每次进行前都清除了注册表中的两个项 user 跟mechine里面的skype
另外清除 C:/Documents and Settings/xxxxx/Application Data/Skype下的数据 ,目的就是为了找出skype是怎么跟外部进行第一次的交互的
通过捕获的五次数据如下
共进行了五次
==>fc 50 02 00 ed 06 95 18 67 7f 17 e2 ac fe 59 f0 3a ea 64 30 f2 78 4c 70 9a ac
<==fc 50 47 db 85 c5 d5 97 eb ac dc
==>88 2e 02 e3 cf c1 23 16 8f 81 ea 85 c1 1f 8b d1 52 e0 0d 5b 33
<==88 2e 57 db 85 c5 d5 be 9e 1b c8
==>01 e3 02 97 66 ad 20 ae 11 4a b1 3d 0e 92 e6 1c 46 4e 53 a3 a5 f7 d9 67 79 32 f7 14 4a ee a4 3c 6c
<==01 e3 67 db 85 c5 d5 f0 f7 23 1a
==>f4 19 02 89 73 5b c6 2d 2c 36 30 7b 5c 40 e0 0e 8e 13 fc 06 e7 a7 f6 2d
<==f4 19 17 db 85 c5 d5 21 f9 e9 45
==>3d 23 02 de 83 aa 60 3b 42 54 b6 7b c7 1a b8 f7 df 4d df 1a 74
<==3d 23 67 db 85 c5 d5 f5 32 fd f2
数据有一定规律,但是分析不出来,有效的资料就一句话“为了有效地将skype呼叫和及时消息进行加密,skype使用1536 到 2048位RAS 获取一个AES密钥,用户的公共密钥在登陆时被skype服务器鉴定。”
上面每次的抓包前都将数据清除了,但是却发现每次使用的跟外界联系的ip并不一样,这个说明,在skype网络上
有一台或多台超级接点是特殊的超级接点,这些超级接点很可能是在skype程序包内内含的,传出的数据规律性不大
唯一就是前三个字节相同,第三个字节每次都相同,(是版本号吗?不能肯定,我使用的是2.5的版本)
前两个字节跟后面回应的两个字节相同
注意回应的资料长度都一样,而且第三个字节的后半都是"7"这个意味着什么?接着 “db 85 c5 d5”相同,代表着
什么意义,后面四个字节不同。
发送的字节长度每次不一样,说明skype加入了随机算法机制,而且在后面写的一个udp的发送数据的程序,模拟
skype发送一样的数据报,但是被目标机器拒绝了,说明这个串有自校验机制,是什么不知道
有心的朋友跟接着分析一下,QQ 19608091可以相互讨论
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
