Как проанализировать нестандартный пакет

Discussion in 'WASM.NETWORKS' started by LastNoob, Jul 19, 2021.

  1. LastNoob

    LastNoob Member

    Blog Posts:
    0
    Joined:
    Jan 28, 2018
    Messages:
    80
    Приветствую.
    Есть один тип пакетов поверх, который осуществляет передачу данных клиентской игры (World of Warcraf) на сервер и обратно. Что странно, пакет идет поверх TCP (ожидал UDP)
    Отмечается в WireShark'е, как WOW.
    Сам пакет отображается без обозначений - Undefined Command (0x**), поэтому извлечь данные, как в Http и других распознанных пакетов - не удалось. Сам пакет - набор из байтов без интерпретации Шарком.


    Воспользовавшись гуглом нашел решение на гитхабе - вот толко оно для старой версии (3.3.5) там протокол WOWW. И, похоже, значительно отличается от текущего. Да и функционал другой.


    Мне бы очень хотелось выловить из потока данных координаты и структуры.
    Написал скрипт на Python, который преобразует каждые 12 байт в пакете в 3 Float'а и сравнивает модуль с диапазоном [5.0; 5000] - такой диапазон по модулю примерно не должны превышать координаты X,Y,Z. Иногда появляются координаты, только значение их очень "разбросано" есть сомнения, что это вообще не координаты.


    Из теории полагаю, что игровые пакеты идут по UDP и не шифруются (с целью экономии времени и, в следствии понижении пинга) но в этот раз закрались сомнения.

    Как можно решить данную задачу - узнать зашифрован ли пакет, как расшифровать, если не зашифрован - как выловить данные правильно? Интересуют только структуры игровых объектов, никаких паролей, логинов и тд не ищу. Благодарю за внимание.
     
  2. f13nd

    f13nd Well-Known Member

    Blog Posts:
    0
    Joined:
    Jun 22, 2009
    Messages:
    2,020
    Поправлю на затылке фуражку Адмирала Ясен Хрен и доложу, что это выясняется через реверс клиента игры.
     
  3. LastNoob

    LastNoob Member

    Blog Posts:
    0
    Joined:
    Jan 28, 2018
    Messages:
    80
    Никаких статистических методов анализа, никакой энтропии?
     
  4. f13nd

    f13nd Well-Known Member

    Blog Posts:
    0
    Joined:
    Jun 22, 2009
    Messages:
    2,020
    Может быть и есть криптоаналитические методы, позволяющие определить если не алгоритм шифрования, то хотя бы некоторые его свойства. Но в данном контексте смысла нету этим заниматься: у тебя есть редкая роскошь - доступ к самому алгоритму.
     
  5. ormoulu

    ormoulu Well-Known Member

    Blog Posts:
    0
    Joined:
    Jan 24, 2011
    Messages:
    1,206
    Все каким нибудь TLS накрыто скорее всего, т.ч. реверс клиента сначала на предмет шифрования, потом уже структуру разбирать.