Opera https траффик

Discussion in 'WASM.RESEARCH' started by d2k9, Aug 9, 2010.

  1. V0ldemAr

    V0ldemAr New Member

    Blog Posts:
    0
    opera.dll надо хукать и опенслл у них модифицирования по сигнатурам ненайдешь, помню долго дебажил пока сделал перехват https тогда 10 опера была еще в бете и сиги постоянно менялить с каждым апдейтом.

    d2k9
    А зачем вам https хукать?
     
  2. d2k9

    d2k9 Алексей

    Blog Posts:
    0
    V0ldemAr
    Всё так - узнавал в процессе подробности. Был научно-исследовательский интерес: почему осла, лису похукали все кому не лень, а оперу нет.
     
  3. maybeZ3N

    maybeZ3N New Member

    Blog Posts:
    0
    Да, всё, наверно, как и всегда. Что народ юзает, то и похукали. Осла так точно поэтому хукнули. А лису может быть изза простоты. Даже и не знаю, у кого пользователей больше.
     
  4. ptr

    ptr New Member

    Blog Posts:
    0
    ставь брекпоинт на WSASend, смотриш стек вызовов, ставиш бряк на первый call, делаешь трейс с поиском строки из хидера,(ставишь флажок Always trace over system DLLs) и через несколько мин. (у меня ~10мин) попадешь в функцию. ищешь сигнатуру. профит :)
    ps: можно использовать плугин для ольги - MemoryWatch
     
  5. d2k9

    d2k9 Алексей

    Blog Posts:
    0
    ptr
    Хороший совет. Будет время надо попробовать. Какая строка из какого хидера имеется ввиду? Под поиском сигнатуры подразумевается её выделение для последующего лёгкого использования в кодинге?
     
  6. ptr

    ptr New Member

    Blog Posts:
    0
    любая, например 'Host: '.
    это не экспортируемая функции из opera.dll
     
  7. d2k9

    d2k9 Алексей

    Blog Posts:
    0
    Ага, ясно, трейс до поиска ещё не зашифрованных данных - вот засада, не могу в этом новомодном Immunity Debugger найти условие для трейсинга в которое заносится строка, что-то в Set condition не наблюдается такого :dntknw:
    Это понятно, жаль из версии в версию они будут различаться, нельзя сделать универсальный вариант без дебагера :dntknw: