抓包改包工具--WSockExpert指南.pdfVIP

作者：杨凡 论坛：法客论坛 团队：F4ckTeam 邮箱：fan# 网址： 简介 这是个老牌抓包工具了，从各种知名黑阔到现在的我等小菜鸟，基本上每个人都是用过这款 工具的，不可不说这款工具的知名度。 不过，虽然这款工具确实是非常非常出名到人尽皆知的地步了，但是小菜我既然想写一个系 列的抓包工具介绍，那么这款工具也是不能落下的，所以就简单介绍一下。 2 个版本 这款工具，目前流传到网络上的基本有2 种： 1、 英文原版 下载地址： 因法客论坛网址不对外公布，所以附件已经删除，要获得附件，请访问法客论坛获得。 2、汉化版 下载地址： 因法客论坛网址不对外公布，所以附件已经删除，要获得附件，请访问法客论坛获得。 上边是这2 个版本的初始界面，因为这款工具不是作为IE 插件存在的，所以它算是一个完 全独立的抓包工具，也就是不单可以抓 IE 产生的数据包，也可以抓其他各种运行中的程序 产生的数据包。 基本使用 使用的话也很简单，单击工具栏的“打开”按钮即可选择要监听的程序： 选择要监听的程序之后单击“Open”按钮即可开始监听。 这个简单，没什么好说的。 抓不到数据怎么办 下边说一下WSockExpert 使用过程中的一个小技巧。 就是有些时候，当IE 打开了多个窗口的时候，我们只选择某一个窗口可能发现抓不到数据： 如上图，我选择的是 IE 的主窗口进行监听，那么如果开始监听之后发现抓不到数据，那么 这时候我们可以直接选择IEXPLORE.EXE 这个主程序进行监听，也就是这样： 这样的话，无论浏览器产生了什么数据，我们都是可以抓到的。 如果，如果你按上边的方法依然抓不到包，那你肯定用的非主流浏览器，比如糖果啊什么的， 这时候换个浏览器就OK 了。 Flash 上传怎么办 另外，还有一个问题，就是遇到用flash 实现上传的时候，比如论坛这样的上传： 这种上传不是纯种的上传，是变异了的，它是用flash 脚本实现的上传，这种上传比较特殊， 遇到这种上传的话，如果你是用的 IE，那还好，因为flash 进程是嵌入到了 IE 中的，所以 直接抓IE 的包就可以得到数据的： 但是如果你像大多数黑阔那样使用火狐等非IE 内核浏览器的话，直接监听浏览器进程的话， 是抓不到上传产生的数据包的，我们这时候必须监听火狐等非IE 内核浏览器的flash 插件进 程来实现抓包，具体案例见帖子最后的doc 附件。 因法客论坛网址不对外公布，所以附件已经删除，要获得附件，请访问法客论坛获得。 进程列表显示空白怎么办 这种情况，是 WSockExpert 双击可以正常启动，但是单击“打开”按钮的之后，进程列表显 示空白，无法选择要监听的进程： 这种情况目前网上我没找到解决办法，我也没遇到过，难道是因为win7 的原因导致的？这 种情况可以尝试在XP 上运行，也可以尝试关闭电脑所有杀软等防护之后再试。 点击open 就卡死 这种情况我也遇到过，有人说是因为杀软等软件拦截的原因，这个回答我不否定也不肯定， 因为我之前在虚拟机里用的时候出现过这种情况，就是选择了要监听的进程之后单击“open” 开始监听的时候WSockExpert 就卡死了，我当时尝试了多次都无法正常监听，因为当时这 个虚拟机用了很久都没恢复过了，可能存在一些木马病毒，所以无奈之下我把虚拟机用快照 恢复到干净无毒状态了，然后再用WSockExpert 就不会卡死了。 所以，这种情况我觉得应该是某些软件和WSockExpert 冲突导致的，当然，不排除是杀软 等软件拦截了，因为W SockExpert 使用的是hook 技术，而有些杀毒软件要拦截HOOK 和 钩子注入的。 高版本IE 有人遇到过这种情况，就是在XP 系统的IE8 浏览器下使用WSockExpert 抓不到数据，开始 认为是WSockExpert 程序本身问题，试了试抓QQ 的包，发现抓包正常，故推断为IE8 的 问题。 最后的解决方法是：不要使用高版本IE 。 Could not restor 这种错误截图： 这种错误一般产生在win7 64 位上，我觉得可能是因为兼容性不大好，再加上win7 的权限 控制比xp 要好很多，所以就出现了这种错误，解决办法可以试试右键“以管理员身份运行” 试试看。 WSockExpert 的不足 因为WSockExpert 出来的很早，一直用到了现在，所以存在一些不足也是可以理解的，具 体不足我觉得有以下2 点： 1、只有抓包功能，不具备改包重放功能 这个好理解，很多抓包工具不带改包重放的功能。 2、当数据包数量过大时，无法显示最开始的数据包