-
-
[原创]某安全SDK协议流分析
-
发表于: 1天前
-
某安全SDK协议流分析,在协议分析过程中,发现不少应用在使用时都会出现以5b 00 00 00开头的协议包,猜测可能调用了相同的SO库。故对此进行分析。
我们先尝试从底层hook sendto函数,看能不能打印到这串流的调用堆栈:
Hook代码:
function hook_sendto(){
Interceptor.attach(Module.findExportByName('libc.so', 'sendto'),{
onEnter: function(args){
console.log('sendto'+'\n'+hexdump(args[1], {
offset: 0,
length: args[2].toInt32(),
header: true,
ansi: true
})+'\n'+
Thread.backtrace(this.context, Backtracer.FUZZY).map(DebugSymbol.fromAddress).join('\n') + '\n')
}
})
}
这边就hook到了这个5b 00 00 00 开头的流,发现其是从libclinkapi-lib.so这个库里发出的。
打开IDA,直接g到堆栈里的_ZN15ChannelBusiness4dealEP11ChannelLinkPKci+0xa8处,定位到此处。
进入后,我们先尝试hook该函数,发现有一个参数是上述首包(2b 00 00 00)的内容,猜测该函数下内容可能和我们要分析的流相关
对该函数源码进行分析,源码内容较多,仅张贴重要部分:
[招生]科锐逆向工程师培训(2026年7月3日实地,远程教学同时开班, 第56期)!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
