逆向分析的目的.doc

逆向分析的目的.doc:..[安腾客户端(应用层)逆向分析报告][附视频]作者:覃tl鸿日期:2011/1W9目录[安腾客户端(应用层)逆向分析报告][附视频] 1客户端介绍 1逆向分析的目的 1客户端工作原理 2客户端发送数据包分类 2各类包发送过程 2发送UDP包到远程3848端口主函数 2数据加密算法函数(加密算法一): 6发送UDP包到远程3849端口主函数 7数据加密算法函数(加密算法二) 10心跳包发送主函数 11数据加密算法 16网络封包规则 16登陆认证封包(2个包) 16登录认证封包说明 16心跳封包(每隔30秒发送一个心跳包) 17心跳包封包说明 17附录 17客户端介绍安腾校园网宽带认证计费管理系统是一应用比较多的校园宽带计费解决方案,很多学校都使用了这套系统。安腾校园计费系统包含服务器系统端和客户端,用户需要安装[安腾客八端]后才能计费上网。()逆向分析的目的用户在使用客户端的时候经常会出现莫名的问题,有时候就连学校网络中心也无法解决的。为了深入探索问题的所在,需要对安腾客户端进行逆向分析。客户端工作原理1) (socket句柄1,本地端口4999,远程端口3850),服务器只做初始化,不返回信息到客户。2) (socket句柄2,本地端口3848,远程端口3848),服务器返冋信息到客户。3) (socket句柄3,本地端口任意,远程端口3849),服务器返回信息到客户。4) 客户端每隔30秒发送一UDP包(变动包)(socket句柄2,本地端口3848,远程端口3848),服务器返回信息到客户。(说明:socket句柄值在300左右变化。有中间驱动层)客户端发送数据包分类第一类包:*远程Ip地址::4999远程端口:3850第二类包:*远程Ip地址::3848远程端口:3848第三类包:*远程Ip地址::任意远程端口:3849第四类包(心跳包,每隔30秒发送一个包):*远程Ip地址::3848远程端口:3848(跟第二类包发送的socket句柄相同,远程ip地址相同,本地、远程端口相同,数据加密算法相同,数据包封装方法不同。)各类包发送过程发送UDP包到远程3848端口主函数00416AD0/$81EC64060000SUBESP,-B977010000MOVECX,,>LEAEDI,DWORDPTRSS:[ESP+90],DWORDPTRSS:[ESP+8]:ABREPSTOSDWORDPTRES:[EDI]00416AECI-8D4C240CLEAECX,DWORDPTRSS:[ESP+C]>LEAEAX,DWORDPTRSS:[ESP+A2]00416AF7I---C7055C3E5200>MOVDWORDPTRDS:[523E5C],:[ESP+1C],>MOVDWORDPTRSS:[ESP+20],1200416B181-;,DWORDPTRSS:[ESP+20],;,FFFFFFFF00416B2A1-33C0XOREAX,