i+4];
data_crc32 = (data_crc32>>8) ^ crc_table[tmp];
}