Как проанализировать нестандартный пакет

Тема в разделе "WASM.NETWORKS", создана пользователем LastNoob, 19 июл 2021.

  1. LastNoob

    LastNoob Member

    Публикаций:
    0
    Регистрация:
    28 янв 2018
    Сообщения:
    80
    Приветствую.
    Есть один тип пакетов поверх, который осуществляет передачу данных клиентской игры (World of Warcraf) на сервер и обратно. Что странно, пакет идет поверх TCP (ожидал UDP)
    Отмечается в WireShark'е, как WOW.
    Сам пакет отображается без обозначений - Undefined Command (0x**), поэтому извлечь данные, как в Http и других распознанных пакетов - не удалось. Сам пакет - набор из байтов без интерпретации Шарком.


    Воспользовавшись гуглом нашел решение на гитхабе - вот толко оно для старой версии (3.3.5) там протокол WOWW. И, похоже, значительно отличается от текущего. Да и функционал другой.


    Мне бы очень хотелось выловить из потока данных координаты и структуры.
    Написал скрипт на Python, который преобразует каждые 12 байт в пакете в 3 Float'а и сравнивает модуль с диапазоном [5.0; 5000] - такой диапазон по модулю примерно не должны превышать координаты X,Y,Z. Иногда появляются координаты, только значение их очень "разбросано" есть сомнения, что это вообще не координаты.


    Из теории полагаю, что игровые пакеты идут по UDP и не шифруются (с целью экономии времени и, в следствии понижении пинга) но в этот раз закрались сомнения.

    Как можно решить данную задачу - узнать зашифрован ли пакет, как расшифровать, если не зашифрован - как выловить данные правильно? Интересуют только структуры игровых объектов, никаких паролей, логинов и тд не ищу. Благодарю за внимание.
     
  2. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    1.954
    Поправлю на затылке фуражку Адмирала Ясен Хрен и доложу, что это выясняется через реверс клиента игры.
     
  3. LastNoob

    LastNoob Member

    Публикаций:
    0
    Регистрация:
    28 янв 2018
    Сообщения:
    80
    Никаких статистических методов анализа, никакой энтропии?
     
  4. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    1.954
    Может быть и есть криптоаналитические методы, позволяющие определить если не алгоритм шифрования, то хотя бы некоторые его свойства. Но в данном контексте смысла нету этим заниматься: у тебя есть редкая роскошь - доступ к самому алгоритму.
     
  5. ormoulu

    ormoulu Well-Known Member

    Публикаций:
    0
    Регистрация:
    24 янв 2011
    Сообщения:
    1.208
    Все каким нибудь TLS накрыто скорее всего, т.ч. реверс клиента сначала на предмет шифрования, потом уже структуру разбирать.