billy1972
Почетный гость
Всем доброго времени суток! Прошу оказать помощь с анализом трафика. Имеется дамп .pcapng сетевого трафика программы, обменивающейся пакетами с удаленным узлом сети по протоколам TCP и RSL. Необходимо узнать, какой информацией идет обмен и с какой целью, для выяснения внутренней логики работы программы, механизмов авторизации и идентификации. Параллельно с этим буду вести реверс-инжиниринг.
Дамп при запуске программы
Дамп фоновой работы
Внешне алгоритм работы программы при запуске выглядит следующим образом:
Цель: узнать механизм получения по сети времени счетчика для нахождения пути подмены значения.
Буду рад любой оказанной помощи и предоставленной информации.
UPD 1:
Каждые 600 секунд программа повторяет цикл обмена данными из фонового дампа. Она отправляет TCP пакет с запросом на подключение к удаленному серверу (SYN), получает от него ACK, а дальше идет обмен неизвестной информацией по протоколу RSL, сопровождаемая периодическими ACK. Весь цикл обмена идет 100 секунд, после чего программа сбрасывает соединение и ждет до момента, когда с начала завершенного цикла обмена пройдет 600 секунд.
UPD 2:
При ограничении программе доступа в интернет, она никак не реагирует. 15 минут уже сидит без сети и не ругается. Это значит, что после запуска и авторизации на сервере ей можно обрубить интернет и делать что душе угодно. Это будет решаться после декомпиляции. Теперь стоит вопрос, что делать с трафиком при запуске и как обойти эту самую авторизацию.
Дамп при запуске программы
Дамп фоновой работы
Внешне алгоритм работы программы при запуске выглядит следующим образом:
- Идентификация компьютера по аппаратному адресу, передача ID оборудования в сеть, получение ответа (ОК).
- Передача ключа программы в сеть, получение ответа (ОК).
- Проверка целостности модулей программы, передача данных контроля в сеть, получение данных о возможных обновлениях, докачка недостающих файлов.
- Готовность программы к работе.
Цель: узнать механизм получения по сети времени счетчика для нахождения пути подмены значения.
Буду рад любой оказанной помощи и предоставленной информации.
UPD 1:
Каждые 600 секунд программа повторяет цикл обмена данными из фонового дампа. Она отправляет TCP пакет с запросом на подключение к удаленному серверу (SYN), получает от него ACK, а дальше идет обмен неизвестной информацией по протоколу RSL, сопровождаемая периодическими ACK. Весь цикл обмена идет 100 секунд, после чего программа сбрасывает соединение и ждет до момента, когда с начала завершенного цикла обмена пройдет 600 секунд.
UPD 2:
При ограничении программе доступа в интернет, она никак не реагирует. 15 минут уже сидит без сети и не ругается. Это значит, что после запуска и авторизации на сервере ей можно обрубить интернет и делать что душе угодно. Это будет решаться после декомпиляции. Теперь стоит вопрос, что делать с трафиком при запуске и как обойти эту самую авторизацию.
Последнее редактирование:
