你的位置:图片专区 > 插揷网 > >捆绑 调教 [原创]QVOD HTTP传输数据包结构逆向分析-付费问答-看雪-安全社区|安全招聘|kanxue.com
热点资讯
插揷网

捆绑 调教 [原创]QVOD HTTP传输数据包结构逆向分析-付费问答-看雪-安全社区|安全招聘|kanxue.com

发布日期:2024-10-20 13:32    点击次数:69

捆绑 调教 [原创]QVOD HTTP传输数据包结构逆向分析-付费问答-看雪-安全社区|安全招聘|kanxue.com

体检偷拍

通过在网罗选项卡中选上仅以HTTP条约传输数据来达到预备。这花样不错简单地不雅察扫数历程。 客户端发送流畅肯求:         POST /service HTTP/1.1         Accept: */*         Cache-Control: no-cache         Connection: Keep-Alive         Content-Length: 68         Host: 114.246.26.34:8080         User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)         .QVOD protocol..............Md..a.>...4..`}...'U.5..0057BB5855719946  -------数据包data部分 作事端反映:         Accept: */*         Cache-Control: no-cache         Connection: Keep-Alive         Content-Length: 68         Host: 211.101.48.70:2596         User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)         .QVOD protocol..............Md..a.>...4..`}...'UQVOD0066E67A1F1C15F6 --------数据包data部分 HTTP数据包细心履行                                                               13 51 56 4f .QVO         44 20 70 72 6f 74 6f 63  6f 6c 00 00 00 00 00 00 D protoc ol......         00 00 00 00 00 00 00 00  4d 64 ac 80 61 e2 3e 98 ........ Md..a.>.         a7 90 34 01 82 60 7d a0  1e 80 27 55 f5 35 ee a7 ..4..`}. ..'U.5..         30 30 35 37 42 42 35 38  35 35 37 31 39 39 34 36 0057BB58 55719946     从客户端发送的HTTP数据包细心履行来看。有一些固定字段,但有些部分存在不细目性。不错先对这个条约数据结构进行忖度。通过渊博的对比后不错从中发现一些相比有特色的地点,通过追想特色不错发现一些限定。经过对比后先假定这个发送数据包的条约结构如下所示: struct  httpqvod {    short int fixed;//always 0x13    char p2ptype[];    char unknow[32];    char unknow[20]; } 选拔OD和IDA来逆向分析找出条约结构。 因为咱们要尝试去探索发送数据包的结构,由于使用HTTP传输,是以是TCP流畅,使用的是send函数。 使用OD attach QvodTerminal.exe程度,OD到手断在了send函数的地点 单步运转几步捆绑 调教,跳出系统函数部分。找到调用send的地点。 通过使用IDA加载QvodTerminal.exe分析数据起原。分析函数调用历程 不停地回朔上去,使用OD动态分析找到数据包的内存中变化历程。 这个历程很容易发现004119B7处通过调用call dword ptr[edx+8]来达到跳转的预备 底下通过IDA加载这一部分进行分析,不错发现如下所示 通过mov [esp+54h+var_44],13h来赋值0x13,由此不错得知0x13为固定字节。然后通过的赋值不错判断来底下是条约符号部分的赋值,就是QVOD Protocol无意BitTorrent protocolex是条约符号。 接下来如下所示进行赋值一堆数据,暂时还是标识为unknow[32].然后通过赋值mov esi,offset dword_485038来对赋值一串序列号。 这是有20位的相似UID的一串字符,符号为char client-uid[20]。 是以扫数数据结构不错得出为 struct  httpqvod {    short int fixed;//always 0x13    char p2ptype[];//固定值,QVOD Protocol 无意 BitTorrent protocolex    char unknow[32];    char client-uid[20];//包含一些版块、哈希值等信息 } 参考竹素:《IDA.Pro代码破解揭秘》第七章 QVOD HTTP数据包结构分析.doc谢谢列位

[峰会]看雪.第八届安全配置者峰会10月23日上海龙之梦大旅社举办!

上传的附件: QVOD HTTP数据包结构分析.doc (283.05kb,89次下载) 11.jpg (7.41kb,187次下载) 23.jpg (37.09kb,187次下载) 233.jpg (13.29kb,188次下载) 54.jpg (23.15kb,187次下载) 64.jpg (14.06kb,188次下载) 74.jpg (12.76kb,188次下载) 84.jpg (26.91kb,188次下载) 94.jpg (24.96kb,187次下载)

上一篇:巨乳 探花 克制住我方好为东谈主师的空想,不蜕变东谈主,只筛选东谈主|大海|渴慕|东谈主生|价值不雅|当然的
下一篇:撸撸网 非盈利好意思术馆的“吸金大法”有哪些