捆绑 调教 [原创]QVOD HTTP传输数据包结构逆向分析-付费问答-看雪-安全社区|安全招聘|kanxue.com

体检偷拍

通过在网罗选项卡中选上仅以HTTP条约传输数据来达到预备。这花样不错简单地不雅察扫数历程。 客户端发送流畅肯求:         POST /service HTTP/1.1         Accept: */*         Cache-Control: no-cache         Connection: Keep-Alive         Content-Length: 68         Host: 114.246.26.34:8080         User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)         .QVOD protocol..............Md..a.>...4..`}...'U.5..0057BB5855719946  -------数据包data部分 作事端反映:         Accept: */*         Cache-Control: no-cache         Connection: Keep-Alive         Content-Length: 68         Host: 211.101.48.70:2596         User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)         .QVOD protocol..............Md..a.>...4..`}...'UQVOD0066E67A1F1C15F6 --------数据包data部分 HTTP数据包细心履行                                                               13 51 56 4f .QVO         44 20 70 72 6f 74 6f 63  6f 6c 00 00 00 00 00 00 D protoc ol......         00 00 00 00 00 00 00 00  4d 64 ac 80 61 e2 3e 98 ........ Md..a.>.         a7 90 34 01 82 60 7d a0  1e 80 27 55 f5 35 ee a7 ..4..`}. ..'U.5..         30 30 35 37 42 42 35 38  35 35 37 31 39 39 34 36 0057BB58 55719946     从客户端发送的HTTP数据包细心履行来看。有一些固定字段，但有些部分存在不细目性。不错先对这个条约数据结构进行忖度。通过渊博的对比后不错从中发现一些相比有特色的地点，通过追想特色不错发现一些限定。经过对比后先假定这个发送数据包的条约结构如下所示: struct  httpqvod {    short int fixed;//always 0x13    char p2ptype[];    char unknow[32];    char unknow[20]; } 选拔OD和IDA来逆向分析找出条约结构。 因为咱们要尝试去探索发送数据包的结构，由于使用HTTP传输，是以是TCP流畅，使用的是send函数。 使用OD attach QvodTerminal.exe程度，OD到手断在了send函数的地点 单步运转几步捆绑 调教，跳出系统函数部分。找到调用send的地点。 通过使用IDA加载QvodTerminal.exe分析数据起原。分析函数调用历程 不停地回朔上去，使用OD动态分析找到数据包的内存中变化历程。 这个历程很容易发现004119B7处通过调用call dword ptr[edx+8]来达到跳转的预备 底下通过IDA加载这一部分进行分析，不错发现如下所示 通过mov [esp+54h+var_44]，13h来赋值0x13，由此不错得知0x13为固定字节。然后通过的赋值不错判断来底下是条约符号部分的赋值，就是QVOD Protocol无意BitTorrent protocolex是条约符号。 接下来如下所示进行赋值一堆数据，暂时还是标识为unknow[32].然后通过赋值mov esi，offset dword_485038来对赋值一串序列号。 这是有20位的相似UID的一串字符，符号为char client-uid[20]。 是以扫数数据结构不错得出为 struct  httpqvod {    short int fixed;//always 0x13    char p2ptype[];//固定值，QVOD Protocol 无意 BitTorrent protocolex    char unknow[32];    char client-uid[20];//包含一些版块、哈希值等信息 } 参考竹素:《IDA.Pro代码破解揭秘》第七章 QVOD HTTP数据包结构分析.doc谢谢列位

[峰会]看雪.第八届安全配置者峰会10月23日上海龙之梦大旅社举办！

上传的附件： QVOD HTTP数据包结构分析.doc （283.05kb，89次下载） 11.jpg （7.41kb，187次下载） 23.jpg （37.09kb，187次下载） 233.jpg （13.29kb，188次下载） 54.jpg （23.15kb，187次下载） 64.jpg （14.06kb，188次下载） 74.jpg （12.76kb，188次下载） 84.jpg （26.91kb，188次下载） 94.jpg （24.96kb，187次下载）

• 安全
• 招聘
• 社区
• 捆绑 调教
• 逆向