-
-
[旧帖] [邀请已发,结帖] 分享一些最近分析网络通讯软件的心得 0.00雪花
-
发表于: 2009-6-2 14:35
-
最近在分析一些网络通讯软件,比如网络电话,聊天软件等,把其中一些经验拿出来与大家分享,大牛见笑。
这类软件无非是客户端与服务器端一直在交换信息,所以对他们的分析也在这方面着手。
1.自己用一下这种软件,然后用wireshark之类的截包软件把通讯的数据包截下来,包括输入用户名密码登录的过程。
2.分析截下来的数据,看数据是不加密直接发送给服务器的还是加密后发送给服务器的。这个从登录过程的数据中比较容易看出来,不加密的在数据里直接可以找到自己的用户名和密码,加密的就可能是一堆乱七八糟的东西。
3.对于加密的,我们要找到它的加密方式。在发送数据之前的加密过程肯定是在客户端的软件中执行的,所以要对客户端的软件进行分析。这个过程跟分析破解CrackMe类似,我就不赘述了。
我在这里只说一下分析这类软件下断点的方法。我们知道,客户端向服务器发送数据一般是调用send(), sendto(), WSASend()这3个API函数,客户端接收服务器的信息一般是调用recv(),recvfrom(),WSARecv()这3个API函数,所以我们在分析客户端向服务器发送数据的加密方式的时候一般是是在send(), sendto(),WSASend()这3个函数处下断,断下后回到调用他们的地方,慢慢往前找,就会找到数据加密的地方。这里注意,下断后不要上来就打开断点,因为可能断在客户端向服务器发送一些无关紧要的数据的时候,所以这个过程,一般是OD与wireshark同时使用,助于断在要分析的地方。分析接收的数据的解析过程也是一样,只不过是在recv函数处下断,回到调用处,往后找。
上面是我的一点小心得,拿出来与跟我一样菜鸟分享,高手可以略过。
这类软件无非是客户端与服务器端一直在交换信息,所以对他们的分析也在这方面着手。
1.自己用一下这种软件,然后用wireshark之类的截包软件把通讯的数据包截下来,包括输入用户名密码登录的过程。
2.分析截下来的数据,看数据是不加密直接发送给服务器的还是加密后发送给服务器的。这个从登录过程的数据中比较容易看出来,不加密的在数据里直接可以找到自己的用户名和密码,加密的就可能是一堆乱七八糟的东西。
3.对于加密的,我们要找到它的加密方式。在发送数据之前的加密过程肯定是在客户端的软件中执行的,所以要对客户端的软件进行分析。这个过程跟分析破解CrackMe类似,我就不赘述了。
我在这里只说一下分析这类软件下断点的方法。我们知道,客户端向服务器发送数据一般是调用send(), sendto(), WSASend()这3个API函数,客户端接收服务器的信息一般是调用recv(),recvfrom(),WSARecv()这3个API函数,所以我们在分析客户端向服务器发送数据的加密方式的时候一般是是在send(), sendto(),WSASend()这3个函数处下断,断下后回到调用他们的地方,慢慢往前找,就会找到数据加密的地方。这里注意,下断后不要上来就打开断点,因为可能断在客户端向服务器发送一些无关紧要的数据的时候,所以这个过程,一般是OD与wireshark同时使用,助于断在要分析的地方。分析接收的数据的解析过程也是一样,只不过是在recv函数处下断,回到调用处,往后找。
上面是我的一点小心得,拿出来与跟我一样菜鸟分享,高手可以略过。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
自己顶一下,嘿嘿!
|
|
|
|
|
|
|
|
|
|
