逆向工程和协议分析练习.docVIP

逆向工程和协议分析练习 lgx 2006-04-11 简介 最近小区宽带改造，要求装一个他们的客户端，并且一直跑着这个客户端才能上网，非常不爽。同时鉴于将近两年没做逆向分析了，正考虑找东西练练手，正好这个东西送上门来，估计不难，就它啦！:) 先明确一下目标： 分析出这个客户端是如何工作的。 自己写一个客户端代替它，最好能做成 Windows 服务方便使用。 最后研究有没有远程溢出可利用。 ok, 目标明确后可以开始了！ 信息收集 一开始就直奔目标并不好。收集信息一方面可以慢慢进入工作状态，另一方面也能启迪分析思路。所以不要在这阶段省时间。 先看看这个客户端都装了什么文件，写了什么注册表项。到安装目录下，发现一个 uninstall.log，安装记录都在里面了。除了一个分析的客户端 exe 程序为，其它只有一个 文件名为 profile 的比较可疑。猜测是一些配置信息，用 winhex 打开，居然是二进制，看不到有意义的信息。作罢。 再用 stud_pe 检查客户端程序：没壳；Borland C++ 编译。Great！应该可以直接拿 IDA 和 DeDe 分析。 启动 Ethereal 抓包。启动客户端程序登录到小区宽带网。发现登录成功后 ethereal 只抓到两个 UDP 报文。果然够简单！从 Ethereal 解码看，客户端从 3849/udp向服务端 3848/udp 发送login 报文，服务端回应一个 UDP 报文。报文里看不到有意义信息，估计是加密了。现在，这个 login 过程是一个关键分析点。 继续抓一段时间包。发现客户端大约每 30 秒向服务端发送一个固定的 UDP 报文(源和目的端口也分别是 3849 和 3848），服务端则返回两个固定的报文。联想到 IRC 协议里的 PING－PONG 报文，怀疑这也是一种 PING－PONG 协议。这也是一个分析点。 继续抓包，没看到其它报文。估计在正常情况下 login 成功后只要保持不停 PING－PONG 就行了。 逆向分析 现在，我们有四个报文：login_request 和 login_response；ping 和 pong。但是无法看出报文意义。该是逆向分析的时候了。 用 IDA 和 DeDe 同时分析客户端程序。为什么还要用 DeDe？因为 DeDe 在分析 Borland c++/Delphi 程序时有比 IDA 强的方面，两个配合效果很好。 同时启动 OllyDBG attach 到客户端程序进程上。btw, 如果你还在用 SoftICE 分析应用程序，该考虑换换了。-) 在 sendto 上下断点。很快就会断下，因为客户端要不停发 PING 包，这时候应该是断在发 PING 包的 sendto 上： .text:0040D8C0 push [ebp+fromlen] ; tolen .text:0040D8C3 lea eax, [ebp+to] .text:0040D8C9 push eax ; to .text:0040D8CA push 0 ; flags .text:0040D8CC push [ebp+len] ; len .text:0040D8CF lea edx, [ebp+buf] .text:0040D8D5 push edx ; buf .text:0040D8D6 mov ecx, [ebp+var_68] .text:0040D8D9 push dword ptr [ecx+8Ch] ; s .text:0040D8DF call sendto ; 这里发送 keep alive 包 往上面回溯，很容易发现 .text:0040D847 call build_keep_alive_pkt 这里是构造 sendto 出去的 PING 报文的。单步跟踪这个函数调用，前面的包构造都很容易理解。最后： .text:0040E924 push 10h ; n .text:0040E926 push