特征碼查找教程

1、環(huán)境配置:VMware securecrt&securefx 6.5securecrt&securefx 6.5 破解方法： 將附帶的破解補丁復制到你的安裝目錄中,SoftwareClie nts然后雙擊特征碼教程點擊 patch 按鈕即可 抓包工具：Wireshark先下個 wireshark 抓包工具，安裝，運行點擊第二個：realtek 10/100/1000 ethernet nic 進入抓包界面比如我的是 C:Program FilesVanDykeSecurCKT 5.1 build410heygen. rae SecurCRT-kg No dole1選擇 capture 選項下有

2、 start 和 stop 來控制抓包開始和結(jié)束。在 fileter 欄里可以填 一些選擇顯示包的條件，比如 http，則下面會顯示出所有的 http，tcp 樣。Tcp 和 udp 簡單介紹在介紹特征碼之前，先要熟悉一下 tcp 和 udp 這兩種常用的協(xié)議。我們用 wireshark 抓包來分析他們的具體結(jié)構(gòu)。Tcp：Tcp 是可靠連接通過 3 次握手來建立連接上面的圖很清楚，是兩個 ip 間的 3 次 tcp 通信，當然要知道他們是不是建立連接 還需要查看包的內(nèi)容。第一個 tcp 包：E TransrlssIon cortro I Pr3toco I, src Port: avocm -

3、adsap source port: avocenr-adsap3蠱71)DesTirTion pcrr: http (50)stream Index: 0Sequence number ! 0at-! vc sequence nurrbr)Header length; 26 bytesS Flags: 0X02 (SYM) ttirdow 12：5535+ Checksun:07 vs 1idaticr disabled.+ Optnors : (S bytes)簡單介紹一下 tcp 包頭的內(nèi)容：Source port源端口Destia nati on port:目的端口Sequenee n

4、umbet序歹 U 號Header length：頭長度Flags：標記位，占 8bit 位0. . =congest! an indo Reduced (C?;R) : Not ser.0.- ECM-Echo: Nat set.0. = urgent: wot ser0 =A匚knowl edgement: Not set4 - Push; Not set.0. = Reset: NDt set+. 1. = 5yrr: Set.0 = Fin; Not set經(jīng)常用的位就是 ack 位，syn 位和 fin 位。當 ack=0，syn=1 時，這就是一個請求 包，很顯然這是一個請求包。W

5、in dow size:窗口值Checksum：檢驗和Optio ns：選項 第二個 tcp 包:n IrartsW1551 gn teraroi fT9fC0CQPpsre perv: rrrp鬲口打wsrETU-agsap t須 打Up -aetc：if Ltn：U IEouircie pori: hrtp (SO) EesrlnGiiton pore: avocerr-iadsap C3fiDStreaT indeN: 0 (reinnsiumber)AclknowlcigiT tnt Bfllxair; 1 (rUtiv ar&k nuribtrlHMer lrgth；2& bytes

6、| F aqs : 0X12 (SYN5ACKwlindm：st ze: 54oULthecks-Lffl!：validation di-5.abedlj|LLopt ions ? a byre這是建立連接時的第二個 tcp 包，flags 位 ack=1，syn=1 代表這是一個應答包。 Ack確認號為 1 代表收到了序號為 0 的包，期望收到下一個包的序號為1。第三個 tcp 包：P 1 V 41FUIII ；二I Virii W I V 6e.l. 3BUDPsnurcepore :dragonri Desrlfuilaft rBoor 12.2AI2.1U.1. IS111.MJ- 4

7、9W汕Wpurt.112和at I uir口住L：BWB 2J.561984192, 1E-B 1, 19UDPSourceport;netndc EJestinatiOHport：iOdft沖丄1。.lfel.1.胡LDPS-OUfED pdf t iDfi&t-i-on partsno并$60010URPpert;wr 2 Ovst irifltBD1X 23u5tD12Dj. y丄五息-丄.j 9JL2 J j. 5 J. U 4-B93UDI?匚Epor匚：til拓eserww-N iMstlnaElcR01J 27 r勺樂tn亂9l?i.Hl 1-14 9MO

8、P$i)urCfpn-fT r2v* -?ET* ri pTJ WCLl JZ.TiCrDZIO192.1DA. Lr125.111,1+*.95UDPSourceport;adobraerver - z Destlr i dHtoeMFwr-2DestirMthBO1A牯丄bMMJUJu 11.144.9*laDFSrDLlfC port:SO152JD-1T1.1W.14S6LOTsourrep&rr:alra-irinarlofSO丄總92B1EA. 1. IB22DJ171.丄自7.丄!右UDPLJLrLEpul c.L1S0& L-eilll at 1 -Hl! uCb L：llD.

9、lFSJ.il?1E.R IBUDPSQUfCff p廳你EiDe-tliwtlwi pert;SOU 22.567UK102.1Ei3.1.3SHD.u口口SnurEQpesrt:U5DD Csst ivut fan par t:10】 奇22山汁畀ortTk. r-i uuu-in m 4 c-a i -a a MH T- -3 I J=T Jorti-upmc:nccrat: DKClwulwi part:：4 I Crtrt彳n r n-JT.r npps 傳輸數(shù)據(jù)用的是 udp 協(xié)議。抓到的每一個包的內(nèi)容如下：n Frjw B011 U沖冃(GO；6 5；tC：391用Protoco

10、l. 5r C：. DST：3 (123.1 jl* 141.93Jitl：i5er laragrai rofor&l. src Pcrr : artnbesver-Z 110 0,DTporT : f(；4iZ2)bl Oata (5其中有 ip 頭，udp 包頭，和 payload 數(shù)據(jù)字段，也就是 data 字段。我們要找的特 征碼也就是在 data 字段。 通過多個包比較我們就可以統(tǒng)計出特征碼。 比如通過 查看 5 個 udp包的 data 字段為：35bytes 1f00430000d200c69680ffffffff56866f43362f6df3017f

11、f6fbeaecfc02ab9a3275801f00430000d200c69680ffffffff56866f43362f6df3017ff6fbeaecfc02ab9a3275801f00430000d200c69680ffffffff56866f43362f6df3017ff6fbeaecfc02ab9a32758079bytes4F00433271FF00000000001456866F43362F6DF3017FF6FB.133bytes8100430000820056866f43362f6df3017ff6fbeaecfc02ab9a32750002010000000b006401

12、0c000。從上面的 16 進制的包中可以發(fā)現(xiàn)他們都有共同的特征0043,那么 0043 就可以作為pps的特征碼的一部分。 通過深入的查找還可以發(fā)現(xiàn)其實前兩個字節(jié)也是有 規(guī)律的，那就是35=1*16+f+479=4*16+f+4133=8*16+1+4那么這也就是 pps 的特征碼的一部分。再往下看我們發(fā)現(xiàn)長度大于 256 的包，和上面的特征不符，他的包為：11235f04430000d9004cea84feffffffff1100000056866f43362f6df3017ff6fbeaecfc02ab9a32750。10612104430000A200010BAAA67FFFFFFFF

13、F3E000000030000C8很顯然 1123！ =5*16+f+41061！ =2*16+1+4 通過比較發(fā)現(xiàn)1123=5*16+F+4*256+4 106 仁 2*16+1+4*256+4而之前統(tǒng)計的包也完全符合這樣的規(guī)律，比如 35=1*16+f+4+0*256所以更加準確的特征碼應該是 len=payload0+payload1*256+4.綜上所述：我們找到的一條 pps 的特征碼為：len=payload0+payload1*256+4&payload2=43&payload3=00當然對于攜帶數(shù)據(jù)的 tcp 包也可以采用同樣的方法進行查找特征碼。http：對于 payload

14、 字段是 http 包的協(xié)議，我們的協(xié)議判別方法有很多種。首先讓我們來學習一下 http 包的結(jié)構(gòu)：還是通過實例抓包來學習：1)一種最簡單的識別方法就是通過關(guān)鍵字來識別：如下一個包：3 Hypertext Transfer ProtocolGET /vod/.Host: pl,ppsA匚cepr:,nuser -Agent: PPEtream-cl1.0r nr把每一行稱為一個字段的值。Get 字段值是用來傳送請求的。Host字段表示的是服務器的地址。 從中我們看到有pps， 于是判定host字段值為 pl.pps.tv的包是 pps 協(xié)議的包。User-age nt 字段表示的是用戶代理。從

15、中我們看到用戶代理是 ppstream-clie nt,很 顯然這是一個 pps 的客戶端，于是判定 user-age nt 字段值為 ppstream-clie nt 的包 是 pps協(xié)議的包。2)通過 http 特征序列來判斷協(xié)議通過 http 特征序列來判斷協(xié)議的前提是你已經(jīng)知道了這個包是屬于哪個協(xié)議。我們抓的包如下：- Hyper text Transfer PirOLOCol圧GETGet File HTTP 1,1 rnAccept: w/QrnX-VER5I0H：lr ,nX-5RCU5EFITYPE : 1 rnX-SRCUIN: 409378fi7 rxrtX-D5TUIN;

16、 45740557r ,nX-D5TU5ERTYPE: lrnX-IHAGETYPE: 1X-SIGNSTRING: 67151A09A2 5FD3AC34De0AD6 5B0 r nUser-Agent: bczl Ha 4.0 (compat ibl e; MSIE 6* 0; /；indowsNT5. nHost: 183* 60.13- 212 ,r rPragma：rro亡ach& r nr n我發(fā)現(xiàn)了 x-srcuin： 409037887，這是我的 qq 號碼，于是我知道這個http 包是qq 協(xié)議的包。但是我不能把 409037887 作為特征碼，因為這是個具體的號碼而 不具有

17、抽象性，他會經(jīng)常的變化。那么應該怎么樣來判斷這個包屬于qq 協(xié)議呢？這就用到了 http 序列。通過多個包的比較你就會發(fā)現(xiàn)，只有qq 會用這樣的 http序列：get/accept/x-versio/x-srcusertype/x-srcui n/x-dstui n/x-dstusertype/x-imagetype/xsignsr in g/x-filehash/user-age nt/host/pragma于是我們就可以將這樣的序列作為qq 協(xié)議的一個特征碼。3)迅雷偽裝 ie 下載我們先抓取迅雷下載的一個 http 包已旳單曰“底TfiilSTer PT01X01lx GE-ge? -i

18、 FT err ac1 rrest anp-i z = 11515923HTTP. 1,1 r nAccept:h皿切哼汕孵；”心r nRefer er二hrtp；L. -deslTcgp. php r.niSLCcepi-Efi匚dEHng: gjlp.日殳flNT赳In_Hat 1102.1-66 1.201 r ncwnec-ian；Keep-Ally r nCoak-電:ZDEDebugEfFrs舁rt|rbprIphrni php3 PHPSE551CHdirfictipOgr 1S6昌4廿JJV99用Cr r -rWIT很顯然我們無法通過關(guān)鍵字得知這個包是不是迅雷下載的包還只是普通

19、的網(wǎng)頁 流浪。之所以把他稱為偽 ie 是因為迅雷的用戶代理也就是 user-age nt 字段是 ie 的標志，可以從包中看出是 msie6.0。像這種情況，我們當然可以通過上述的http 序列來判斷。通過仔細的統(tǒng)計比較，你會發(fā)現(xiàn)，迅雷的user-age nt 字段和 ie 還是有所區(qū)別的。迅雷的 user-age nt 字段經(jīng)常為：User-Age nt: Mozilla/4.0 (compatible; MSIE 6.0; Win dows NT 5.1; SV1; .NET CLR1.1.4322; .NET CLR 2.0.50727)Ie 的 user-age nt 字段經(jīng)常為：Us

20、er-Age nt: Mozilla/4.0 (compatible; MSIE 6.0; Win dows NT 5.1; SV1; Mozilla/4.0(compatible; MSIE 6.0; Win dows NT 5.1; SV1) ; .NET CLR 2.0.50727; I nfoPath.2) 這樣我們也可以把迅雷的 user-age nt 字段值作為特征碼。通過以上三種特征碼的查找方法，基本上已經(jīng)可以找出大部分協(xié)議的特征碼。m玄酣一Jigemt畫從0刼、1孔出& 址厲沖月玳利電；釉5【|：& D;IMT乩丄；當血1118,0迂時從刃區(qū)匕0; irirxn時 乩丄；斜但還

21、有一些包不是那么容易識別，這樣我們就需要對多個連接包來進行分析識 別。2 行為分析識別例如迅雷下載，倘若采用 udp 協(xié)議進行下載，則本地軟件會采用相同端口多ip進行下載，通過抓包我們可以發(fā)現(xiàn)這些。5 是我本地機器的 ip，對于不同的 ip 38 和 3 卻采用相同的端口進行通信，據(jù)此可以判定他們其實是相同協(xié)議的包，當然僅憑此還不能判定他就是 p2p 下載，要判定其為 p2p 下載還需要對其連接數(shù)和流量 進行統(tǒng)計。如果迅雷采用tcp協(xié)議進行下載，為了加速下載，他會采用相同 ip 多端口進行下 載。a mr. -41 sfis

22、- re*if kun.- g gjh耳 wrf .JT 一一/ 一亠從上圖中，你可能會誤以為，5 和 0 只是一個連接，其實 不然，他們是 5 個連接，有 5 個不同的端口。因此我們也可以把 get 字段子相同， ip 地址相同，但端口號不同作為判斷迅雷協(xié)議的一個特征。在分析特征碼時，分析比較是非常重要的，比如我們分析迅雷協(xié)議，先要比較迅 雷的包來找共同點，然后還要和其他的 http 包相比較來找不同點，這樣找出來的 才能算是準確的特征碼，否則很可能和其他的包相混淆。程序模塊的更新相關(guān)程序：在協(xié)議文件中添加你所找到的特征碼在 ipq_main.c 中添加 匹配流程更新 ipq_protocols_osdpi.h, ipq_protocols.h, Makefile11 IVLtisJ lkHI IPcomnuaxi an ar ngn-Hi iPiramc192.35211.二W 62.50HTTPGET down；QQ?QlQ5Pl.Z1 P HTTP/1, 1192.L6S-1.3521L-L62_fi2. 50HTTPGLT/dawnqqSOlOsp