下面几个包和内容是简单的分析,但是包体中的结构都还不是太清楚:
192.168.0.111 ----> 58.61.39.211
原始链接:ed2k://|file|Windows.Kernel.Source.Code.like.iso|168366080|9e383c32979785aa6b8a634d55f209ba|
----- 搜索资源请求消息 -----
0000 00 1c f0 81 a4 46 00 1d 7d 3b 70 24 08 00 45 00 .....F..};p$..E.
0010 01 23 33 b7 40 00 40 06 e2 f6 c0 a8 00 6f 3a 3d .#3.@.@......o:=
0020 27 d3 0a 1a 00 50 0a 72 47 32 0c 8e 5c d9 50 18 '....P.rG2..\.P.
0030 ff ff 24 3d 00 00 50 4f 53 54 20 2f 20 48 54 54 ..$=..POST / HTT
0040 50 2f 31 2e 31 0d 0a 48 6f 73 74 3a 20 35 38 2e P/1.1..Host: 58.
0050 36 31 2e 33 39 2e 32 31 31 3a 38 30 0d 0a 43 6f 61.39.211:80..Co
0060 6e 74 65 6e 74 2d 74 79 70 65 3a 20 61 70 70 6c ntent-type: appl
0070 69 63 61 74 69 6f 6e 2f 6f 63 74 65 74 2d 73 74 ication/octet-st
0080 72 65 61 6d 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 ream..Content-Le
0090 6e 67 74 68 3a 20 31 32 34 0d 0a 43 6f 6e 6e 65 ngth: 124..Conne
00a0 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 76 ction: Keep-Aliv
00b0 65 0d 0a 0d 0a 34 00 00 00 2d 00 00 00 70 00 00 e....4...-...p..
00c0 00 ab 4d 26 20 8a e1 4a 79 be 3c c8 ac 67 66 3a ..M& ..Jy.<..gf:
00d0 fc de 61 ed 2e f1 24 29 21 05 9d fb 39 3d 93 fe ..a...$)!...9=..
00e0 e7 bb da cb 46 c7 16 63 4c 4e 4f c4 1b 23 c4 18 ....F..cLNO..#..
00f0 e7 f2 cb b3 21 49 ae 59 81 4b ba 52 16 27 90 37 ....!I.Y.K.R.'.7
0100 26 22 4c 29 cf 09 f3 f5 cf c9 e8 0a 39 74 91 70 &"L)........9t.p
0110 73 16 5d d5 d6 e0 de 39 b9 d1 b2 ab b6 23 45 1c s.]....9.....#E.
0120 93 10 0d 65 5f 64 f6 b2 8a 6d 67 bb 40 5e d4 16 ...e_d...mg.@^..
0130 eb .
----- 解密后的数据包部分 -----
Offset 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
0 85 01 05 00 00 00 D1 07 05 14 00 00 00 44 7E DD ?....?.....D~?
16 DF 38 8C 13 36 98 72 6C F9 54 8B 44 DC A1 A3 80 ??6榬l鵗婦堋
32 2A 14 00 00 00 19 CE AA 59 58 CF 32 AB 8B 1E F2 *.....为YX?珛.?
48 EF 15 06 71 05 3A B2 03 5F 00 10 09 0A 00 00 00 ?.q.:?_.......
64 00 00 00 00 00 0A 00 00 00 00 10 00 00 00 30 30 ..............00
80 31 44 37 44 33 42 37 30 32 34 30 30 30 30 C0 A8 1D7D3B70240000括
96 00 6F 2B 01 00 00 00 04 00 00 00 00 04 04 04 04 .o+.............
----------------------------------------------
另外一次测试同样的资源,从最开始下载
----- 搜索资源请求消息 -----
0000 00 1c f0 81 a4 46 00 1d 7d 3b 70 24 08 00 45 00 .....F..};p$..E.
0010 01 23 67 65 40 00 40 06 af 48 c0 a8 00 6f 3a 3d .#ge@.@..H...o:=
0020 27 d3 0a 75 00 50 04 6f 96 17 2e 8e 5d 51 50 18 '..u.P.o....]QP.
0030 ff ff 24 3d 00 00 50 4f 53 54 20 2f 20 48 54 54 ..$=..POST / HTT
0040 50 2f 31 2e 31 0d 0a 48 6f 73 74 3a 20 35 38 2e P/1.1..Host: 58.
0050 36 31 2e 33 39 2e 32 31 31 3a 38 30 0d 0a 43 6f 61.39.211:80..Co
0060 6e 74 65 6e 74 2d 74 79 70 65 3a 20 61 70 70 6c ntent-type: appl
0070 69 63 61 74 69 6f 6e 2f 6f 63 74 65 74 2d 73 74 ication/octet-st
0080 72 65 61 6d 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 ream..Content-Le
0090 6e 67 74 68 3a 20 31 32 34 0d 0a 43 6f 6e 6e 65 ngth: 124..Conne
00a0 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 76 ction: Keep-Aliv
00b0 65 0d 0a 0d 0a 34 00 00 00 54 00 00 00 70 00 00 e....4...T...p..
00c0 00 3f 1f 76 18 d1 30 8e 79 ff 03 bc c1 b1 30 71 .?.v..0.y.....0q
00d0 c6 79 a5 57 5b 70 a6 f3 bf 04 49 36 4d 6d ff e3 .y.W[p....I6Mm..
00e0 bc df b4 2d 55 4a 2a 78 ef 8a 64 49 13 9d 29 3d ...-UJ*x..dI..)=
00f0 6f e7 5d 64 f8 a5 20 fa 6f 49 84 53 cd 07 fe df o.]d.. .oI.S....
0100 fa 4c 06 a7 a6 82 17 f5 fb 93 fb 41 17 01 53 14 .L.........A..S.
0110 cb b2 c4 88 a2 23 4d 08 fd fa c6 b6 a6 9c 50 6c .....#M.......Pl
0120 db 28 2f 3e 32 95 e8 8f 4a fb 09 ef 92 d5 8b 7e .(/>2...J......~
0130 da .
----- 解密后的数据包部分 -----
Offset 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
0 85 01 05 00 00 00 D1 07 05 14 00 00 00 44 7E DD ?....?.....D~?
16 DF 38 8C 13 36 98 72 6C F9 54 8B 44 DC A1 A3 80 ??6榬l鵗婦堋
32 2A 14 00 00 00 19 CE AA 59 58 CF 32 AB 8B 1E F2 *.....为YX?珛.?
48 EF 15 06 71 05 3A B2 03 5F 00 10 09 0A 00 00 00 ?.q.:?_.......
64 00 00 00 00 00 0A 00 00 00 00 10 00 00 00 30 30 ..............00
80 31 44 37 44 33 42 37 30 32 34 30 30 30 30 C0 A8 1D7D3B70240000括
96 00 6F 2B 01 00 00 00 04 00 00 00 00 04 04 04 04 .o+.............
===>
这一次我们可以发现解密后的数据包是完全一致的。因此,基本可以断定从开始下载与之前有过下载的搜索资源请求消息是不同的。
===>
这里对资源请求包做一个初步的分析:
1,其中的 001D7D3B70240000 应该是和主机相关的一个 HASH 值(因为发现在我本机上所有的请求消息都是一致),但是如何计算的,还不是太清楚;
Offset 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
64 10 00 00 00 30 30 ....00
80 31 44 37 44 33 42 37 30 32 34 30 30 30 30 1D7D3B70240000
2,最前面的 6 个字节(85 01 05 00 00 00)基本都很一致;
3,其中有两串应该是 SHA1 的 HASH 串:
Offset 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
0 14 00 00 00 44 7E DD ....D~?
16 DF 38 8C 13 36 98 72 6C F9 54 8B 44 DC A1 A3 80 ??6榬l鵗婦堋
32 2A *
Offset 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
32 14 00 00 00 19 CE AA 59 58 CF 32 AB 8B 1E F2 .....为YX?珛.?
48 EF 15 06 71 05 3A B2 03 5F ?.q.:?_
前面的 14 00 00 00 都是表示 SHA1 的长度;
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法