Opera https траффик

Тема в разделе "WASM.RESEARCH", создана пользователем d2k9, 9 авг 2010.

  1. d2k9

    d2k9 Алексей

    Публикаций:
    0
    Регистрация:
    14 сен 2008
    Сообщения:
    325
    Интересно, как можно получить весь https траффик в опере - для остальных всё ясно, в лисе PR_Read/PR_Write, осёл HttpSendRequest, а вот опера тёмный лес. Великий гугл молчит. Где-то проскакивала идея что хукается OpStart из opera.dll, только непонятно что это даёт. Видно надо искать неэкспортируемую функцию именно в opera.dll
     
  2. EvilsInterrupt

    EvilsInterrupt Постигающий азы дзена

    Публикаций:
    0
    Регистрация:
    28 окт 2003
    Сообщения:
    2.428
    Адрес:
    Russia
    Не большие подсказки:
     
  3. EvilsInterrupt

    EvilsInterrupt Постигающий азы дзена

    Публикаций:
    0
    Регистрация:
    28 окт 2003
    Сообщения:
    2.428
    Адрес:
    Russia
    А вообще рекомендую снять upx с opera.dll , там много чего интересного ;) Либо просто сдампить и в hiew строчки глянуть )
     
  4. EvilsInterrupt

    EvilsInterrupt Постигающий азы дзена

    Публикаций:
    0
    Регистрация:
    28 окт 2003
    Сообщения:
    2.428
    Адрес:
    Russia
    вообще рекомендую сделать небольшой мониторинг вызовов WSA* функций. Идея которого в следующем:
    1) перехват функций получения\отправки сообщений
    2) Детект момента получения ClientHello
    3) С этого момент начинать логировать стек вызовов в лог
    4) прекратить как встретилось ServerHello

    Этого очень даже достаточно, дальше уже будет слишком большой лог, в котором можно заблудиться )
     
  5. d2k9

    d2k9 Алексей

    Публикаций:
    0
    Регистрация:
    14 сен 2008
    Сообщения:
    325
    Ммм...
    • Опера шлёт|принимает данные через ws2_32.dll WSASend|WSARecv
    • Лучший прот юпкс с opera.dll снят
    • Найдены подозрительные упоминания об OpenSSL внутри opera.dll
    • Поиск SSL_Write по сигнатуре за неимением имени функции
    • мыслю далее
     
  6. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    d2k9
    Врятле она юзала бы иные способы.
     
  7. d2k9

    d2k9 Алексей

    Публикаций:
    0
    Регистрация:
    14 сен 2008
    Сообщения:
    325
    Clerk
    Мне от этого не легче, там ведь весь трафф уже пошифрован будет - если есть что-то кроме булочек велком! Как вариант бектрейс от самих вызовов WSASend|WSARecv до нахождения данных в девственном виде - но ИМХО изврат, сдохну пока отдебажу.

    P.S. Если хочется пооффтопить, то как такой вариант: NtDeviceioControlFile на \Device\Afd
    ^_^
    Ладно, вернёмся к нашим баранам...
     
  8. dendi

    dendi New Member

    Публикаций:
    0
    Регистрация:
    3 сен 2007
    Сообщения:
    233
    Она статически слинкована с OpenSSL. Реверсится за несколько часов при желании.
     
  9. EvilsInterrupt

    EvilsInterrupt Постигающий азы дзена

    Публикаций:
    0
    Регистрация:
    28 окт 2003
    Сообщения:
    2.428
    Адрес:
    Russia
    d2k9
    Раз есть упомянание о OpenSSL , то что мешает сходить на страничку этой либы и глянуть как все организовано?

    вот, нужная хрень:
    тута есть более высокуровневые Recv, Send и очевидно они юзаются, а не WSA*

    на будущее в других прогах, рекомендую смотреть и в :
     
  10. d2k9

    d2k9 Алексей

    Публикаций:
    0
    Регистрация:
    14 сен 2008
    Сообщения:
    325
    dendi
    Да, статическое линкование - за пару часов понятие растяжимое, может хотите проявить свои способности? оО
    EvilsInterrupt
    Чё за хрень-то? Мне надо https траффик, а не http который везде достаётся путём перехвата функций винсок.

    P.S. Версия оперы над которой идёт изврат 10.51
     
  11. dendi

    dendi New Member

    Публикаций:
    0
    Регистрация:
    3 сен 2007
    Сообщения:
    233
    Код купить хотите или чего? :lol:
     
  12. d2k9

    d2k9 Алексей

    Публикаций:
    0
    Регистрация:
    14 сен 2008
    Сообщения:
    325
    dendi
    Лучше подумать мозгами :lol:
     
  13. EvilsInterrupt

    EvilsInterrupt Постигающий азы дзена

    Публикаций:
    0
    Регистрация:
    28 окт 2003
    Сообщения:
    2.428
    Адрес:
    Russia
  14. d2k9

    d2k9 Алексей

    Публикаций:
    0
    Регистрация:
    14 сен 2008
    Сообщения:
    325
    EvilsInterrupt
    Уважаемый,
    каким боком это in middle относится к технике перехвата хуками OpenSSL на оси конечного юзвера?)
    Вы бы лучше оперу раскурочили до внятного состояния раз взялись, а не даркнет читали... Вот наработки по опере для дальнейших мыслей:
    *кто успел, тот и съел*
    Ничего нереального не бывает =)

    З.Ы. И на будущее - опера schannel.dll даже не грузит и в опенссл зав-тей нету от неё.
     
  15. EvilsInterrupt

    EvilsInterrupt Постигающий азы дзена

    Публикаций:
    0
    Регистрация:
    28 окт 2003
    Сообщения:
    2.428
    Адрес:
    Russia
    d2k9
    На конечном юзере, это вандализм! Если есть возможность не трогая юзеров и по середке, то как бы это сложно не было надо втыкать!
     
  16. d2k9

    d2k9 Алексей

    Публикаций:
    0
    Регистрация:
    14 сен 2008
    Сообщения:
    325
    EvilsInterrupt
    Цель оправдывает средства! Победителей не судят! И возможности нету - сто раз уже обсуждалось, что ругань на сертификат по-любому будет при подмене, а иначе гарантированно никак.
     
  17. freyr

    freyr New Member

    Публикаций:
    0
    Регистрация:
    23 фев 2010
    Сообщения:
    95
    передумали показывать ?
     
  18. freyr

    freyr New Member

    Публикаций:
    0
    Регистрация:
    23 фев 2010
    Сообщения:
    95
    чистое имхо, сообщение о ругани скрыть проще, чем писать много процедур под каждый браузер
     
  19. d2k9

    d2k9 Алексей

    Публикаций:
    0
    Регистрация:
    14 сен 2008
    Сообщения:
    325
    да буйня там была
     
  20. EvilsInterrupt

    EvilsInterrupt Постигающий азы дзена

    Публикаций:
    0
    Регистрация:
    28 окт 2003
    Сообщения:
    2.428
    Адрес:
    Russia
    >>да буйня там была
    а где не буйня? ты выложи, посмотрим, поправим ;) Интересно же )