Не решено Анализ дампа .pcapng

billy1972

Почетный гость
Всем доброго времени суток! Прошу оказать помощь с анализом трафика. Имеется дамп .pcapng сетевого трафика программы, обменивающейся пакетами с удаленным узлом сети по протоколам TCP и RSL. Необходимо узнать, какой информацией идет обмен и с какой целью, для выяснения внутренней логики работы программы, механизмов авторизации и идентификации. Параллельно с этим буду вести реверс-инжиниринг.

Дамп при запуске программы
Дамп фоновой работы

Внешне алгоритм работы программы при запуске выглядит следующим образом:
  1. Идентификация компьютера по аппаратному адресу, передача ID оборудования в сеть, получение ответа (ОК).
  2. Передача ключа программы в сеть, получение ответа (ОК).
  3. Проверка целостности модулей программы, передача данных контроля в сеть, получение данных о возможных обновлениях, докачка недостающих файлов.
  4. Готовность программы к работе.
Программа имеет счетчик оставшегося времени работы. Оставшееся время предположительно получается от удаленного узла сети в неявном виде.
Цель: узнать механизм получения по сети времени счетчика для нахождения пути подмены значения.
Буду рад любой оказанной помощи и предоставленной информации.

UPD 1:
Каждые 600 секунд программа повторяет цикл обмена данными из фонового дампа. Она отправляет TCP пакет с запросом на подключение к удаленному серверу (SYN), получает от него ACK, а дальше идет обмен неизвестной информацией по протоколу RSL, сопровождаемая периодическими ACK. Весь цикл обмена идет 100 секунд, после чего программа сбрасывает соединение и ждет до момента, когда с начала завершенного цикла обмена пройдет 600 секунд.

UPD 2:
При ограничении программе доступа в интернет, она никак не реагирует. 15 минут уже сидит без сети и не ругается. Это значит, что после запуска и авторизации на сервере ей можно обрубить интернет и делать что душе угодно. Это будет решаться после декомпиляции. Теперь стоит вопрос, что делать с трафиком при запуске и как обойти эту самую авторизацию.
 
Последнее редактирование:
  • Like
Реакции: RG45
Radio Signalling Link (RSL). про этот протокол говорим ?
 
Он самый. Какие данные он скрывает - неизвестно, лишь догадки. Пробовал найти в последовательности сообщений в пакетах какую-то логику, но безуспешно.
 
дайте время чутка, посмотрю. Загляните как нибудь на днях... щас дико занят к сожалению;)
 
Назад
Верх Низ