看雪论坛
发新帖

[求助]HOOK国内某款游戏客户端,拿到16进制Data AMF3转Json一些问题求前辈指点..

飞飞飞飞飞 2017-3-17 23:51 1361

通过Hook解密后得到数据地址和长度,在下图其实已经可以看到gameMode之类的明码数据了。

理论上来说这应该是AMF3数据但是查了些资料发现不太符合AMF3结构 17 03 03 03 70 开头的什么鬼

网上看都是 00 03 之类的 , 求解 这是什么格式的数据 以及如何转换json 或者提供些资料。谢谢了

本主题帖已收到 0 次赞赏,累计¥0.00
最新回复 (17)
FANTASYING 2017-3-18 09:20
2
真正解密的地方并不在这,这个还是https的数据,再单步找他解密
飞飞飞飞飞 2017-3-18 10:48
3
FANTASYING 真正解密的地方并不在这,这个还是https的数据,再单步找他解密
这个是adobe桌面客户端啊,TCP传的啊.. 咋变成https数据了
1
hrpirip 2017-3-18 12:51
4

这不是LOL么。。。这个东西需要修复头部的,EncryptMessage处的报文并不是标准的(有些许改造字节的),从Adobe Air.dll里头的两个点才是正确的

飞飞飞飞飞 2017-3-18 13:35
5
hrpirip 这不是LOL么。。。这个东西需要修复头部的,EncryptMessage处的报文并不是标准的(有些许改造字节的),从Adobe Air.dll里头的两个点才 ...
我就是拿的Air里面的两CALL加一个decrypt的CALL,现在上面已经看到我想用的gameMode,mapId之类数据了。这东西不太符合格式 没法转还用不了 哎!! ,收数据的CALL拿到的是乱的,我跟踪看执行完decrypt的CALL就解成上面图的数据了。
hzqst 2017-3-18 14:54
6

17 03 03 03 70 是RTMPS的SSL协议头部,你找错地方了 给你个提示:\TGP\apps\Pallas\lol_util.dll 自己IDA一下,你懂的

顺便这个Air客户端不久就要淘汰了,外服现在都是H5的端了

xietao 2017-3-21 09:42
7
hzqst 17 03 03 03 70 是RTMPS的SSL协议头部,你找错地方了 给你个提示:\TGP\apps\Pallas\lol_util.dll 自己I ...
这个说对了, 你再往下找找, 在这里你还要解析RTMP协议, 客户端自己就会解析, 找到 解析之处直接拿到完整的AMF3数据岂不美哉
飞飞飞飞飞 2017-3-21 11:36
8
xietao 这个说对了, 你再往下找找, 在这里你还要解析RTMP协议, 客户端自己就会解析, 找到 解析之处直接拿到完整的AMF3数据岂不美哉
再往下跟了,还没找到....
飞飞飞飞飞 2017-3-21 11:38
9
hzqst 17 03 03 03 70 是RTMPS的SSL协议头部,你找错地方了 给你个提示:\TGP\apps\Pallas\lol_util.dll 自己I ...
没事一时半会估计替换不了,新版本用着体验不好估计还要迭代一段时间
hzqst 2017-3-21 11:48
10
飞飞飞飞飞 没事一时半会估计替换不了,新版本用着体验不好估计还要迭代一段时间
思路我都告诉你了,自己IDA TGP的dll吧~
飞飞飞飞飞 2017-3-23 14:52
11
hzqst 思路我都告诉你了,自己IDA TGP的dll吧~
非常感谢
xietao 2017-3-24 21:02
12
飞飞飞飞飞 [em_67]非常感谢
我试了一下, 顺着这个数据确实可以跟到AMF3数据的完全解析, 解析函数最终返回一个AMF3对象, 里面有AMF3数据指针地址和类型等等信息, 你多半没跟踪对
kakasasa 2017-3-27 01:55
13
hzqst 17 03 03 03 70 是RTMPS的SSL协议头部,你找错地方了 给你个提示:\TGP\apps\Pallas\lol_util.dll 自己I ...
html5的新版如何办,hook收包得到楼主相同的数据,同样单步么?有搞过的指点下,谢谢
hzqst 2017-3-27 10:13
14
kakasasa html5的新版如何办,hook收包得到楼主相同的数据,同样单步么?有搞过的指点下,谢谢
新版的自己凉拌啊
飞飞飞飞飞 2017-3-27 15:44
15
xietao 我试了一下, 顺着这个数据确实可以跟到AMF3数据的完全解析, 解析函数最终返回一个AMF3对象, 里面有AMF3数据指针地址和类型等等信息, 你多半没跟踪对
已经解决了,谢谢
飞飞飞飞飞 2017-3-27 15:46
16
kakasasa html5的新版如何办,hook收包得到楼主相同的数据,同样单步么?有搞过的指点下,谢谢
新版客户端还没用过,新客户端估计不是AMF的数据了.. 有空在搞.
xietao 2017-3-27 15:54
17
飞飞飞飞飞 新版客户端还没用过,新客户端估计不是AMF的数据了.. 有空在搞.
恭喜你, 猜对了, 新版客户端不再是AMF3格式了
封心aa 2017-4-26 19:22
18
hrpirip 这不是LOL么。。。这个东西需要修复头部的,EncryptMessage处的报文并不是标准的(有些许改造字节的),从Adobe Air.dll里头的两个点才 ...
在吗。。
返回



©2000-2017 看雪学院 | Based on Xiuno BBS | 知道创宇带宽支持 | 微信公众号:ikanxue
Time: 0.013, SQL: 9 / 京ICP备10040895号-17