老早就在看雪注册了,一直潜水,偶尔浮出来也是灌水,不谈技术.
主要是自己太菜,而看雪大牛太多. 前几天买彩/票,今天去兑奖中了50块,异常兴奋.生平第一次中奖啊.
于是发此帖,纪念一下.胡乱找了个游戏安装程序的exe文件.胡乱分析了一下.

抓包数据如下

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

ASCII数据: POST./setup/install.asp?   GameID=76&info=6F0F6F0F59743C0F396FE41574480F596F2A74E4399494EB74740FEB48594848933C94594EE49394943E94B03E4E153E59   153E1A3B3E155993949494949494949494949494949494949494943C93949494E43E941FF93C3E3C59D9F93E1FF91F1F3E949494943E4E949   43C9359D9933C.HTTP/1.1..Accept:.image/gif,.image/x-xbitmap,.image/jpeg,.image/pjpeg,.application/x-shockwave-   flash,.*/*..Referer:.http://ca.sdo.com/setup/install.asp?gameid=78..Accept-Language:.en-us..Content-   Type:.application/x-www-form-urlencoded..Accept-Encoding:.gzip,.deflate..User-Agent:.Mozilla/4.0.   (compatible;.MSIE.6.0;.Windows.NT.5.1;.SV1)..Host:.ca.sdo.com..Content-Length:.41..Connection:.Keep-Alive..Cache   -Control:.no-   cache..Cookie:.ASPSESSIONIDCCRTACQR=CIMEAKJAIJGKLPMDHPBKGPEI....Account=sdissb&ReAccount=sdissb

以上代码是一个exe文件 通过http协议发送给服务端的一段信息.
从以上内容,我们可以分析出:

1 2 3 4 5 6 7

POST./setup/install.asp?   GameID=76&info=6F0F6F0F59743C0F396FE41574480F596F2A74E4399494EB74740FEB48594848933C94594EE49394943E94B03E4E153E59   153E1A3B3E155993949494949494949494949494949494949494943C93949494E43E941FF93C3E3C59D9F93E1FF91F1F3E949494943E4E949   43C9359D9933C.

此段内容 提交的页面地址为:
./setup/install.asp
GameID=76  (定义是 某个游戏的代码)

;*******************我就是那道完美的分割线*********************

1 2 3 4 5

info=6F0F6F0F59743C0F396FE41574480F596F2A74E4399494EB74740FEB48594848933C94594EE49394943E94B03E4E153E59   153E1A3B3E155993949494949494949494949494949494949494943C93949494E43E941FF93C3E3C59D9F93E1FF91F1F3E949494943E4E949   43C9359D9933C

该段内容 应该为收集的 我机器上的某些硬件信息,硬盘序列号之类的东西吧.

;*******************我就是那道完美的分割线*********************

1

HTTP/1.1.

代表是http1.1协议?  (不懂http协议,乱猜的   )

;*******************我就是那道完美的分割线*********************

1 2 3

Accept:.image/gif,.image/x-xbitmap,.image/jpeg,.image/pjpeg,.application/x-shockwave-   flash,.*/*

这段应该无关紧要,接收文件格式之类的?

;*******************我就是那道完美的分割线*********************

1 2 3

Referer:.http://ca.sdo.com/setup/install.asp?gameid=78..Accept-Language:.en-us..Content-   Type:.application/x-www-form-urlencoded..Accept-Encoding:.gzip,.deflate..User-Agent:.Mozilla/4.0.

Referer我知道,是指跳转之前来自的页面.
{来自百度的解释:
一些网站通过HTTP_REFERER来做安全验证，判断用户是不是从允许的页面链接来的，而不是直接从浏览器上打URL或从其他页面链接过来，这样可以从一定程度上防止网页被做非法使用。但从上述原理来看，想要骗过服务器也并不困难，只要手工构造输入的HTTP消息头就可以了，其他常用的手段还有通过HOSTS文件伪造域名等。
}

1

Type:

  未知,知道的人麻烦回帖告诉我下,嘿嘿.

1

Agent:

这里应该指的是本机浏览器吧?  不过我用的是IE呀,怎么上面提交的是Mozilla/4.0,后面的4.0.难道指的就是IE4.0以及 以上版本? 猜的.

;*******************我就是那道完美的分割线*********************

-

1	Control:.no-cache..

从文字看来,应该是没有缓存的意思.

1	Cookie:.ASPSESSIONIDCCRTACQR=CIMEAKJAIJGKLPMDHPBKGPEI....Account=sdissb&ReAccount=sdissb

Cookie:后面一堆字母的含义... 等高手作答了..

Account:向服务端发送的安装者的帐号.

;*******************我就是那道完美的分割线*********************

附加问题如下:

这些代码是在 [点击] <<完成安装>> 按钮 之后发送的.我想知道的是:

1 2 3 4 5

info=6F0F6F0F59743C0F396FE41574480F596F2A74E4399494EB74740FEB48594848933C94594EE49394943E94B03E4E153E59   153E1A3B3E155993949494949494949494949494949494949494943C93949494E43E941FF93C3E3C59D9F93E1FF91F1F3E949494943E4E949   43C9359D9933C

该段内容 应该为收集的 我机器上的某些硬件信息,硬盘序列号之类的东西吧.

-----------------------------------
这段生成东西的具体含义.按理来说,用OD下断 安装程序.exe,找到生成这段代码的函数即可.显而易见,下断 按钮 <<完成安装>> 自然可以得到 该段核心代码,但不知道改如何下断,包括取消按钮在内的整个板块都是一个 Static控件.不知道如何下手...  大家给点提示.

最新想法是下断Send函数..   不太熟悉网络api,先查资料,随后有结果了我跟帖上来.期待可以获得我在看雪上的第一篇精华.   

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课