尝试netzob(协议逆向)(二)

最新推荐文章于 2024-08-15 09:28:12 发布
最新推荐文章于 2024-08-15 09:28:12 发布
阅读量837 收藏 2
点赞数 4
分类专栏: 未知协议逆向 文章标签: ubuntu 网络协议 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46113775/article/details/129712424
版权

一、创建Symbol对象构建协议symbol

Symbol对象是Netzob协议模型的一个主要组成部分。它代表了从协议的角度来看所有相同类型的消息的抽象。从协议的角度来看,一个Symbol代表了同一类型的所有消息的抽象。符号结构由字段组成。

symbol = Symbol(messages=messages)
# print(symbol.str_data())
# 如下为输出结果
Field                                                
-----------------------------------------------------
'CMDidentify#\x07\x00\x00\x00Roberto'                
'RESidentify#\x00\x00\x00\x00\x00\x00\x00\x00'       
'CMDinfo#\x00\x00\x00\x00'                           
'RESinfo#\x00\x00\x00\x00\x04\x00\x00\x00info'       
'CMDstats#\x00\x00\x00\x00'                          
'RESstats#\x00\x00\x00\x00\x05\x00\x00\x00stats'     
'CMDauthentify#\n\x00\x00\x00aStrongPwd'             
'RESauthentify#\x00\x00\x00\x00\x00\x00\x00\x00'     
'CMDencrypt#\x06\x00\x00\x00abcdef'                  
"RESencrypt#\x00\x00\x00\x00\x06\x00\x00\x00$ !&'$"  
"CMDdecrypt#\x06\x00\x00\x00$ !&'$"                  
'RESdecrypt#\x00\x00\x00\x00\x06\x00\x00\x00abcdef'  
'CMDbye#\x00\x00\x00\x00'                            
'RESbye#\x00\x00\x00\x00\x00\x00\x00\x00'            
'CMDidentify#\x04\x00\x00\x00fred'                   
'RESidentify#\x00\x00\x00\x00\x00\x00\x00\x00'       
'CMDinfo#\x00\x00\x00\x00'                           
'RESinfo#\x00\x00\x00\x00\x04\x00\x00\x00info'       
'CMDstats#\x00\x00\x00\x00'                          
'RESstats#\x00\x00\x00\x00\x05\x00\x00\x00stats'     
'CMDauthentify#\t\x00\x00\x00myPasswd!'              
'RESauthentify#\x00\x00\x00\x00\x00\x00\x00\x00'     
'CMDencrypt#\n\x00\x00\x00123456test'                
"RESencrypt#\x00\x00\x00\x00\n\x00\x00\x00spqvwt6'16"
"CMDdecrypt#\n\x00\x00\x00spqvwt6'16"                
'RESdecrypt#\x00\x00\x00\x00\n\x00\x00\x00123456test'
'CMDbye#\x00\x00\x00\x00'                            
'RESbye#\x00\x00\x00\x00\x00\x00\x00\x00'            
-----------------------------------------------------

可以看到这些messages都由一个类似于指令的东西,加“#”,再跟上一些值。这便是一次初步的处理。

二、使用分隔符对上述信息再做处理

显而易见上述messages的类似于键值对的东西是用#来区分“键”和“值”的。由此我们可以使用netzob自带的Format.splitDelimiter函数对其进行处理。api文档对其的介绍是:

>>> from netzob.all import *
>>> import binascii
>>> samples = [b"434d446964656e74696679230400000066726564", b"5245536964656e74696679230000000000000000", b"434d44696e666f2300000000", b"524553696e666f230000000004000000696e666f", b"434d4473746174732300000000", b"52455373746174732300000000050000007374617473", b"434d4461757468656e7469667923090000006d7950617373776421", b"52455361757468656e74696679230000000000000000"]           
>>> print(len(samples))
8
>>> symbol = Symbol(messages=[RawMessage(binascii.unhexlify(sample)) for sample in samples])
>>> symbol.encodingFunctions.add(TypeEncodingFunction(HexaString))
>>> Format.splitDelimiter(symbol, String('#'))
>>> print(symbol.str_data())
Field-0                      | Field-sep-23 | Field-2                     
---------------------------- | ------------ | ----------------------------
'434d446964656e74696679'     | '#'          | '0400000066726564'          
'5245536964656e74696679'     | '#'          | '0000000000000000'          
'434d44696e666f'             | '#'          | '00000000'                  
'524553696e666f'             | '#'          | '0000000004000000696e666f'  
'434d447374617473'           | '#'          | '00000000'                  
'5245537374617473'           | '#'          | '00000000050000007374617473'
'434d4461757468656e74696679' | '#'          | '090000006d7950617373776421'
'52455361757468656e74696679' | '#'          | '0000000000000000'          
---------------------------- | ------------ | ----------------------------

由此,我们便可以使用如下代码对其划分,并进行展示:

Format.splitDelimiter(symbol, String("#"))
print(symbol.str_data())
print(symbol.str_structure()) # 这种方法是使用树状的结构进行统计展示

其输出如下所示:

Field-0         | Field-sep-23 | Field-2                                   
--------------- | ------------ | ------------------------------------------
'CMDidentify'   | '#'          | '\x07\x00\x00\x00Roberto'                 
'RESidentify'   | '#'          | '\x00\x00\x00\x00\x00\x00\x00\x00'        
'CMDinfo'       | '#'          | '\x00\x00\x00\x00'                        
'RESinfo'       | '#'          | '\x00\x00\x00\x00\x04\x00\x00\x00info'    
'CMDstats'      | '#'          | '\x00\x00\x00\x00'                        
'RESstats'      | '#'          | '\x00\x00\x00\x00\x05\x00\x00\x00stats'   
'CMDauthentify' | '#'          | '\n\x00\x00\x00aStrongPwd'                
'RESauthentify' | '#'          | '\x00\x00\x00\x00\x00\x00\x00\x00'        
'CMDencrypt'    | '#'          | '\x06\x00\x00\x00abcdef'                  
'RESencrypt'    | '#'          | "\x00\x00\x00\x00\x06\x00\x00\x00$ !&'$"  
'CMDdecrypt'    | '#'          | "\x06\x00\x00\x00$ !&'$"                  
'RESdecrypt'    | '#'          | '\x00\x00\x00\x00\x06\x00\x00\x00abcdef'  
'CMDbye'        | '#'          | '\x00\x00\x00\x00'                        
'RESbye'        | '#'          | '\x00\x00\x00\x00\x00\x00\x00\x00'        
'CMDidentify'   | '#'          | '\x04\x00\x00\x00fred'                    
'RESidentify'   | '#'          | '\x00\x00\x00\x00\x00\x00\x00\x00'        
'CMDinfo'       | '#'          | '\x00\x00\x00\x00'                        
'RESinfo'       | '#'          | '\x00\x00\x00\x00\x04\x00\x00\x00info'    
'CMDstats'      | '#'          | '\x00\x00\x00\x00'                        
'RESstats'      | '#'          | '\x00\x00\x00\x00\x05\x00\x00\x00stats'   
'CMDauthentify' | '#'          | '\t\x00\x00\x00myPasswd!'                 
'RESauthentify' | '#'          | '\x00\x00\x00\x00\x00\x00\x00\x00'        
'CMDencrypt'    | '#'          | '\n\x00\x00\x00123456test'                
'RESencrypt'    | '#'          | "\x00\x00\x00\x00\n\x00\x00\x00spqvwt6'16"
'CMDdecrypt'    | '#'          | "\n\x00\x00\x00spqvwt6'16"                
'RESdecrypt'    | '#'          | '\x00\x00\x00\x00\n\x00\x00\x00123456test'
'CMDbye'        | '#'          | '\x00\x00\x00\x00'                        
'RESbye'        | '#'          | '\x00\x00\x00\x00\x00\x00\x00\x00'        
--------------- | ------------ | ------------------------------------------

Symbol
|--  Field-0
     |--   Alt
           |--   Data (Raw(b'CMDidentify'))
           |--   Data (Raw(b'RESidentify'))
           |--   Data (Raw(b'CMDinfo'))
           |--   Data (Raw(b'RESinfo'))
           |--   Data (Raw(b'CMDstats'))
           |--   Data (Raw(b'RESstats'))
           |--   Data (Raw(b'CMDauthentify'))
           |--   Data (Raw(b'RESauthentify'))
           |--   Data (Raw(b'CMDencrypt'))
           |--   Data (Raw(b'RESencrypt'))
           |--   Data (Raw(b'CMDdecrypt'))
           |--   Data (Raw(b'RESdecrypt'))
           |--   Data (Raw(b'CMDbye'))
           |--   Data (Raw(b'RESbye'))
|--  Field-sep-23
     |--   Opt
           |--   Data (String('#'))
|--  Field-2
     |--   Alt
           |--   Data (Raw(b'\x07\x00\x00\x00Roberto'))
           |--   Data (Raw(b'\x00\x00\x00\x00\x00\x00\x00\x00'))
           |--   Data (Raw(b'\x00\x00\x00\x00'))
           |--   Data (Raw(b'\x00\x00\x00\x00\x04\x00\x00\x00info'))
           |--   Data (Raw(b'\x00\x00\x00\x00\x05\x00\x00\x00stats'))
           |--   Data (Raw(b'\n\x00\x00\x00aStrongPwd'))
           |--   Data (Raw(b'\x06\x00\x00\x00abcdef'))
           |--   Data (Raw(b"\x00\x00\x00\x00\x06\x00\x00\x00$ !&'$"))
           |--   Data (Raw(b"\x06\x00\x00\x00$ !&'$"))
           |--   Data (Raw(b'\x00\x00\x00\x00\x06\x00\x00\x00abcdef'))
           |--   Data (Raw(b'\x04\x00\x00\x00fred'))
           |--   Data (Raw(b'\t\x00\x00\x00myPasswd!'))
           |--   Data (Raw(b'\n\x00\x00\x00123456test'))
           |--   Data (Raw(b"\x00\x00\x00\x00\n\x00\x00\x00spqvwt6'16"))
           |--   Data (Raw(b"\n\x00\x00\x00spqvwt6'16"))
           |--   Data (Raw(b'\x00\x00\x00\x00\n\x00\x00\x00123456test'))

三、根据键字段进行聚类

当发现类似于“CMDidentify”这种东西并不唯一时,便可以尝试利用其进行聚类,如下为官方文档的描述:

The first field seems interesting, as it contains some kind of commands (‘CMDencrypt’, ‘CMDidentify’, etc.). Let’s thus cluster the symbol according to the first field:

相关代码如下所示,clusterByKeyField也是Format中的函数,可以选择fields进行聚类

    symbols = Format.clusterByKeyField(symbol, symbol.fields[0])

    print("[+] Number of symbols after clustering: {0}".format(len(symbols)))
    print("[+] Symbol list:")
    for keyFieldName, s in symbols.items():
        print("  * {0}".format(keyFieldName))

其输出如下,由此可以发现,symbols中的内容通过聚类分成了14个簇,每个簇中都有一个类似于指令的uid(eg: CMDidentify)

[+] Number of symbols after clustering: 14
[+] Symbol list:
  * b'CMDidentify'
  * b'RESidentify'
  * b'CMDinfo'
  * b'RESinfo'
  * b'CMDstats'
  * b'RESstats'
  * b'CMDauthentify'
  * b'RESauthentify'
  * b'CMDencrypt'
  * b'RESencrypt'
  * b'CMDdecrypt'
  * b'RESdecrypt'
  * b'CMDbye'
  * b'RESbye'

四、序列对齐

我们发现以上消息的第三个字段具有动态的长度,由此,我们可以依据其进行对齐,从而获知哪些部分是定长字段,哪些地方可以变长。

然后我们同样可以使用Format中的splitAligned函数,使用第三个字段进行对齐,

for keyFieldName, s in symbols.items():
    print("  * {0}".format(keyFieldName))

for symbol in symbols.values():
    Format.splitAligned(symbol.fields[2], doInternalSlick=True)
    print('[+] Partitionned messages:')
    print(symbol.str_data())

输出如下所示

  * b'CMDidentify'
  * b'RESidentify'
  * b'CMDinfo'
  * b'RESinfo'
  * b'CMDstats'
  * b'RESstats'
  * b'CMDauthentify'
  * b'RESauthentify'
  * b'CMDencrypt'
  * b'RESencrypt'
  * b'CMDdecrypt'
  * b'RESdecrypt'
  * b'CMDbye'
  * b'RESbye'

[+] Partitionned messages:
Field-0       | Field-sep-23 | Field00 | Field01        | Field02  
------------- | ------------ | ------- | -------------- | ---------
'CMDidentify' | '#'          | '\x07'  | '\x00\x00\x00' | 'Roberto'
'CMDidentify' | '#'          | '\x04'  | '\x00\x00\x00' | 'fred'   
------------- | ------------ | ------- | -------------- | ---------
[+] Partitionned messages:
Field-0       | Field-sep-23 | Field00                           
------------- | ------------ | ----------------------------------
'RESidentify' | '#'          | '\x00\x00\x00\x00\x00\x00\x00\x00'
'RESidentify' | '#'          | '\x00\x00\x00\x00\x00\x00\x00\x00'
------------- | ------------ | ----------------------------------
[+] Partitionned messages:
Field-0   | Field-sep-23 | Field00           
--------- | ------------ | ------------------
'CMDinfo' | '#'          | '\x00\x00\x00\x00'
'CMDinfo' | '#'          | '\x00\x00\x00\x00'
--------- | ------------ | ------------------
[+] Partitionned messages:
Field-0   | Field-sep-23 | Field00                               
--------- | ------------ | --------------------------------------
'RESinfo' | '#'          | '\x00\x00\x00\x00\x04\x00\x00\x00info'
'RESinfo' | '#'          | '\x00\x00\x00\x00\x04\x00\x00\x00info'
--------- | ------------ | --------------------------------------
[+] Partitionned messages:
Field-0    | Field-sep-23 | Field00           
---------- | ------------ | ------------------
'CMDstats' | '#'          | '\x00\x00\x00\x00'
'CMDstats' | '#'          | '\x00\x00\x00\x00'
---------- | ------------ | ------------------
[+] Partitionned messages:
Field-0    | Field-sep-23 | Field00                                
---------- | ------------ | ---------------------------------------
'RESstats' | '#'          | '\x00\x00\x00\x00\x05\x00\x00\x00stats'
'RESstats' | '#'          | '\x00\x00\x00\x00\x05\x00\x00\x00stats'
---------- | ------------ | ---------------------------------------
[+] Partitionned messages:
Field-0         | Field-sep-23 | Field00 | Field01        | Field02    | Field03 | Field04
--------------- | ------------ | ------- | -------------- | ---------- | ------- | -------
'CMDauthentify' | '#'          | '\n'    | '\x00\x00\x00' | 'aStrongP' | 'wd'    | ''     
'CMDauthentify' | '#'          | '\t'    | '\x00\x00\x00' | 'myPass'   | 'wd'    | '!'    
--------------- | ------------ | ------- | -------------- | ---------- | ------- | -------
[+] Partitionned messages:
Field-0         | Field-sep-23 | Field00                           
--------------- | ------------ | ----------------------------------
'RESauthentify' | '#'          | '\x00\x00\x00\x00\x00\x00\x00\x00'
'RESauthentify' | '#'          | '\x00\x00\x00\x00\x00\x00\x00\x00'
--------------- | ------------ | ----------------------------------
[+] Partitionned messages:
Field-0      | Field-sep-23 | Field00 | Field01        | Field02     
------------ | ------------ | ------- | -------------- | ------------
'CMDencrypt' | '#'          | '\x06'  | '\x00\x00\x00' | 'abcdef'    
'CMDencrypt' | '#'          | '\n'    | '\x00\x00\x00' | '123456test'
------------ | ------------ | ------- | -------------- | ------------
[+] Partitionned messages:
Field-0      | Field-sep-23 | Field00            | Field01 | Field02        | Field03     
------------ | ------------ | ------------------ | ------- | -------------- | ------------
'RESencrypt' | '#'          | '\x00\x00\x00\x00' | '\x06'  | '\x00\x00\x00' | "$ !&'$"    
'RESencrypt' | '#'          | '\x00\x00\x00\x00' | '\n'    | '\x00\x00\x00' | "spqvwt6'16"
------------ | ------------ | ------------------ | ------- | -------------- | ------------
[+] Partitionned messages:
Field-0      | Field-sep-23 | Field00 | Field01        | Field02     
------------ | ------------ | ------- | -------------- | ------------
'CMDdecrypt' | '#'          | '\x06'  | '\x00\x00\x00' | "$ !&'$"    
'CMDdecrypt' | '#'          | '\n'    | '\x00\x00\x00' | "spqvwt6'16"
------------ | ------------ | ------- | -------------- | ------------
[+] Partitionned messages:
Field-0      | Field-sep-23 | Field00            | Field01 | Field02        | Field03     
------------ | ------------ | ------------------ | ------- | -------------- | ------------
'RESdecrypt' | '#'          | '\x00\x00\x00\x00' | '\x06'  | '\x00\x00\x00' | 'abcdef'    
'RESdecrypt' | '#'          | '\x00\x00\x00\x00' | '\n'    | '\x00\x00\x00' | '123456test'
------------ | ------------ | ------------------ | ------- | -------------- | ------------
[+] Partitionned messages:
Field-0  | Field-sep-23 | Field00           
-------- | ------------ | ------------------
'CMDbye' | '#'          | '\x00\x00\x00\x00'
'CMDbye' | '#'          | '\x00\x00\x00\x00'
-------- | ------------ | ------------------
[+] Partitionned messages:
Field-0  | Field-sep-23 | Field00                           
-------- | ------------ | ----------------------------------
'RESbye' | '#'          | '\x00\x00\x00\x00\x00\x00\x00\x00'
'RESbye' | '#'          | '\x00\x00\x00\x00\x00\x00\x00\x00'
-------- | ------------ | ----------------------------------

由此我们可见,例如对于符号“CMDencrypt”,最后一个字段的序列对齐产生的格式中可以观察到被两个变量字段包围的“x00x00x00”静态字段。

------------ | ------------ | ------- | -------------- | ------------
'CMDdecrypt' | '#'          | '\x06'  | '\x00\x00\x00' | "$ !&'$"    
'CMDdecrypt' | '#'          | '\n'    | '\x00\x00\x00' | "spqvwt6'16"
------------ | ------------ | ------- | -------------- | ------------

五、查找每个Symbol中的字段关系

对于每个消息之间的关系。Netzob的API提供了能够确定潜在关系的函数findOnSymbol(),示例代码如下:

for symbol in symbols.values():
    rels = RelationFinder.findOnSymbol(symbol)

    print("[+] Relations found: ")
    for rel in rels:
        print("  " + rel["relation_type"] + ", between '" + rel["x_attribute"] + "' of:")
        print("    " + str('-'.join([f.name for f in rel["x_fields"]])))
        p = [v.getValues()[:] for v in rel["x_fields"]]
        print("    " + str(p))
        print("  " + "and '" + rel["y_attribute"] + "' of:")
        print("    " + str('-'.join([f.name for f in rel["y_fields"]])))
        p = [v.getValues()[:] for v in rel["y_fields"]]
        print("    " + str(p))

输出如下所示:

[+] Relations found: 
  SizeRelation, between 'value' of:
    Field00
    [[b'\x07', b'\x04']]
  and 'size' of:
    Field02
    [[b'Roberto', b'fred']]
[+] Relations found: 
[+] Relations found: 
[+] Relations found: 
[+] Relations found: 
[+] Relations found: 
[+] Relations found: 
  SizeRelation, between 'value' of:
    Field00
    [[b'\n', b'\t']]
  and 'size' of:
    Field02-Field03-Field04
    [[b'aStrongP', b'myPass'], [b'wd', b'wd'], [b'', b'!']]
[+] Relations found: 
[+] Relations found: 
  SizeRelation, between 'value' of:
    Field00
    [[b'\x06', b'\n']]
  and 'size' of:
    Field02
    [[b'abcdef', b'123456test']]
[+] Relations found: 
  SizeRelation, between 'value' of:
    Field01
    [[b'\x06', b'\n']]
  and 'size' of:
    Field03
    [[b"$ !&'$", b"spqvwt6'16"]]
[+] Relations found: 
  SizeRelation, between 'value' of:
    Field00
    [[b'\x06', b'\n']]
  and 'size' of:
    Field02
    [[b"$ !&'$", b"spqvwt6'16"]]
[+] Relations found: 
  SizeRelation, between 'value' of:
    Field01
    [[b'\x06', b'\n']]
  and 'size' of:
    Field03
    [[b'abcdef', b'123456test']]
[+] Relations found: 
[+] Relations found:

rels的内容为:

[+] Relations found: 
{'id': '9b3a72cb-7f81-4445-9e6c-8132a6a07791', 'relation_type': 'SizeRelation', 'x_fields': [Field00], 'x_attribute': 'value', 'y_fields': [Field02], 'y_attribute': 'size'}
[+] Relations found: 
[+] Relations found: 
[+] Relations found: 
[+] Relations found: 
[+] Relations found: 
[+] Relations found: 
{'id': '430d8f40-5678-4781-8ae9-ad3c598d207e', 'relation_type': 'SizeRelation', 'x_fields': [Field00], 'x_attribute': 'value', 'y_fields': [Field02, Field03, Field04], 'y_attribute': 'size'}
[+] Relations found: 
[+] Relations found: 
{'id': '7dfe658d-3d65-4e63-9c3a-5bb7e1563392', 'relation_type': 'SizeRelation', 'x_fields': [Field00], 'x_attribute': 'value', 'y_fields': [Field02], 'y_attribute': 'size'}
[+] Relations found: 
{'id': '5fab790e-a389-4344-a2d2-3c7ae2726fb6', 'relation_type': 'SizeRelation', 'x_fields': [Field01], 'x_attribute': 'value', 'y_fields': [Field03], 'y_attribute': 'size'}
[+] Relations found: 
{'id': '2bca9215-bb05-44c5-95ed-5bc70620e4b7', 'relation_type': 'SizeRelation', 'x_fields': [Field00], 'x_attribute': 'value', 'y_fields': [Field02], 'y_attribute': 'size'}
[+] Relations found: 
{'id': '15d9ad29-6915-4860-93c2-6a12b359a67b', 'relation_type': 'SizeRelation', 'x_fields': [Field01], 'x_attribute': 'value', 'y_fields': [Field03], 'y_attribute': 'size'}
[+] Relations found: 
[+] Relations found:

如下是我对以上代码的解释:

# 这是倒数第四个循环中的ref,也就是CMDencrypt
{'id': '2bca9215-bb05-44c5-95ed-5bc70620e4b7', 'relation_type': 'SizeRelation', 'x_fields': [Field00], 'x_attribute': 'value', 'y_fields': [Field02], 'y_attribute': 'size'}
[+] Relations found: 
  SizeRelation, between 'value' of:
    Field00
    [[b'\x06', b'\n']]
  and 'size' of:
    Field02
    [[b"$ !&'$", b"spqvwt6'16"]]

在第一个symbol经过findOnSymbol后生成的ref中

'relation_type': 'SizeRelation',意思是第一个symbol中的发现的可能的关系类型是大小关系

'x_fields': [Field00], 'x_attribute': 'value', 'y_fields': [Field02], 'y_attribute': 'size',意思是Field00位置的x变量和Field02位置的y变量存在value和size的关系。

而第一个symbol中,经过序列对齐后,Field00中就是b'\x06', b'\n',Field02中就是"$ !&'$",

"spqvwt6'16" 。如下所示,这个例子中所谓的6和\n(\n的acii码为10)就是Field02的长度。官网文档的解释是1/8,因为每个字符换算成位是8位,也就是1字节。

[+] Partitionned messages:
Field-0      | Field-sep-23 | Field00 | Field01        | Field02     
------------ | ------------ | ------- | -------------- | ------------
'CMDdecrypt' | '#'          | '\x06'  | '\x00\x00\x00' | "$ !&'$"    
'CMDdecrypt' | '#'          | '\n'    | '\x00\x00\x00' | "spqvwt6'16"
------------ | ------------ | ------- | -------------- | ------------

六、应用找到的关系

官方文档提示我们可以通过创建一个 Size 字段,用来修改格式消息以应用我们刚刚找到的关系,该字段的值取决于目标字段的内容。我们还指定了一个因子,基本上是说size字段的值应该是缓冲区字段大小的八分之一(因为默认情况下每个字段大小都以位表示):

    for symbol in symbols.values():
        rels = RelationFinder.findOnSymbol(symbol)
        print(symbol.str_structure())
        print("after")
        for rel in rels:
            # Apply first found relationship
            rel = rels[0]
            rel["x_fields"][0].domain = Size(rel["y_fields"], factor=1 / 8.0)

        print("[+] Symbol structure:")
        print(symbol.str_structure())

输出结果如下所示(仅展示部分)

...
Symbol_CMDdecrypt
|--  Field-0
     |--   Data (Raw(b'CMDdecrypt'))
|--  Field-sep-23
     |--   Data (Raw(b'#'))
|--  Field-2
|--  |--  Field00
          |--   Data (Raw(nbBytes=(0,1)))
|--  |--  Field01
          |--   Data (Raw(b'\x00\x00\x00'))
|--  |--  Field02
          |--   Data (Raw(nbBytes=(0,10)))
after
[+] Symbol structure:
Symbol_CMDdecrypt
|--  Field-0
     |--   Data (Raw(b'CMDdecrypt'))
|--  Field-sep-23
     |--   Data (Raw(b'#'))
|--  Field-2
|--  |--  Field00
          |--   Size(['Field02']) - Type:Integer(0,255)
|--  |--  Field01
          |--   Data (Raw(b'\x00\x00\x00'))
|--  |--  Field02
          |--   Data (Raw(nbBytes=(0,10)))
Symbol_RESdecrypt
|--  Field-0
     |--   Data (Raw(b'RESdecrypt'))
|--  Field-sep-23
     |--   Data (Raw(b'#'))
|--  Field-2
|--  |--  Field00
          |--   Data (Raw(b'\x00\x00\x00\x00'))
|--  |--  Field01
          |--   Data (Raw(nbBytes=(0,1)))
|--  |--  Field02
          |--   Data (Raw(b'\x00\x00\x00'))
|--  |--  Field03
          |--   Data (Raw(nbBytes=(0,10)))
after
[+] Symbol structure:
Symbol_RESdecrypt
|--  Field-0
     |--   Data (Raw(b'RESdecrypt'))
|--  Field-sep-23
     |--   Data (Raw(b'#'))
|--  Field-2
|--  |--  Field00
          |--   Data (Raw(b'\x00\x00\x00\x00'))
|--  |--  Field01
          |--   Size(['Field03']) - Type:Integer(0,255)
|--  |--  Field02
          |--   Data (Raw(b'\x00\x00\x00'))
|--  |--  Field03
          |--   Data (Raw(nbBytes=(0,10)))
...

对于Symbol_CMDdecrypt,前后的变化仅为Field-2中的Field00,如图所示:

我的理解就是它将Field-2中Field00的原来的数字,改变成了Field02中的长度,而Field01中的内容,在序列对齐中,认为它是定长的,故无需改变。

由此,我们便在CMDdecrypt这一信息中,发现了Field00中存储的是Field02中值的长度,并应用了这一关系。其余的message,也可以通过这种方法一一找到其特殊关系

网络协议逆向工具Netzob1.0.2的安装与试用
qq_20728177的博客
02-24 1338
最近项目任务有需求,想探究一下对未知未加密网络协议的解析。 之前只了解过基本的计算机网络知识,对于具体的网络协议,更多是学术上的认识,而没有工程上的认知与实践。因此对于网络协议解析的工作,可谓是一筹莫展。 各种查找资料,这方面的公开资料还真少,国内外就没多少人在做,别说工程,就学术研究都非常少。为什么?因为太难! 不过非常感谢知乎匿名用户在问题“在网络协议逆向分析方面有哪些值得推荐教材/读物...
网络安全学习中的工具
gugonggugong的博客
12-06 3417
1> Nmap Nmap,也就是Network Mapper,最早是Linux下的网络扫描和嗅探工具包。 系统管理员可以利用nmap来探测工作环境中未经批准使用的服务器,但是黑客会利用nmap来搜集目标电脑的网络设定,从而计划攻击的方法。 其基本功能有三个,一是探测一组主机是否在线;其次是扫描 主机端口,嗅探所提供的网络服务;还可以推断主机所用的操作系统 。 2> P0f p0f是一个纯粹的被动指纹识别工具,它在不干涉双方通信的情...
netzob逆向未知协议序列包例子
12-05
Netzob逆向未知协议官方网站上提供的序列包的例子,用于学习Netzob使用
Netzob 项目使用教程
gitblog_00249的博客
08-13 369
Netzob 项目使用教程 netzobNetzob: Protocol Reverse Engineering, Modeling and Fuzzing项目地址:https://gitcode.com/gh_mirrors/ne/netzob 1. 项目的目录结构及介绍 Netzob 项目的目录结构如下: netzob/ ├── bin/ ├── docs/ ├── netzob/ │ ...
Netzob学习】(一)安装netzob——ubuntu
liyihao17的博客
11-27 3296
一、netzob介绍         Netzob是一个用于逆向工程、生成流量和模糊测试通信协议的开源工具。它允许通过被动和主动的过程来推断协议的消息格式和状态机。该模型可以用于模拟现实和可控流量以及模糊测试目标实现。         通过这个教程,我们将介绍Netzob的主要功能,推断消息格式和简单协议的语法,并且在最后介绍些基本实现的模糊测试。被介绍的功能覆盖以下能力: 导入一个我们想逆...
Netzob学习】(四)使用netzob逆向未知协议——消息格式推断
liyihao17的博客
12-05 2638
一、使用分隔符做格式区分 1、我们观察之前的打印的symbol中的内容:  从这个内容中我们不难发现,在每一行的每个英文单词后面总会跟着一个“#”号,并且在每个井号后面跟着一些值,从这里就能说明,大概这个协议的消息存储方式是这样的:[域名]#[值],于是我们需要通过“#”这个字符来将消息分割。 在netzob/Inference/Vocabulary/Format.py中有一个函数名为s...
Netzob-0.4.1
11-27
这是一款开源的工具,用于逆向工程、生成流量和模糊测试通信协议
掌握Netzob逆向工程:分析未知协议序列包
Netzob是一个开源的网络协议逆向工程工具,它主要面向安全研究人员和工程师,用于帮助他们理解未知或未文档化协议的工作原理。本文将详细介绍Netzob的功能、使用场景以及如何通过官方提供的例子来学习Netzob的基本...
分享国外安全团队及工具
热门推荐
专注企业信息安全-sec
03-19 1万+
名称 版 描述 主页 0trace 1.5 跳跃枚举工具 http://jon.oberheide.org/0trace/ 3proxy 0.7.1.1 微小的免费代理服务器。 http://3proxy.ru/ 3proxy-win32的 0.7.1....
Netzob说明
01-08
Netzob说明,官网资料,Netzob 是一个开源的通讯协议的反向工程、流量生成和 fuzzing 工具。可通过主动和被动方式推断消息格式和协议状态机。该模型可以被用来模拟真实网络和可控的流量。
Netzob-0.3.3.win32-py2.7
01-08
Netzob-0.3.3是windows下的安装包。Netzob 是一个开源的通讯协议的反向工程、流量生成和 fuzzing 工具。可通过主动和被动方式推断消息格式和协议状态机。该模型可以被用来模拟真实网络和可控的流量。
尝试netzob协议逆向)(三)
qq_46113775的博客
03-24 685
生成状态机
分享:Netzob 0.4.1 发布,网络协议分析工具
weixin_34132768的博客
02-06 217
Netzob 0.4.1 发布,网络协议分析工具 http://www.oschina.net/news/37445/netzob-0-4-1
探索Netzob协议逆向工程、建模与模糊测试的利器
最新发布
gitblog_01037的博客
08-15 807
探索Netzob协议逆向工程、建模与模糊测试的利器 netzobNetzob: Protocol Reverse Engineering, Modeling and Fuzzing项目地址:https://gitcode.com/gh_mirrors/ne/netzob 在网络安全领域,协议逆向工程、建模和模糊测试是确保系统安全的关键步骤。Netzob,作为一款开源工具,为这些复杂任务提供了...
Netzob网络协议建模与仿真利器
gitblog_00046的博客
04-13 534
Netzob网络协议建模与仿真利器 netzobNetzob: Protocol Reverse Engineering, Modeling and Fuzzing项目地址:https://gitcode.com/gh_mirrors/ne/netzob Netzob是一个开源项目,旨在为网络安全研究人员和开发者提供强大的工具,用于建模、仿真以及逆向工程网络协议。通过,你可以轻松获取源代码并参...
Netzob学习】(五)使用netzob逆向未知协议之三——状态机推断
liyihao17的博客
12-07 1685
无限状态机是在学习网络的时候经常能够听到的一个词,尤其是我在用《计算机网络:自顶向下方法》学习TCP的时候,里面把每一个状态机都描述得十分清晰。简而言之,协议可以使用无限状态机来进行描述,接下来使用Netzob工具对官方提供的抓包pcap例子进行状态机的推断。下面介绍三种创建状态机的方式。 一、生成一个状态机链 在这里我们将生成一个能够说明指令和响应的顺序的基本状态机,每一个包发送后,都将导致...
Netzob学习】(六)使用netzob逆向未知协议之四——根据推测模型生成报文
liyihao17的博客
12-07 908
我们现在已经有了目标协议的格式化报文和语法的知识,现在让我们尝试使用这个模型,来对真实(模拟的)服务器进行交流,具体的server和client我放在了这里: https://download.csdn.net/download/liyihao17/10835752 一、运行server 首先我们运行server,server我放在了上面的地址里,需要的请自行下载。 $cd tutori...
尝试netzob协议逆向)(一)
qq_46113775的博客
03-20 1262
关于netzob的安装及初次尝试(一)
Netzob 开源项目教程
gitblog_00861的博客
08-13 474
Netzob 开源项目教程 netzobNetzob: Protocol Reverse Engineering, Modeling and Fuzzing项目地址:https://gitcode.com/gh_mirrors/ne/netzob 项目介绍 Netzob 是一个用于通信协议逆向工程、模型化和模糊测试的开源工具。它适用于逆向网络协议、结构化文件以及系统和进程流(IPC 和与驱动程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值