-
-
[原创]自写小小工具解密FeiQ消息
-
发表于: 2020-2-28 18:08
-
写这个小工具主要是针对之前关于飞秋解密分析的测试,同时也是对自己的一个交代吧。
这幅图就是我写解密代码的思路啦!
由于之前只是分析了单人聊天的消息解密,所以可能具有片面性,例如消息组成的第一部分的标志位,在分析的过程中,它起到了一个判断跳转的作用,我估计1001这个只针对单人聊天,但是最重要的部分其实是第二部分和第三部分。
1:由之前的分析可知,此消息是按照0x3A也就是ASCII的“:”作为分隔符的,所以先将消息按照0x3A分割成独立的三个部分,分割原理很简单,遍历查找,然后将0x3A改成0x00。
2:分割完成之后,就是后去会话密钥了,用于最后解密明文使用,这里需要对指定的算法进行实现。
3:获取密文,密文的算法和获取密钥的算法是一致的。
到这里,我们就获取了加密的BLOB,但是此时只是存在于内存中,我们需要将他导入到CSP中并获取句柄才能使用,导入过程中很重要的一点是我们还需要一个钥匙来对这个密钥块进行解锁,因为这个密钥块是被加密之后发过来的。
首先发送一条消息,然后使用wireshark抓包,将data部分复制下来,只保留从1001开始的部分!
打开工具进行测试
//1:按照0x3A进行分割分割
int AllLen = strlen(g_DecodeText) + 1;
for (int i = 0; i < AllLen; ++i)
{
if (*(g_DecodeText + i) == 0x3A)
{
*(g_DecodeText + i) = 0;
}
}
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
谢大佬批评,初次涉及这方面,确实有很多不懂的地方,这个只是验证分析的测试程序,还请大佬移步上篇指点,感谢! |
|
|
|
|
|
|
|
|
 emmmm,看到了,不知道你说的是不是历史记录啥的,这部分没有分析过
|
|
|
有问题可以直接留言,大家一起探讨 |
