特征码查找教程.docx

特征码教程 环境配置: 比如我的是 C:\Program FilesVanDykeVMware securecrtsecurefx 6.5 securecrtsecurefx 6.5 破解方法： 将附带的破解补丁复制到你的安装目录中, 比如我的是 C:\Program FilesVanDyke Secur?CKT 5.1 build410 heygen. rae Secur?CKT 5.1 build410 heygen. rae Secur ^CRT-kg No dole1 然后双击 点击patch按钮即可 抓包工具： Wireshark 先下个wireshark抓包工具，安装，运行 点击第二个：realtek 10/100/1000 ethernet nic 进入抓包界面 选择capture选项下有start和stop来控制抓包开始和结束。在fileter栏里可以填 一些选择显示包的条件，比如http，则下面会显示出所有的http，tcp 样。 Tcp和udp简单介绍 在介绍特征码之前，先要熟悉一下tcp和udp这两种常用的协议。我们用wireshark 抓包来分析他们的具体结构。 Tcp： Tcp 是可靠连接通过 3 次握手来建立连接 上面的图很清楚，是两个ip间的3次tcp通信，当然要知道他们是不是建立连接 还需要查看包的内容。 第一个tcp包： E TransrlssIon cortro I Pr?3toco I, src Port: avoc^m -adsap source port: avocenr-adsap 〔3蛊71) DesTir^Tion pcrr: http (50) [stream Index: 0] Sequence number ! 0 at-! vc sequence nurrb^r) Header length; 26 byt^es S Flags: 0X02 (SYM) ttirdow ￡12^： €5535 + Checksun: 07 [vs 1idaticr disabled] .+ Optnors : (S bytes) 简单介绍一下tcp包头的内容： Source port 源端口 Destia nati on port:目的端口 Sequenee numbet 序歹U号 Header length：头长度 Flags： 标记位，占 8bit位 0 =congest! an ^indo^ Reduced (c?;r) : Not ser .0 - ECM-Echo: Nat set ..0 = urgent: wot ser …0 …… = a匚knowl edgement: Not set 」」4— - Push; Not set 0.? = Reset: NDt set + 1. = 5yrr: Set 0 = Fin; Not set 经常用的位就是ack位，syn位和fin位。当ack=0，syn=1时，这就是一个请求 包，很显然这是一个请求包。 Win dow size:窗口值 Checksum：检验和 Optio ns：选项 第二个tcp包: n IrartsW1551 gn teraroi fT9fC0CQPp sre perv: rr^rp [鬲口打 wsr ETU -agsap t須 打『Up -aetc： if Ltn： U I Eouircie pori: hrtp (SO) EesrlnGiiton pore: avocerr-iadsap C3fiD [StreaT indeN: 0] € (reinns i^umber) Aclknowl?cig?iT tnt Bfllxair; 1 (r?Utiv? ark nuribtrl HM^er l?rgth； 2 bytes |± F aqs : 0X12 (SYN5 ACK〕 wlindm： st ze: 5￡4o ul thecks-Lffl!： [validation di-5.abedlj | ll opt ions ? a byre^ 这是建立连接时的第二个tcp包，flags位ack==1，syn==1代表这是一个应答包。 Ack确认号为1代表收到了序号为0的包，期望收到下一个包的序号为 1。 第三个tcp包： P 1 V 41FUIII ■；二 I Virii W I V V ■ r I I v J r TLFT I ?■ CL nr L, CLWJ J RJ f source port: avocenx-adsap (3￡71) D^stin-aticn port: http (BO) [STrean 彳nd毛：x： 0[ ^€qu€nce number: 1 (relaxi