[求助]protobuf在没有.proto文件下如何反解？-Android安全-看雪-安全社区|安全招聘|kanxue.com

[求助]protobuf在没有.proto文件下如何反解？

2019-1-30 16:33 12697

[求助]protobuf在没有.proto文件下如何反解？

褐眼男子

2019-1-30 16:33

12697

有一帧数据是protobuf序列化的。以前都是字节++死磕的，但这个太大了。下面是一个小样本用--decode_raw解析的。请问如何生成.proto文件或者在代码中读出？

2 {
  5 {
    2: "com.tencent.mm"
    3: "\345\276\256\344\277\241"
    4: "6.7.3"
    5: 79193979
    6: 673857536
    7: 1
    8: 1360
    9: 79193979
    10: 673857536
  }
}
3: 1

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

收藏・4

点赞・0

打赏

最新回复 (23)
NightGuard 雪币： 5855 活跃值： (438) 能力值： ( LV4，RANK：45 ) 在线值：发帖 12 回帖 307 粉丝 2 关注私信	NightGuard 1 2019-1-30 17:17 2 楼 0 自己照着写一个proto定义文件就可以了，就字符串和整数
褐眼男子雪币： 60 活跃值： (389) 能力值： ( LV5，RANK：65 ) 在线值：发帖 75 回帖 278 粉丝 3 关注私信	褐眼男子 1 2019-1-30 17:23 3 楼 0 NightGuard 自己照着写一个proto定义文件就可以了，就字符串和整数正在写，我想知道为啥有2 有5 没有 1234呢是可选变量的意思吗？而且这个比较短有个长的13万字节最后于 2019-1-30 17:24 被褐眼男子编辑，原因：
NightGuard 雪币： 5855 活跃值： (438) 能力值： ( LV4，RANK：45 ) 在线值：发帖 12 回帖 307 粉丝 2 关注私信	NightGuard 1 2019-1-30 17:44 4 楼 0 2, 5, 3 以及冒号前面那些数字，都是tag
褐眼男子雪币： 60 活跃值： (389) 能力值： ( LV5，RANK：65 ) 在线值：发帖 75 回帖 278 粉丝 3 关注私信	褐眼男子 1 2019-1-30 17:49 5 楼 0 NightGuard 2, 5, 3 以及冒号前面那些数字，都是tag 那为啥不连续呢大佬是因为有的是required有的是optional吗
yzlmars 雪币： 110 活跃值： (560) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 43 粉丝 5 关注私信	yzlmars 2019-1-30 21:20 6 楼 0 好巧啊，我今天也在研究这个，python我已经实现脱离.proto反解析封包流了，明天准备改写成js代码，嵌在frida脚本中，游戏安全测试经常要用，兄得，留个联系方式……互帮互助
褐眼男子雪币： 60 活跃值： (389) 能力值： ( LV5，RANK：65 ) 在线值：发帖 75 回帖 278 粉丝 3 关注私信	褐眼男子 1 2019-1-31 09:56 7 楼 0 嗯我也接完这个小包了开始弄大的，上面的结构是 syntax = "proto2"; message Package { message HAPP { required string packageName = 2; required string appName = 3; required string version = 4; required int32 appSize1 = 5; required int32 appData1 = 6; required int32 sel1 = 7; required int32 sel2 = 8; required int32 appSize2 = 9; required int32 appData2 = 10; } repeated HAPP app = 5; } message PackageList { repeated Package pk = 2; required int32 sel3 = 3; } 联系发你私信了
onehero 雪币： 70 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 1 粉丝 0 关注私信	onehero 2019-3-16 18:20 8 楼 0 大佬能分享一份工具吗？ 897958480@qq.com
褐眼男子雪币： 60 活跃值： (389) 能力值： ( LV5，RANK：65 ) 在线值：发帖 75 回帖 278 粉丝 3 关注私信	褐眼男子 1 2019-3-18 14:45 9 楼 0 onehero 大佬能分享一份工具吗？ 897958480@qq.com 就是protoc官方的东西你搜一下就有了
mb_uuivzuoh 雪币： 54 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	mb_uuivzuoh 2019-11-7 13:18 10 楼 0 大佬能分享一份工具吗？能给个地址吗@褐眼男子
我还只是个孩子啊！雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	我还只是个孩子啊！ 2019-11-28 19:06 11 楼 0 通过微信官方的一篇文章，可以理出思路导出一份98%全的ProtoBuf
vmtest 雪币： 211 活跃值： (511) 能力值： ( LV9，RANK：172 ) 在线值：发帖 1 回帖 52 粉丝 3 关注私信	vmtest 2019-11-28 19:59 12 楼 0 做过类似的。如果是protoc生成的，raw抠出来protoc api可以直接还原。如果像某信这种自己搞的，要自己写个代码还原了。看一下pb的格式不难。
kongkong447 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	kongkong447 2020-3-12 13:15 13 楼 0 我还只是个孩子啊！通过微信官方的一篇文章，可以理出思路导出一份98%全的ProtoBuf 能不能分享文章的地址，或者具体的关键词呢？试了找下，没找到。
inflow 雪币： 100 活跃值： (446) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 3 关注私信	inflow 2020-3-12 15:32 14 楼 0 单凭原始的字节流，不可能准确还原.proto文件所包含的语义的，结合逆向分析app的代码倒是能无限接近原始.proto语义。写一个解析工具简单的很，去看Google官网看Protobuf文档就好，前几天我花10分钟撸过一个
zoukaiping 雪币： 1 活跃值： (883) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 3 关注私信	zoukaiping 2020-3-15 10:40 15 楼 0 inflow 单凭原始的字节流，不可能准确还原.proto文件所包含的语义的，结合逆向分析app的代码倒是能无限接近原始.proto语义。写一个解析工具简单的很，去看Google官网看Protobuf文档就好，前几 ... 大佬们，能个链接吗？或者发到GITHUA上去。。
Erlösung 雪币： 0 活跃值： (353) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 58 粉丝 1 关注私信	Erlösung 2020-4-15 00:30 16 楼 0 yzlmars 好巧啊，我今天也在研究这个，python我已经实现脱离.proto反解析封包流了，明天准备改写成js代码，嵌在frida脚本中，游戏安全测试经常要用，兄得，留个联系方式……互帮互助我抓包是乱码的protobuf能反序列化出来吗？
Erlösung 雪币： 0 活跃值： (353) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 58 粉丝 1 关注私信	Erlösung 2020-4-15 00:30 17 楼 0 inflow 单凭原始的字节流，不可能准确还原.proto文件所包含的语义的，结合逆向分析app的代码倒是能无限接近原始.proto语义。写一个解析工具简单的很，去看Google官网看Protobuf文档就好，前几 ... 我抓包是乱码的protobuf能反序列化出来吗？
yzlmars 雪币： 110 活跃值： (560) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 43 粉丝 5 关注私信	yzlmars 2020-4-15 08:00 18 楼 0 Erlösung 我抓包是乱码的protobuf能反序列化出来吗？当然没有问题了
小黄鸭爱学习雪币： 1694 活跃值： (4002) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 263 粉丝 100 关注私信	小黄鸭爱学习 2020-4-15 14:18 19 楼 0 逆向+猜测可以还原
我是新手qaq 雪币： 18 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 1 关注私信	我是新手qaq 2020-4-25 20:17 20 楼 0 用tag就可以了，你需要proto结构
Altai001 雪币： 234 活跃值： (289) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 5 关注私信	Altai001 2020-6-9 21:12 21 楼 0 大佬，求分享思路，我有一个结构和你这个类似的，也没用.proto文件，不知道如何还原成.proto
Altai001 雪币： 234 活跃值： (289) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 5 关注私信	Altai001 2020-6-9 22:09 22 楼 0 我想知道为啥有2 有5 没有 1234呢是可选变量的意思吗？
褐眼男子雪币： 60 活跃值： (389) 能力值： ( LV5，RANK：65 ) 在线值：发帖 75 回帖 278 粉丝 3 关注私信	褐眼男子 1 2020-6-10 11:12 23 楼 0 optional 修饰
wx_L._245 雪币： 155 活跃值： (176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 1 粉丝 0 关注私信	wx_L._245 2020-11-18 16:59 24 楼 0 yzlmars 好巧啊，我今天也在研究这个，python我已经实现脱离.proto反解析封包流了，明天准备改写成js代码，嵌在frida脚本中，游戏安全测试经常要用，兄得，留个联系方式……互帮互助大佬求一份frida 的反解析protobuf脚本
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

褐眼男子

发帖

278

回帖

RANK

关注

私信

他的文章

[原创]KCTF2021 签到题-拜师学艺分析

[求助]protobuf在没有.proto文件下如何反解？

[求助]vc中 sqlite 如何获取返回值

[求助]求一个砸过壳的IOS 微信

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
NightGuard 雪币： 5855 活跃值： (438) 能力值： ( LV4，RANK：45 ) 在线值：发帖 12 回帖 307 粉丝 2 关注私信	NightGuard 1 2019-1-30 17:17 2 楼 0 自己照着写一个proto定义文件就可以了，就字符串和整数
褐眼男子雪币： 60 活跃值： (389) 能力值： ( LV5，RANK：65 ) 在线值：发帖 75 回帖 278 粉丝 3 关注私信	褐眼男子 1 2019-1-30 17:23 3 楼 0 NightGuard 自己照着写一个proto定义文件就可以了，就字符串和整数正在写，我想知道为啥有2 有5 没有 1234呢是可选变量的意思吗？而且这个比较短有个长的13万字节最后于 2019-1-30 17:24 被褐眼男子编辑，原因：
NightGuard 雪币： 5855 活跃值： (438) 能力值： ( LV4，RANK：45 ) 在线值：发帖 12 回帖 307 粉丝 2 关注私信	NightGuard 1 2019-1-30 17:44 4 楼 0 2, 5, 3 以及冒号前面那些数字，都是tag
褐眼男子雪币： 60 活跃值： (389) 能力值： ( LV5，RANK：65 ) 在线值：发帖 75 回帖 278 粉丝 3 关注私信	褐眼男子 1 2019-1-30 17:49 5 楼 0 NightGuard 2, 5, 3 以及冒号前面那些数字，都是tag 那为啥不连续呢大佬是因为有的是required有的是optional吗
yzlmars 雪币： 110 活跃值： (560) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 43 粉丝 5 关注私信	yzlmars 2019-1-30 21:20 6 楼 0 好巧啊，我今天也在研究这个，python我已经实现脱离.proto反解析封包流了，明天准备改写成js代码，嵌在frida脚本中，游戏安全测试经常要用，兄得，留个联系方式……互帮互助
褐眼男子雪币： 60 活跃值： (389) 能力值： ( LV5，RANK：65 ) 在线值：发帖 75 回帖 278 粉丝 3 关注私信	褐眼男子 1 2019-1-31 09:56 7 楼 0 嗯我也接完这个小包了开始弄大的，上面的结构是 syntax = "proto2"; message Package { message HAPP { required string packageName = 2; required string appName = 3; required string version = 4; required int32 appSize1 = 5; required int32 appData1 = 6; required int32 sel1 = 7; required int32 sel2 = 8; required int32 appSize2 = 9; required int32 appData2 = 10; } repeated HAPP app = 5; } message PackageList { repeated Package pk = 2; required int32 sel3 = 3; } 联系发你私信了
onehero 雪币： 70 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 1 粉丝 0 关注私信	onehero 2019-3-16 18:20 8 楼 0 大佬能分享一份工具吗？ 897958480@qq.com
褐眼男子雪币： 60 活跃值： (389) 能力值： ( LV5，RANK：65 ) 在线值：发帖 75 回帖 278 粉丝 3 关注私信	褐眼男子 1 2019-3-18 14:45 9 楼 0 onehero 大佬能分享一份工具吗？ 897958480@qq.com 就是protoc官方的东西你搜一下就有了
mb_uuivzuoh 雪币： 54 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	mb_uuivzuoh 2019-11-7 13:18 10 楼 0 大佬能分享一份工具吗？能给个地址吗@褐眼男子
我还只是个孩子啊！雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	我还只是个孩子啊！ 2019-11-28 19:06 11 楼 0 通过微信官方的一篇文章，可以理出思路导出一份98%全的ProtoBuf
vmtest 雪币： 211 活跃值： (511) 能力值： ( LV9，RANK：172 ) 在线值：发帖 1 回帖 52 粉丝 3 关注私信	vmtest 2019-11-28 19:59 12 楼 0 做过类似的。如果是protoc生成的，raw抠出来protoc api可以直接还原。如果像某信这种自己搞的，要自己写个代码还原了。看一下pb的格式不难。
kongkong447 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	kongkong447 2020-3-12 13:15 13 楼 0 我还只是个孩子啊！通过微信官方的一篇文章，可以理出思路导出一份98%全的ProtoBuf 能不能分享文章的地址，或者具体的关键词呢？试了找下，没找到。
inflow 雪币： 100 活跃值： (446) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 3 关注私信	inflow 2020-3-12 15:32 14 楼 0 单凭原始的字节流，不可能准确还原.proto文件所包含的语义的，结合逆向分析app的代码倒是能无限接近原始.proto语义。写一个解析工具简单的很，去看Google官网看Protobuf文档就好，前几天我花10分钟撸过一个
zoukaiping 雪币： 1 活跃值： (883) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 3 关注私信	zoukaiping 2020-3-15 10:40 15 楼 0 inflow 单凭原始的字节流，不可能准确还原.proto文件所包含的语义的，结合逆向分析app的代码倒是能无限接近原始.proto语义。写一个解析工具简单的很，去看Google官网看Protobuf文档就好，前几 ... 大佬们，能个链接吗？或者发到GITHUA上去。。
Erlösung 雪币： 0 活跃值： (353) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 58 粉丝 1 关注私信	Erlösung 2020-4-15 00:30 16 楼 0 yzlmars 好巧啊，我今天也在研究这个，python我已经实现脱离.proto反解析封包流了，明天准备改写成js代码，嵌在frida脚本中，游戏安全测试经常要用，兄得，留个联系方式……互帮互助我抓包是乱码的protobuf能反序列化出来吗？
Erlösung 雪币： 0 活跃值： (353) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 58 粉丝 1 关注私信	Erlösung 2020-4-15 00:30 17 楼 0 inflow 单凭原始的字节流，不可能准确还原.proto文件所包含的语义的，结合逆向分析app的代码倒是能无限接近原始.proto语义。写一个解析工具简单的很，去看Google官网看Protobuf文档就好，前几 ... 我抓包是乱码的protobuf能反序列化出来吗？
yzlmars 雪币： 110 活跃值： (560) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 43 粉丝 5 关注私信	yzlmars 2020-4-15 08:00 18 楼 0 Erlösung 我抓包是乱码的protobuf能反序列化出来吗？当然没有问题了
小黄鸭爱学习雪币： 1694 活跃值： (4002) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 263 粉丝 100 关注私信	小黄鸭爱学习 2020-4-15 14:18 19 楼 0 逆向+猜测可以还原
我是新手qaq 雪币： 18 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 1 关注私信	我是新手qaq 2020-4-25 20:17 20 楼 0 用tag就可以了，你需要proto结构
Altai001 雪币： 234 活跃值： (289) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 5 关注私信	Altai001 2020-6-9 21:12 21 楼 0 大佬，求分享思路，我有一个结构和你这个类似的，也没用.proto文件，不知道如何还原成.proto
Altai001 雪币： 234 活跃值： (289) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 5 关注私信	Altai001 2020-6-9 22:09 22 楼 0 我想知道为啥有2 有5 没有 1234呢是可选变量的意思吗？
褐眼男子雪币： 60 活跃值： (389) 能力值： ( LV5，RANK：65 ) 在线值：发帖 75 回帖 278 粉丝 3 关注私信	褐眼男子 1 2020-6-10 11:12 23 楼 0 optional 修饰
wx_L._245 雪币： 155 活跃值： (176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 1 粉丝 0 关注私信	wx_L._245 2020-11-18 16:59 24 楼 0 yzlmars 好巧啊，我今天也在研究这个，python我已经实现脱离.proto反解析封包流了，明天准备改写成js代码，嵌在frida脚本中，游戏安全测试经常要用，兄得，留个联系方式……互帮互助大佬求一份frida 的反解析protobuf脚本
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复