-
-
[讨论] 一段http头文件的分析,请大家多指教.
-
发表于: 2008-12-7 00:31
-
老早就在看雪注册了,一直潜水,偶尔浮出来也是灌水,不谈技术.
主要是自己太菜,而看雪大牛太多. 前几天买彩/票,今天去兑奖中了50块,异常兴奋.生平第一次中奖啊.
于是发此帖,纪念一下.胡乱找了个游戏安装程序的exe文件.胡乱分析了一下.
抓包数据如下
以上代码是一个exe文件 通过http协议发送给服务端的一段信息.
从以上内容,我们可以分析出:
此段内容 提交的页面地址为:
./setup/install.asp
GameID=76 (定义是 某个游戏的代码)
;*******************我就是那道完美的分割线*********************
该段内容 应该为收集的 我机器上的某些硬件信息,硬盘序列号之类的东西吧.
;*******************我就是那道完美的分割线*********************
代表是http1.1协议? (不懂http协议,乱猜的
)
;*******************我就是那道完美的分割线*********************
这段应该无关紧要,接收文件格式之类的?
;*******************我就是那道完美的分割线*********************
Referer我知道,是指跳转之前来自的页面.
{来自百度的解释:
一些网站通过HTTP_REFERER来做安全验证,判断用户是不是从允许的页面链接来的,而不是直接从浏览器上打URL或从其他页面链接过来,这样可以从一定程度上防止网页被做非法使用。但从上述原理来看,想要骗过服务器也并不困难,只要手工构造输入的HTTP消息头就可以了,其他常用的手段还有通过HOSTS文件伪造域名等。
}
;*******************我就是那道完美的分割线*********************
-
从文字看来,应该是没有缓存的意思.
Cookie:后面一堆字母的含义... 等高手作答了..
Account:向服务端发送的安装者的帐号.
;*******************我就是那道完美的分割线*********************
附加问题如下:
这些代码是在 [点击] <<完成安装>> 按钮 之后发送的.我想知道的是:
该段内容 应该为收集的 我机器上的某些硬件信息,硬盘序列号之类的东西吧.
-----------------------------------
这段生成东西的具体含义.按理来说,用OD下断 安装程序.exe,找到生成这段代码的函数即可.显而易见,下断 按钮 <<完成安装>> 自然可以得到 该段核心代码,但不知道改如何下断,包括取消按钮在内的整个板块都是一个 Static控件.不知道如何下手... 大家给点提示.
最新想法是下断Send函数.. 不太熟悉网络api,先查资料,随后有结果了我跟帖上来.期待可以获得我在看雪上的第一篇精华.
主要是自己太菜,而看雪大牛太多. 前几天买彩/票,今天去兑奖中了50块,异常兴奋.生平第一次中奖啊.
于是发此帖,纪念一下.胡乱找了个游戏安装程序的exe文件.胡乱分析了一下.
抓包数据如下
ASCII数据: POST./setup/install.asp? GameID=76&info=6F0F6F0F59743C0F396FE41574480F596F2A74E4399494EB74740FEB48594848933C94594EE49394943E94B03E4E153E59 153E1A3B3E155993949494949494949494949494949494949494943C93949494E43E941FF93C3E3C59D9F93E1FF91F1F3E949494943E4E949 43C9359D9933C.HTTP/1.1..Accept:.image/gif,.image/x-xbitmap,.image/jpeg,.image/pjpeg,.application/x-shockwave- flash,.*/*..Referer:.http://ca.sdo.com/setup/install.asp?gameid=78..Accept-Language:.en-us..Content- Type:.application/x-www-form-urlencoded..Accept-Encoding:.gzip,.deflate..User-Agent:.Mozilla/4.0. (compatible;.MSIE.6.0;.Windows.NT.5.1;.SV1)..Host:.ca.sdo.com..Content-Length:.41..Connection:.Keep-Alive..Cache -Control:.no- cache..Cookie:.ASPSESSIONIDCCRTACQR=CIMEAKJAIJGKLPMDHPBKGPEI....Account=sdissb&ReAccount=sdissb
以上代码是一个exe文件 通过http协议发送给服务端的一段信息.
从以上内容,我们可以分析出:
POST./setup/install.asp? GameID=76&info=6F0F6F0F59743C0F396FE41574480F596F2A74E4399494EB74740FEB48594848933C94594EE49394943E94B03E4E153E59 153E1A3B3E155993949494949494949494949494949494949494943C93949494E43E941FF93C3E3C59D9F93E1FF91F1F3E949494943E4E949 43C9359D9933C.
此段内容 提交的页面地址为:
./setup/install.asp
GameID=76 (定义是 某个游戏的代码)
;*******************我就是那道完美的分割线*********************
info=6F0F6F0F59743C0F396FE41574480F596F2A74E4399494EB74740FEB48594848933C94594EE49394943E94B03E4E153E59 153E1A3B3E155993949494949494949494949494949494949494943C93949494E43E941FF93C3E3C59D9F93E1FF91F1F3E949494943E4E949 43C9359D9933C
该段内容 应该为收集的 我机器上的某些硬件信息,硬盘序列号之类的东西吧.
;*******************我就是那道完美的分割线*********************
HTTP/1.1.
代表是http1.1协议? (不懂http协议,乱猜的
);*******************我就是那道完美的分割线*********************
Accept:.image/gif,.image/x-xbitmap,.image/jpeg,.image/pjpeg,.application/x-shockwave- flash,.*/*
这段应该无关紧要,接收文件格式之类的?
;*******************我就是那道完美的分割线*********************
Referer:.http://ca.sdo.com/setup/install.asp?gameid=78..Accept-Language:.en-us..Content- Type:.application/x-www-form-urlencoded..Accept-Encoding:.gzip,.deflate..User-Agent:.Mozilla/4.0.
Referer我知道,是指跳转之前来自的页面.
{来自百度的解释:
一些网站通过HTTP_REFERER来做安全验证,判断用户是不是从允许的页面链接来的,而不是直接从浏览器上打URL或从其他页面链接过来,这样可以从一定程度上防止网页被做非法使用。但从上述原理来看,想要骗过服务器也并不困难,只要手工构造输入的HTTP消息头就可以了,其他常用的手段还有通过HOSTS文件伪造域名等。
}
Type:未知,知道的人麻烦回帖告诉我下,嘿嘿.
Agent:这里应该指的是本机浏览器吧? 不过我用的是IE呀,怎么上面提交的是Mozilla/4.0,后面的4.0.难道指的就是IE4.0以及 以上版本? 猜的.
;*******************我就是那道完美的分割线*********************
-
Control:.no-cache..
从文字看来,应该是没有缓存的意思.
Cookie:.ASPSESSIONIDCCRTACQR=CIMEAKJAIJGKLPMDHPBKGPEI....Account=sdissb&ReAccount=sdissb
Cookie:后面一堆字母的含义... 等高手作答了..
Account:向服务端发送的安装者的帐号.
;*******************我就是那道完美的分割线*********************
附加问题如下:
这些代码是在 [点击] <<完成安装>> 按钮 之后发送的.我想知道的是:
info=6F0F6F0F59743C0F396FE41574480F596F2A74E4399494EB74740FEB48594848933C94594EE49394943E94B03E4E153E59 153E1A3B3E155993949494949494949494949494949494949494943C93949494E43E941FF93C3E3C59D9F93E1FF91F1F3E949494943E4E949 43C9359D9933C
该段内容 应该为收集的 我机器上的某些硬件信息,硬盘序列号之类的东西吧.
-----------------------------------
这段生成东西的具体含义.按理来说,用OD下断 安装程序.exe,找到生成这段代码的函数即可.显而易见,下断 按钮 <<完成安装>> 自然可以得到 该段核心代码,但不知道改如何下断,包括取消按钮在内的整个板块都是一个 Static控件.不知道如何下手... 大家给点提示.
最新想法是下断Send函数.. 不太熟悉网络api,先查资料,随后有结果了我跟帖上来.期待可以获得我在看雪上的第一篇精华.
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
鼓励LZ的学习精神
当然支持我们看雪的“元老级”人物
|
|
|
|
|
|
|
|
|
|
|
|
这个这个,到底分析出了什么东西啊??
看不明白 
|
|
|
被你提醒
发现这真是个好招 |
|
|
|
|
|
还竟然得到了看雪老大的回复.
|
|
|
这个离精华还有点远
|
