NetXray使用说明之(6)----捕捉oicq message报文

原创 2001年05月29日 11:56:00

scz 于 00-5-9 下午 12:17:39 加贴在 灌水乐园

标题:NetXray使用说明之(6)----捕捉oicq message报文

NetXray发包前可以在decode状态下编辑,sniffer pro 2.6却不象NetXray那样
善解人意,只能进行二进制编辑。sniffer pro的Add Pattern里的TAB键极其混
帐,并且这里也不提供decode支持。始终不能理解这些地方。不过破解版的
NetXray在decode时有些地方对不准,菜单window也不时失灵。

暂略(回头补吧,没时间了)

今天讲讲oicq message报文的捕捉。

1. 首先设置进行IP/UDP报文过滤,IP/TCP暂时就不必了,因为oicq message报文多
   是IP/UDP报文,我还没有看到过IP/TCP,应该是没有的。

2. 根据需要在Address/IP Include里设置通信双方的IP,假设我们需要捕获所有与
   本机oicq.exe通信的oicq message报文,设置成 myIp <----> Any

3. 进入Data Pattern设置页,用<< NetXray使用说明之(2) >>里的办法指定
   ( ( srcPort == 4000 ) && ( dstPort != 8000 ) )
   ||
   ( ( srcPort != 8000 ) && ( dstPort == 4000 ) )

   第一条的意思是本机向别人发消息,第二条是别人向本机发消息,之所以排除掉
   8000,你可以进入oicq chat room看看此时涉及的端口。那么为什么不指定两头
   都是4000呢,因为如果过了透明网关之类的,UDP RELAY的时候会改变源端口,
   一般都不会是4000了。反过来,如果你发现一个入包的源端口不是4000,他/她应
   该在类似sygate的代理后面。不过此时UDP DATA PIPE已经建立,即使他/她在
   sygate后面,还是可以利用刚才抓到的IP/PORT和他/她通信,意味着很多事情都
   可能发生。

   这里假设都通过oicq.exe通信,如果用自己写的程序与oicq.exe通信,源端口不
   必非是4000,可以任意指定。

4. 算了,还是详细说说条目3中高级过滤规则的指定

   a. 用Toggle AND/OR把最上层调成OR
   b. 选中OR,然后Add AND/OR增加两个上去,分别用Toggle AND/OR调成AND
   c. 选中第一个AND,然后Add Pattern,选中增加的Pattern,选择
      Packet 34 2 Hex,从1开始输入 0F A0,就是0x0fa0的意思,
      srcPort == 4000
   d. 选中第一个AND,然后Add NOT,选中增加的NOT,用Toggle NOT确认已经调成
      NOT,选中NOT,然后Add Pattern,选中增加的Pattern,选择
      Packet 36 2 Hex,从1开始输入 1F 40,就是0x1f40的意思,
      dstPort != 8000
   e. 选中第二个AND,重复"类似"c、d的步骤,分别指定srcPort != 8000以及
      dstPort == 4000
   f. 选中最上层的OR,看看summary,是否符合你预想的逻辑表达式,如果不符合,
      继续调整,直至正确。

虽然这里是针对oicq.exe设置高级过滤规则,但这是一个很完整而又略显复杂的设置
说明,对<< NetXray使用说明之(2) >>是个很好的补充。

公开OICQ所有通讯协议

公开OICQ所有通讯协议 作者:腾讯发布日期:2002-3-2上传日期:2002-3-10来源:OICQ服务器 OICQ服务器系统通讯协议 协议说明: 协议由报文头(T)+发送者(T)+接收者(T)+...
  • benlee
  • benlee
  • 2004年09月20日 08:48
  • 767

【以太网数据包】OICQ数据包(QQ)

【以太网数据结构】系列文章链接 http://blog.csdn.net/u012819339/article/category/5849175OICQ数据包格式协议字段解释: 标识:固定为0x...
  • u012819339
  • u012819339
  • 2015年12月21日 20:22
  • 2642

BGP的NOTIFICATION报文格式 from RFC1771

NOTIFICATION Message Format A NOTIFICATION message is sent when an error condition is detected. The ...
  • reds
  • reds
  • 2004年11月10日 13:26
  • 1923

请求报文(request message)

1、http报文,不是豹纹,老让我们幻想。 2、http报文,又可分为http请求报文,http响应报文...
  • cadi2011
  • cadi2011
  • 2016年03月14日 21:54
  • 758

Linux进程通信总结(一)--序

序     linux下的进程通信手段基本上是从Unix平台上的进程通信手段继承而来的。而对Unix发展做出重大贡献的两大主力AT&T的贝尔实验室及BSD(加州大学伯克利分校的伯克利软件发布中心)在...
  • jemofh159
  • jemofh159
  • 2012年04月20日 16:08
  • 437

Linux进程间通信之信号量(semaphore)、消息队列(Message Queue)和共享内存(Share Memory)

System V 进程通信方式:信号量(semaphore)、消息队列(Message Queue)和共享内存(Share Memory)   信号量 信号量(semaphore)实际是一个整数...
  • pp0xx0ww0
  • pp0xx0ww0
  • 2013年03月21日 15:59
  • 2192

QQ协议分析及还原

最初,QQ通信协议并没有加密,而是直接采取明文的方式进行传输,到了后来才使用了加密传输,加密算法一直没有变过,使用的是blowfish算法,但是密钥的交换协议变得比较频繁。其实TX也是被逼的,现在的互...
  • qinggebuyao
  • qinggebuyao
  • 2012年07月31日 15:24
  • 49199

linux 的 grep 命令 和 ngrep 命令

基本 grep 使用 [root@www ~]# grep [-acinv] [--color=auto] '搜寻字符串' filename 选项与参数: -a :将 binary 文件以 text ...
  • freeking101
  • freeking101
  • 2016年11月25日 19:28
  • 370

捕捉键盘Message

public class MyMainForm : System.Windows.Forms.Form, IMessageFilter  {       const int WM_KEYDOWN = ...
  • meixiaofeng
  • meixiaofeng
  • 2006年01月18日 10:17
  • 575

Fiddler Web Debugger查看Http报文信息使用说明

 1. 下载fiddler4setup.1399271701.exe安装 2. 运行Fiddler,打开IE浏览器请求a.html文件 (a) 观察到左边显示框第4行执行获取a....
  • unytech2012
  • unytech2012
  • 2014年08月02日 22:04
  • 1610
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:NetXray使用说明之(6)----捕捉oicq message报文
举报原因:
原因补充:

(最多只允许输入30个字)