首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]关于迅雷资源请求消息的包结构 0.00雪花
发表于: 2009-6-23 15:38 1410

[旧帖] [求助]关于迅雷资源请求消息的包结构 0.00雪花

loveas 活跃值
2009-6-23 15:38
1410
下面几个包和内容是简单的分析,但是包体中的结构都还不是太清楚:

192.168.0.111 ----> 58.61.39.211

原始链接:ed2k://|file|Windows.Kernel.Source.Code.like.iso|168366080|9e383c32979785aa6b8a634d55f209ba|

----- 搜索资源请求消息 -----

0000   00 1c f0 81 a4 46 00 1d 7d 3b 70 24 08 00 45 00  .....F..};p$..E.
0010   01 23 33 b7 40 00 40 06 e2 f6 c0 a8 00 6f 3a 3d  .#3.@.@......o:=
0020   27 d3 0a 1a 00 50 0a 72 47 32 0c 8e 5c d9 50 18  '....P.rG2..\.P.
0030   ff ff 24 3d 00 00 50 4f 53 54 20 2f 20 48 54 54  ..$=..POST / HTT
0040   50 2f 31 2e 31 0d 0a 48 6f 73 74 3a 20 35 38 2e  P/1.1..Host: 58.
0050   36 31 2e 33 39 2e 32 31 31 3a 38 30 0d 0a 43 6f  61.39.211:80..Co
0060   6e 74 65 6e 74 2d 74 79 70 65 3a 20 61 70 70 6c  ntent-type: appl
0070   69 63 61 74 69 6f 6e 2f 6f 63 74 65 74 2d 73 74  ication/octet-st
0080   72 65 61 6d 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65  ream..Content-Le
0090   6e 67 74 68 3a 20 31 32 34 0d 0a 43 6f 6e 6e 65  ngth: 124..Conne
00a0   63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 76  ction: Keep-Aliv
00b0   65 0d 0a 0d 0a 34 00 00 00 2d 00 00 00 70 00 00  e....4...-...p..
00c0   00 ab 4d 26 20 8a e1 4a 79 be 3c c8 ac 67 66 3a  ..M& ..Jy.<..gf:
00d0   fc de 61 ed 2e f1 24 29 21 05 9d fb 39 3d 93 fe  ..a...$)!...9=..
00e0   e7 bb da cb 46 c7 16 63 4c 4e 4f c4 1b 23 c4 18  ....F..cLNO..#..
00f0   e7 f2 cb b3 21 49 ae 59 81 4b ba 52 16 27 90 37  ....!I.Y.K.R.'.7
0100   26 22 4c 29 cf 09 f3 f5 cf c9 e8 0a 39 74 91 70  &"L)........9t.p
0110   73 16 5d d5 d6 e0 de 39 b9 d1 b2 ab b6 23 45 1c  s.]....9.....#E.
0120   93 10 0d 65 5f 64 f6 b2 8a 6d 67 bb 40 5e d4 16  ...e_d...mg.@^..
0130   eb                                               .

----- 解密后的数据包部分 -----

Offset      0  1  2  3  4  5  6  7   8  9 10 11 12 13 14 15

       0   85 01 05 00 00 00 D1 07  05 14 00 00 00 44 7E DD   ?....?.....D~?
      16   DF 38 8C 13 36 98 72 6C  F9 54 8B 44 DC A1 A3 80   ??6榬l鵗婦堋
      32   2A 14 00 00 00 19 CE AA  59 58 CF 32 AB 8B 1E F2   *.....为YX?珛.?
      48   EF 15 06 71 05 3A B2 03  5F 00 10 09 0A 00 00 00   ?.q.:?_.......
      64   00 00 00 00 00 0A 00 00  00 00 10 00 00 00 30 30   ..............00
      80   31 44 37 44 33 42 37 30  32 34 30 30 30 30 C0 A8   1D7D3B70240000括
      96   00 6F 2B 01 00 00 00 04  00 00 00 00 04 04 04 04   .o+.............

----------------------------------------------

另外一次测试同样的资源,从最开始下载

----- 搜索资源请求消息 -----
      
0000   00 1c f0 81 a4 46 00 1d 7d 3b 70 24 08 00 45 00  .....F..};p$..E.
0010   01 23 67 65 40 00 40 06 af 48 c0 a8 00 6f 3a 3d  .#ge@.@..H...o:=
0020   27 d3 0a 75 00 50 04 6f 96 17 2e 8e 5d 51 50 18  '..u.P.o....]QP.
0030   ff ff 24 3d 00 00 50 4f 53 54 20 2f 20 48 54 54  ..$=..POST / HTT
0040   50 2f 31 2e 31 0d 0a 48 6f 73 74 3a 20 35 38 2e  P/1.1..Host: 58.
0050   36 31 2e 33 39 2e 32 31 31 3a 38 30 0d 0a 43 6f  61.39.211:80..Co
0060   6e 74 65 6e 74 2d 74 79 70 65 3a 20 61 70 70 6c  ntent-type: appl
0070   69 63 61 74 69 6f 6e 2f 6f 63 74 65 74 2d 73 74  ication/octet-st
0080   72 65 61 6d 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65  ream..Content-Le
0090   6e 67 74 68 3a 20 31 32 34 0d 0a 43 6f 6e 6e 65  ngth: 124..Conne
00a0   63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 76  ction: Keep-Aliv
00b0   65 0d 0a 0d 0a 34 00 00 00 54 00 00 00 70 00 00  e....4...T...p..
00c0   00 3f 1f 76 18 d1 30 8e 79 ff 03 bc c1 b1 30 71  .?.v..0.y.....0q
00d0   c6 79 a5 57 5b 70 a6 f3 bf 04 49 36 4d 6d ff e3  .y.W[p....I6Mm..
00e0   bc df b4 2d 55 4a 2a 78 ef 8a 64 49 13 9d 29 3d  ...-UJ*x..dI..)=
00f0   6f e7 5d 64 f8 a5 20 fa 6f 49 84 53 cd 07 fe df  o.]d.. .oI.S....
0100   fa 4c 06 a7 a6 82 17 f5 fb 93 fb 41 17 01 53 14  .L.........A..S.
0110   cb b2 c4 88 a2 23 4d 08 fd fa c6 b6 a6 9c 50 6c  .....#M.......Pl
0120   db 28 2f 3e 32 95 e8 8f 4a fb 09 ef 92 d5 8b 7e  .(/>2...J......~
0130   da                                               .

----- 解密后的数据包部分 -----

Offset      0  1  2  3  4  5  6  7   8  9 10 11 12 13 14 15

       0   85 01 05 00 00 00 D1 07  05 14 00 00 00 44 7E DD   ?....?.....D~?
      16   DF 38 8C 13 36 98 72 6C  F9 54 8B 44 DC A1 A3 80   ??6榬l鵗婦堋
      32   2A 14 00 00 00 19 CE AA  59 58 CF 32 AB 8B 1E F2   *.....为YX?珛.?
      48   EF 15 06 71 05 3A B2 03  5F 00 10 09 0A 00 00 00   ?.q.:?_.......
      64   00 00 00 00 00 0A 00 00  00 00 10 00 00 00 30 30   ..............00
      80   31 44 37 44 33 42 37 30  32 34 30 30 30 30 C0 A8   1D7D3B70240000括
      96   00 6F 2B 01 00 00 00 04  00 00 00 00 04 04 04 04   .o+.............
      

    ===> 
    
    这一次我们可以发现解密后的数据包是完全一致的。因此,基本可以断定从开始下载与之前有过下载的搜索资源请求消息是不同的。
    
    ===>
    
    这里对资源请求包做一个初步的分析:
    
    1,其中的 001D7D3B70240000 应该是和主机相关的一个 HASH 值(因为发现在我本机上所有的请求消息都是一致),但是如何计算的,还不是太清楚;
    
    Offset      0  1  2  3  4  5  6  7   8  9 10 11 12 13 14 15

      64                                  10 00 00 00 30 30             ....00
      80   31 44 37 44 33 42 37 30  32 34 30 30 30 30         1D7D3B70240000
    
    2,最前面的 6 个字节(85 01 05 00 00 00)基本都很一致;
    
    3,其中有两串应该是 SHA1 的 HASH 串:
    
    Offset      0  1  2  3  4  5  6  7   8  9 10 11 12 13 14 15

       0                               14 00 00 00 44 7E DD            ....D~?
      16   DF 38 8C 13 36 98 72 6C  F9 54 8B 44 DC A1 A3 80   ??6榬l鵗婦堋
      32   2A                                                 *
      
    Offset      0  1  2  3  4  5  6  7   8  9 10 11 12 13 14 15

      32      14 00 00 00 19 CE AA  59 58 CF 32 AB 8B 1E F2    .....为YX?珛.?
      48   EF 15 06 71 05 3A B2 03  5F                        ?.q.:?_
      
      前面的 14 00 00 00 都是表示 SHA1 的长度;

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 0
支持
分享
最新回复 (1)
loveas
雪    币: 53
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
我这里测试的是 emule 的 ed2k 的连接的,

想问一下,是否说的那 24 = 20 + 4 个字节的确为 SHA1 计算的 HASH 值呢?如果是,又是根据哪些数据来 HASH 的呢?
2009-6-23 15:40
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//