[求助]安卓TCP协议定位方式请教-Android安全-看雪-安全社区|安全招聘|kanxue.com

[求助]安卓TCP协议定位方式请教

发表于: 2019-8-26 11:58 8291

[求助]安卓TCP协议定位方式请教

richor

2019-8-26 11:58

8291

最近分析YY直播的弹幕数据，发现采用的是TCP协议，分析的好久无法定位到握手位置，各位大佬指点一下定位方法：

1.用winshark抓包出来都是密文信息:

2.用ddms没有查到有效的log：

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・4

免费・0

支持

最新回复 (23)
只是来打酱油雪币： 40 活跃值： (680) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 316 粉丝 2 关注私信	只是来打酱油 2 楼 ddms录制轨迹,发个檀木，然后hook 2019-8-26 15:42 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 3 楼只是来打酱油 ddms录制轨迹,发个檀木，然后hook 谢谢师兄的答复，是这样的，这个方法我也尝试过，打印的堆栈有5000多项，以buffer.read为关键字进行分析hook，都没有得到弹幕结果。师兄还有其他的方法可以帮助定位么？ 2019-8-26 17:08 0
roysue 雪币： 3907 活跃值： (5817) 能力值： ( LV12，RANK：200 ) 在线值：发帖 109 回帖 493 粉丝 632 关注私信	roysue 3 4 楼 frida hook 2019-8-26 18:47 0
只是来打酱油雪币： 40 活跃值： (680) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 316 粉丝 2 关注私信	只是来打酱油 5 楼菜年richor 谢谢师兄的答复，是这样的，这个方法我也尝试过，打印的堆栈有5000多项，以buffer.read为关键字进行分析hook，都没有得到弹幕结果。师兄还有其他的方法可以帮助定位么？那就不要以buffer.reader为关键字从view层入手试试反推 2019-8-27 08:54 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 6 楼 roysue frida hook 谢谢师兄指点，我已经有用frida hook DDMS里的几个函数，但是函数太多了，已经无法定位到有效的位置 2019-8-27 09:11 0
Monkeylord 雪币： 634 活跃值： (1503) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 56 粉丝 29 关注私信	Monkeylord 7 楼 Hook了看堆栈。记得把不同的线程的堆栈接起来（记录新线程创建和创建时的堆栈） 2019-8-27 12:51 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 8 楼 Monkeylord Hook了看堆栈。记得把不同的线程的堆栈接起来（记录新线程创建和创建时的堆栈）有用ddms查看堆栈，还是无法定位到函数 2019-8-27 13:36 0
Monkeylord 雪币： 634 活跃值： (1503) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 56 粉丝 29 关注私信	Monkeylord 9 楼菜年richor 有用ddms查看堆栈，还是无法定位到函数 OKHTTP工作线程的堆栈是从Thread run开始的，已经没有调用它的函数了。你得记录thread new的堆栈，然后和这个堆栈拼着看，才能看到谁调用的。 2019-8-27 13:41 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 10 楼 Monkeylord OKHTTP工作线程的堆栈是从Thread run开始的，已经没有调用它的函数了。你得记录thread new的堆栈，然后和这个堆栈拼着看，才能看到谁调用的。师兄，按照您的方法，逆向两侧就不行了，会显示toplevel，然后就上不去了 2019-8-27 14:16 0
Monkeylord 雪币： 634 活跃值： (1503) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 56 粉丝 29 关注私信	Monkeylord 11 楼菜年richor 师兄，按照您的方法，逆向两侧就不行了，会显示toplevel，然后就上不去了是，所以你要关注Thread的创建。那时的堆栈。 2019-8-27 17:24 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 12 楼 Thread创建是序号1，不好查看附近的堆栈 2019-8-28 08:58 0
看雪高研雪币： 196 活跃值： (5901) 能力值： (RANK：10 ) 在线值：发帖 15 回帖 91 粉丝 197 关注私信	看雪高研 13 楼用objection来hook这三个类看看结果： java.net.InetAddress java.net.Socket java.net.ServerSocket 2019-9-2 17:17 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 14 楼看雪高研用objection来hook这三个类看看结果： java.net.InetAddress java.net.Socket java.net.ServerSocket frida hook不了，要用xp么？ 2019-9-3 09:49 0
jlvsjp 雪币： 7 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 1 关注私信	jlvsjp 17 楼 YY的发送全部是在Native完成的，握手包是RC4和RSA的加密，你重点Hook一下SO里面RC4和RSA相关的加解密函数吧，能说的就这么多了。 2019-9-12 11:22 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 18 楼 jlvsjp YY的发送全部是在Native完成的，握手包是RC4和RSA的加密，你重点Hook一下SO里面RC4和RSA相关的加解密函数吧，能说的就这么多了。谢谢师兄，我也刚定位到SO，现在准备分析so 2019-9-12 11:35 0
很快就胖了雪币： 204 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 2 关注私信	很快就胖了 19 楼老哥,还在研究yy的吗 2019-12-8 12:42 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 20 楼很快就胖了老哥,还在研究yy的吗是啊，师兄有什么技术要分享的？ 2019-12-9 09:06 0
很快就胖了雪币： 204 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 2 关注私信	很快就胖了 21 楼菜年richor 是啊，师兄有什么技术要分享的？能留个联系方式交流下,最近在看皮皮蟹,也是引用的yysdk 2019-12-12 18:40 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 22 楼很快就胖了能留个联系方式交流下,最近在看皮皮蟹,也是引用的yysdk 私信你了 2019-12-13 08:56 0
Frank888 雪币： 118 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Frank888 23 楼最近研究bigo 似乎也是yysdk系列的。私信一下，交流下我的Q 43401269 最后于 2020-7-18 16:17 被Frank888编辑，原因： 2020-7-9 19:52 0
王小东雪币： 237 活跃值： (83) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 1 关注私信	王小东 24 楼最近研究dyy 似乎也是yysdk系列的。私信一下，交流下 2020-7-18 03:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

richor

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
只是来打酱油雪币： 40 活跃值： (680) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 316 粉丝 2 关注私信	只是来打酱油 2 楼 ddms录制轨迹,发个檀木，然后hook 2019-8-26 15:42 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 3 楼只是来打酱油 ddms录制轨迹,发个檀木，然后hook 谢谢师兄的答复，是这样的，这个方法我也尝试过，打印的堆栈有5000多项，以buffer.read为关键字进行分析hook，都没有得到弹幕结果。师兄还有其他的方法可以帮助定位么？ 2019-8-26 17:08 0
roysue 雪币： 3907 活跃值： (5817) 能力值： ( LV12，RANK：200 ) 在线值：发帖 109 回帖 493 粉丝 632 关注私信	roysue 3 4 楼 frida hook 2019-8-26 18:47 0
只是来打酱油雪币： 40 活跃值： (680) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 316 粉丝 2 关注私信	只是来打酱油 5 楼菜年richor 谢谢师兄的答复，是这样的，这个方法我也尝试过，打印的堆栈有5000多项，以buffer.read为关键字进行分析hook，都没有得到弹幕结果。师兄还有其他的方法可以帮助定位么？那就不要以buffer.reader为关键字从view层入手试试反推 2019-8-27 08:54 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 6 楼 roysue frida hook 谢谢师兄指点，我已经有用frida hook DDMS里的几个函数，但是函数太多了，已经无法定位到有效的位置 2019-8-27 09:11 0
Monkeylord 雪币： 634 活跃值： (1503) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 56 粉丝 29 关注私信	Monkeylord 7 楼 Hook了看堆栈。记得把不同的线程的堆栈接起来（记录新线程创建和创建时的堆栈） 2019-8-27 12:51 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 8 楼 Monkeylord Hook了看堆栈。记得把不同的线程的堆栈接起来（记录新线程创建和创建时的堆栈）有用ddms查看堆栈，还是无法定位到函数 2019-8-27 13:36 0
Monkeylord 雪币： 634 活跃值： (1503) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 56 粉丝 29 关注私信	Monkeylord 9 楼菜年richor 有用ddms查看堆栈，还是无法定位到函数 OKHTTP工作线程的堆栈是从Thread run开始的，已经没有调用它的函数了。你得记录thread new的堆栈，然后和这个堆栈拼着看，才能看到谁调用的。 2019-8-27 13:41 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 10 楼 Monkeylord OKHTTP工作线程的堆栈是从Thread run开始的，已经没有调用它的函数了。你得记录thread new的堆栈，然后和这个堆栈拼着看，才能看到谁调用的。师兄，按照您的方法，逆向两侧就不行了，会显示toplevel，然后就上不去了 2019-8-27 14:16 0
Monkeylord 雪币： 634 活跃值： (1503) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 56 粉丝 29 关注私信	Monkeylord 11 楼菜年richor 师兄，按照您的方法，逆向两侧就不行了，会显示toplevel，然后就上不去了是，所以你要关注Thread的创建。那时的堆栈。 2019-8-27 17:24 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 12 楼 Thread创建是序号1，不好查看附近的堆栈 2019-8-28 08:58 0
看雪高研雪币： 196 活跃值： (5901) 能力值： (RANK：10 ) 在线值：发帖 15 回帖 91 粉丝 197 关注私信	看雪高研 13 楼用objection来hook这三个类看看结果： java.net.InetAddress java.net.Socket java.net.ServerSocket 2019-9-2 17:17 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 14 楼看雪高研用objection来hook这三个类看看结果： java.net.InetAddress java.net.Socket java.net.ServerSocket frida hook不了，要用xp么？ 2019-9-3 09:49 0
jlvsjp 雪币： 7 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 1 关注私信	jlvsjp 17 楼 YY的发送全部是在Native完成的，握手包是RC4和RSA的加密，你重点Hook一下SO里面RC4和RSA相关的加解密函数吧，能说的就这么多了。 2019-9-12 11:22 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 18 楼 jlvsjp YY的发送全部是在Native完成的，握手包是RC4和RSA的加密，你重点Hook一下SO里面RC4和RSA相关的加解密函数吧，能说的就这么多了。谢谢师兄，我也刚定位到SO，现在准备分析so 2019-9-12 11:35 0
很快就胖了雪币： 204 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 2 关注私信	很快就胖了 19 楼老哥,还在研究yy的吗 2019-12-8 12:42 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 20 楼很快就胖了老哥,还在研究yy的吗是啊，师兄有什么技术要分享的？ 2019-12-9 09:06 0
很快就胖了雪币： 204 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 2 关注私信	很快就胖了 21 楼菜年richor 是啊，师兄有什么技术要分享的？能留个联系方式交流下,最近在看皮皮蟹,也是引用的yysdk 2019-12-12 18:40 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 22 楼很快就胖了能留个联系方式交流下,最近在看皮皮蟹,也是引用的yysdk 私信你了 2019-12-13 08:56 0
Frank888 雪币： 118 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Frank888 23 楼最近研究bigo 似乎也是yysdk系列的。私信一下，交流下我的Q 43401269 最后于 2020-7-18 16:17 被Frank888编辑，原因： 2020-7-9 19:52 0
王小东雪币： 237 活跃值： (83) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 1 关注私信	王小东 24 楼最近研究dyy 似乎也是yysdk系列的。私信一下，交流下 2020-7-18 03:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复