首页
论坛
专栏
课程

[求助]安卓TCP协议定位方式请教

2019-8-26 11:58 1643

[求助]安卓TCP协议定位方式请教

2019-8-26 11:58
1643
最近分析YY直播的弹幕数据,发现采用的是TCP协议,分析的好久无法定位到握手位置,各位大佬指点一下定位方法:
1.用winshark抓包出来都是密文信息:

2.用ddms没有查到有效的log:



[公告]安全服务和外包项目请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最新回复 (17)
只是来打酱油 2019-8-26 15:42
2
0
ddms录制轨迹,发个檀木,然后hook   
菜年richor 2019-8-26 17:08
3
0
只是来打酱油 ddms录制轨迹,发个檀木,然后hook
谢谢师兄的答复,是这样的,这个方法我也尝试过,打印的堆栈有5000多项,以buffer.read为关键字进行分析hook,都没有得到弹幕结果。师兄还有其他的方法可以帮助定位么?

roysue 3 2019-8-26 18:47
4
0
frida hook
只是来打酱油 2019-8-27 08:54
5
0
菜年richor 谢谢师兄的答复,是这样的,这个方法我也尝试过,打印的堆栈有5000多项,以buffer.read为关键字进行分析hook,都没有得到弹幕结果。师兄还有其他的方法可以帮助定位么?
那就不要以buffer.reader为关键字  从view层入手试试   反推
菜年richor 2019-8-27 09:11
6
0
roysue frida hook
谢谢师兄指点,我已经有用frida hook DDMS里的几个函数,但是函数太多了,已经无法定位到有效的位置
Monkeylord 2019-8-27 12:51
7
0
Hook了看堆栈。
记得把不同的线程的堆栈接起来(记录新线程创建和创建时的堆栈)
菜年richor 2019-8-27 13:36
8
0
Monkeylord Hook了看堆栈。 记得把不同的线程的堆栈接起来(记录新线程创建和创建时的堆栈)
有用ddms查看堆栈,还是无法定位到函数
Monkeylord 2019-8-27 13:41
9
0
菜年richor 有用ddms查看堆栈,还是无法定位到函数
OKHTTP工作线程的堆栈是从Thread run开始的,已经没有调用它的函数了。
你得记录thread new的堆栈,然后和这个堆栈拼着看,才能看到谁调用的。
菜年richor 2019-8-27 14:16
10
0
Monkeylord OKHTTP工作线程的堆栈是从Thread run开始的,已经没有调用它的函数了。 你得记录thread new的堆栈,然后和这个堆栈拼着看,才能看到谁调用的。
师兄,按照您的方法,逆向两侧就不行了,会显示toplevel,然后就上不去了


Monkeylord 2019-8-27 17:24
11
0
菜年richor 师兄,按照您的方法,逆向两侧就不行了,会显示toplevel,然后就上不去了
是,所以你要关注Thread的创建。那时的堆栈。
菜年richor 2019-8-28 08:58
12
0
Thread创建是序号1,不好查看附近的堆栈
看雪高研 2019-9-2 17:17
13
0
用objection来hook这三个类看看结果:

java.net.InetAddress
java.net.Socket
java.net.ServerSocket
菜年richor 2019-9-3 09:49
14
0
看雪高研 用objection来hook这三个类看看结果: java.net.InetAddress java.net.Socket java.net.ServerSocket
frida hook不了,要用xp么?
jlvsjp 4天前
17
0
YY的发送全部是在Native完成的,握手包是RC4和RSA的加密,你重点Hook一下SO里面RC4和RSA相关的加解密函数吧,能说的就这么多了。
菜年richor 4天前
18
0
jlvsjp YY的发送全部是在Native完成的,握手包是RC4和RSA的加密,你重点Hook一下SO里面RC4和RSA相关的加解密函数吧,能说的就这么多了。
谢谢师兄,我也刚定位到SO,现在准备分析so
游客
登录 | 注册 方可回帖
返回