特征码查找教程

1、环境配置:VMware securecrt&securefx 6.5securecrt&securefx 6.5 破解方法： 将附带的破解补丁复制到你的安装目录中,SoftwareClie nts然后双击特征码教程点击 patch 按钮即可 抓包工具：Wireshark先下个 wireshark 抓包工具，安装，运行点击第二个：realtek 10/100/1000 ethernet nic 进入抓包界面比如我的是 C:Program FilesVanDykeSecurCKT 5.1 build410heygen. rae SecurCRT-kg No dole1选择 capture 选项下有

2、 start 和 stop 来控制抓包开始和结束。在 fileter 栏里可以填 一些选择显示包的条件，比如 http，则下面会显示出所有的 http，tcp 样。Tcp 和 udp 简单介绍在介绍特征码之前，先要熟悉一下 tcp 和 udp 这两种常用的协议。我们用 wireshark 抓包来分析他们的具体结构。Tcp：Tcp 是可靠连接通过 3 次握手来建立连接上面的图很清楚，是两个 ip 间的 3 次 tcp 通信，当然要知道他们是不是建立连接 还需要查看包的内容。第一个 tcp 包：E TransrlssIon cortro I Pr3toco I, src Port: avocm -

3、adsap source port: avocenr-adsap3蛊71)DesTirTion pcrr: http (50)stream Index: 0Sequence number ! 0at-! vc sequence nurrbr)Header length; 26 bytesS Flags: 0X02 (SYM) ttirdow 12：5535+ Checksun:07 vs 1idaticr disabled.+ Optnors : (S bytes)简单介绍一下 tcp 包头的内容：Source port源端口Destia nati on port:目的端口Sequenee n

4、umbet序歹 U 号Header length：头长度Flags：标记位，占 8bit 位0. . =congest! an indo Reduced (C?;R) : Not ser.0.- ECM-Echo: Nat set.0. = urgent: wot ser0 =A匚knowl edgement: Not set4 - Push; Not set.0. = Reset: NDt set+. 1. = 5yrr: Set.0 = Fin; Not set经常用的位就是 ack 位，syn 位和 fin 位。当 ack=0，syn=1 时，这就是一个请求 包，很显然这是一个请求包。W

5、in dow size:窗口值Checksum：检验和Optio ns：选项 第二个 tcp 包:n IrartsW1551 gn teraroi fT9fC0CQPpsre perv: rrrp鬲口打wsrETU-agsap t須 打Up -aetc：if Ltn：U IEouircie pori: hrtp (SO) EesrlnGiiton pore: avocerr-iadsap C3fiDStreaT indeN: 0 (reinnsiumber)AclknowlcigiT tnt Bfllxair; 1 (rUtiv ar&k nuribtrlHMer lrgth；2& bytes

6、| F aqs : 0X12 (SYN5ACKwlindm：st ze: 54oULthecks-Lffl!：validation di-5.abedlj|LLopt ions ? a byre这是建立连接时的第二个 tcp 包，flags 位 ack=1，syn=1 代表这是一个应答包。 Ack确认号为 1 代表收到了序号为 0 的包，期望收到下一个包的序号为1。第三个 tcp 包：P 1 V 41FUIII ；二I Virii W I V 6e.l. 3BUDPsnurcepore :dragonri Desrlfuilaft rBoor 12.2AI2.1U.1. IS111.MJ- 4

7、9W汕Wpurt.112和at I uir口住L：BWB 2J.561984192, 1E-B 1, 19UDPSourceport;netndc EJestinatiOHport：iOdft冲丄1。.lfel.1.胡LDPS-OUfED pdf t iDfi&t-i-on partsno并$60010URPpert;wr 2 Ovst irifltBD1X 23u5tD12Dj. y丄五息-丄.j 9JL2 J j. 5 J. U 4-B93UDI?匚Epor匚：til拓eserww-N iMstlnaElcR01J 27 r勺乐tn乱9l?i.Hl 1-14 9MO

8、P$i)urCfpn-fT r2v* -?ET* ri pTJ WCLl JZ.TiCrDZIO192.1DA. Lr125.111,1+*.95UDPSourceport;adobraerver - z Destlr i dHtoeMFwr-2DestirMthBO1A牯丄bMMJUJu 11.144.9*laDFSrDLlfC port:SO152JD-1T1.1W.14S6LOTsourrep&rr:alra-irinarlofSO丄总92B1EA. 1. IB22DJ171.丄自7.丄!右UDPLJLrLEpul c.L1S0& L-eilll at 1 -Hl! uCb L：llD.

9、lFSJ.il?1E.R IBUDPSQUfCff p厅你EiDe-tliwtlwi pert;SOU 22.567UK102.1Ei3.1.3SHD.u口口SnurEQpesrt:U5DD Csst ivut fan par t:10】 奇22山汁畀ortTk. r-i uuu-in m 4 c-a i -a a MH T- -3 I J=T Jorti-upmc:nccrat: DKClwulwi part:：4 I Crtrt彳n r n-JT.r npps 传输数据用的是 udp 协议。抓到的每一个包的内容如下：n Frjw B011 U沖冃(GO；6 5；tC：391用Protoco

10、l. 5r C：. DST：3 (123.1 jl* 141.93Jitl：i5er laragrai rofor&l. src Pcrr : artnbesver-Z 110 0,DTporT : f(；4iZ2)bl Oata (5其中有 ip 头，udp 包头，和 payload 数据字段，也就是 data 字段。我们要找的特 征码也就是在 data 字段。 通过多个包比较我们就可以统计出特征码。 比如通过 查看 5 个 udp包的 data 字段为：35bytes 1f00430000d200c69680ffffffff56866f43362f6df3017f

11、f6fbeaecfc02ab9a3275801f00430000d200c69680ffffffff56866f43362f6df3017ff6fbeaecfc02ab9a3275801f00430000d200c69680ffffffff56866f43362f6df3017ff6fbeaecfc02ab9a32758079bytes4F00433271FF00000000001456866F43362F6DF3017FF6FB.133bytes8100430000820056866f43362f6df3017ff6fbeaecfc02ab9a32750002010000000b006401

12、0c000。从上面的 16 进制的包中可以发现他们都有共同的特征0043,那么 0043 就可以作为pps的特征码的一部分。 通过深入的查找还可以发现其实前两个字节也是有 规律的，那就是35=1*16+f+479=4*16+f+4133=8*16+1+4那么这也就是 pps 的特征码的一部分。再往下看我们发现长度大于 256 的包，和上面的特征不符，他的包为：11235f04430000d9004cea84feffffffff1100000056866f43362f6df3017ff6fbeaecfc02ab9a32750。10612104430000A200010BAAA67FFFFFFFF

13、F3E000000030000C8很显然 1123！ =5*16+f+41061！ =2*16+1+4 通过比较发现1123=5*16+F+4*256+4 106 仁 2*16+1+4*256+4而之前统计的包也完全符合这样的规律，比如 35=1*16+f+4+0*256所以更加准确的特征码应该是 len=payload0+payload1*256+4.综上所述：我们找到的一条 pps 的特征码为：len=payload0+payload1*256+4&payload2=43&payload3=00当然对于携带数据的 tcp 包也可以采用同样的方法进行查找特征码。http：对于 payload

14、 字段是 http 包的协议，我们的协议判别方法有很多种。首先让我们来学习一下 http 包的结构：还是通过实例抓包来学习：1)一种最简单的识别方法就是通过关键字来识别：如下一个包：3 Hypertext Transfer ProtocolGET /vod/.Host: pl,ppsA匚cepr:,nuser -Agent: PPEtream-cl1.0r nr把每一行称为一个字段的值。Get 字段值是用来传送请求的。Host字段表示的是服务器的地址。 从中我们看到有pps， 于是判定host字段值为 pl.pps.tv的包是 pps 协议的包。User-age nt 字段表示的是用户代理。从

15、中我们看到用户代理是 ppstream-clie nt,很 显然这是一个 pps 的客户端，于是判定 user-age nt 字段值为 ppstream-clie nt 的包 是 pps协议的包。2)通过 http 特征序列来判断协议通过 http 特征序列来判断协议的前提是你已经知道了这个包是属于哪个协议。我们抓的包如下：- Hyper text Transfer PirOLOCol圧GETGet File HTTP 1,1 rnAccept: w/QrnX-VER5I0H：lr ,nX-5RCU5EFITYPE : 1 rnX-SRCUIN: 409378fi7 rxrtX-D5TUIN;

16、 45740557r ,nX-D5TU5ERTYPE: lrnX-IHAGETYPE: 1X-SIGNSTRING: 67151A09A2 5FD3AC34De0AD6 5B0 r nUser-Agent: bczl Ha 4.0 (compat ibl e; MSIE 6* 0; /；indowsNT5. nHost: 183* 60.13- 212 ,r rPragma：rro亡ach& r nr n我发现了 x-srcuin： 409037887，这是我的 qq 号码，于是我知道这个http 包是qq 协议的包。但是我不能把 409037887 作为特征码，因为这是个具体的号码而 不具有

17、抽象性，他会经常的变化。那么应该怎么样来判断这个包属于qq 协议呢？这就用到了 http 序列。通过多个包的比较你就会发现，只有qq 会用这样的 http序列：get/accept/x-versio/x-srcusertype/x-srcui n/x-dstui n/x-dstusertype/x-imagetype/xsignsr in g/x-filehash/user-age nt/host/pragma于是我们就可以将这样的序列作为qq 协议的一个特征码。3)迅雷伪装 ie 下载我们先抓取迅雷下载的一个 http 包已旳单曰“底TfiilSTer PT01X01lx GE-ge? -i

18、 FT err ac1 rrest anp-i z = 11515923HTTP. 1,1 r nAccept:h皿切哼汕孵；”心r nRefer er二hrtp；L. -deslTcgp. php r.niSLCcepi-Efi匚dEHng: gjlp.日殳flNT赳In_Hat 1102.1-66 1.201 r ncwnec-ian；Keep-Ally r nCoak-电:ZDEDebugEfFrs舁rt|rbprIphrni php3 PHPSE551CHdirfictipOgr 1S6昌4廿JJV99用Cr r -rWIT很显然我们无法通过关键字得知这个包是不是迅雷下载的包还只是普通

19、的网页 流浪。之所以把他称为伪 ie 是因为迅雷的用户代理也就是 user-age nt 字段是 ie 的标志，可以从包中看出是 msie6.0。像这种情况，我们当然可以通过上述的http 序列来判断。通过仔细的统计比较，你会发现，迅雷的user-age nt 字段和 ie 还是有所区别的。迅雷的 user-age nt 字段经常为：User-Age nt: Mozilla/4.0 (compatible; MSIE 6.0; Win dows NT 5.1; SV1; .NET CLR1.1.4322; .NET CLR 2.0.50727)Ie 的 user-age nt 字段经常为：Us

20、er-Age nt: Mozilla/4.0 (compatible; MSIE 6.0; Win dows NT 5.1; SV1; Mozilla/4.0(compatible; MSIE 6.0; Win dows NT 5.1; SV1) ; .NET CLR 2.0.50727; I nfoPath.2) 这样我们也可以把迅雷的 user-age nt 字段值作为特征码。通过以上三种特征码的查找方法，基本上已经可以找出大部分协议的特征码。m玄酣一Jigemt畫从0刼、1孔出& 址厲冲月玳利电；釉5【|：& D;IMT乩丄；当血1118,0迂時从刃区匕0; irirxn时 乩丄；斜但还

21、有一些包不是那么容易识别，这样我们就需要对多个连接包来进行分析识 别。2 行为分析识别例如迅雷下载，倘若采用 udp 协议进行下载，则本地软件会采用相同端口多ip进行下载，通过抓包我们可以发现这些。5 是我本地机器的 ip，对于不同的 ip 38 和 3 却采用相同的端口进行通信，据此可以判定他们其实是相同协议的包，当然仅凭此还不能判定他就是 p2p 下载，要判定其为 p2p 下载还需要对其连接数和流量 进行统计。如果迅雷采用tcp协议进行下载，为了加速下载，他会采用相同 ip 多端口进行下 载。a mr. -41 sfis

22、- re*if kun.- g gjh耳 wrf .JT 一一/ 一亠从上图中，你可能会误以为，5 和 0 只是一个连接，其实 不然，他们是 5 个连接，有 5 个不同的端口。因此我们也可以把 get 字段子相同， ip 地址相同，但端口号不同作为判断迅雷协议的一个特征。在分析特征码时，分析比较是非常重要的，比如我们分析迅雷协议，先要比较迅 雷的包来找共同点，然后还要和其他的 http 包相比较来找不同点，这样找出来的 才能算是准确的特征码，否则很可能和其他的包相混淆。程序模块的更新相关程序：在协议文件中添加你所找到的特征码在 ipq_main.c 中添加 匹配流程更新 ipq_protocols_osdpi.h, ipq_protocols.h, Makefile11 IVLtisJ lkHI IPcomnuaxi an ar ngn-Hi iPiramc192.35211.二W 62.50HTTPGET down；QQ?QlQ5Pl.Z1 P HTTP/1, 1192.L6S-1.3521L-L62_fi2. 50HTTPGLT/dawnqqSOlOsp