破译编码:分组的分析工具

StackOverflow https://stackoverflow.com/questions/541517

我正在寻找更好的工具,于查看这个。该问题随时查看是它不能格式化数据层的(这是唯一的一部分,我看)干净对我来说比较不同的报,并试图理解的第三方编码(它是关闭的来源)。

具体而言,什么是一些良好的工具,用于查看数据,而不TCP/UDP头的信息?特别是,一个工具,格式的数据进行比较。

是非常的具体:我想一个程序,比较多(不只是2)的文件在六角。

有帮助吗?

解决方案

您最好的选择,坦率地说,是推出自己的。

获取你是舒服,并开始劈砍而去这个问题的脚本语言。首先写了一个简单的多路比较,但只要你开始寻找你认为是显著(或者您认为可能是)回去,并将它们添加到代码模式 - 从输出消除它们,选中它们,它们翻译什么似乎是适当的 - 成另一种符号,与他们的“意思”或自己的角色的一些高层次的描述替换它们。如果你不能决定,使它的选项。

您所要求的可视化软件,因为你想要的东西,来帮助你形成并内化其编码的理解。但是,你要做出比较是只有你会使用(这是本质上是科学的方法)过程中的一部分 - 你还可以形成和修改哪些数据包的各个部分的意思是猜测,他们是如何互动等

没有预建工具将帮助你在那里,但一个好的脚本语言(比如Python和Ruby,甚至Perl)将有很大的帮助。当你形成理论,编写了起来,尝试一下。各地Mungle你的代码,尝试了不同的想法,因为它们发生于你,建立个性化这个问题的技巧的包包,你走。

- MarkusQ

P.S。不要陷入试图用C或Java或东西做这个陷阱。你会玩弄的,应该有一个工具,不需要变量声明,编译等,将有大量的机会把它收紧并重写它的一旦你了解它是如何工作。

其他提示

看看从BreakingPoint的实验室的这个博客帖子。他们正在讨论手动协议逆向工程和建立在 PacketFu 一套工具,使这个任务更容易。

有关你的问题是,可以很容易地确定并强调修改数据包的工具集。下面是一个例子截图,显示了用色勾勒出数据包的区别: “替代文字” 结果 <子>(来源: breakingpointsystems.com

你的问题是不要分析网络的数据,但比较的二进制文件描述了你的需求。

我要提取用应用数据通过意味着任何嗅探器,即通过tcpdump使用的描述为通过Zoreadche,或查看(即通过按照TCP届会议)。然后把它保存的文件和比较通过的任何文件比较工具。你可以试试这些(最受欢迎的):

  • Examdiff亲.真正的快速进行比较的目录。
  • Winmerge.虽然不尽快examdiff亲是开放源代码并不断迅速变化。这是我的第一选择。
  • Beyondcompare.这是唯一的文件比较的工具,我知道这不正是你所寻找的,这是比较尝试的文件,在同一时间。

有关HTTP只,我以前使用了一种叫做 Effetech 。结果,大工具 (虽然看它现在看来,他们支持的不仅仅是HTTP ....)

的问题是,在应用层数据不是标准(除了极少数例外,如HTTP,POP3等)。如果他们不知道格式Wireshark的类似工具无法解码此信息。

我知道抓包(现为Wireshark的)一些老版本有选项(您可能需要启用它)来显示有效载荷。希望它没有任何意义,大多数协议是二进制!

如果你有一个捕捉您与空灵做,你可以读取捕捉,或者你可以使用tcpdump做你的捕获。为了捕获使用像一个tcpdump命令的的tcpdump -s 0 -qn -X 下,或的tcpdump -X -r文件名将读出的捕获。

22:08:33.513650 IP 192.168.32.10.40583 > 69.59.196.211.80: tcp 1261
0x0000:  4500 0521 18ec 4000 4006 322a c0a8 200a  E..!..@.@.2*....
0x0010:  453b c4d3 9e87 0050 b0b6 4b4f 1598 0090  E;.....P..KO....
0x0020:  8018 1920 9b4f 0000 0101 080a 002e 701b  .....O........p.
0x0030:  093c bc38 4745 5420 2f75 7365 7273 2f32  .<.8GET./users/2
0x0040:  3032 3637 2f7a 6f72 6564 6163 6865 2048  0267/zoredache.H
0x0050:  5454 502f 312e 300d 0a48 6f73 743a 2073  TTP/1.0..Host:.s
0x0060:  7461 636b 6f76 6572 666c 6f77 2e63 6f6d  tackoverflow.com

,或有其它 tcpick ,可能是你想要的。可以捕捉TCP连接的有效载荷,并将其显示为十六进制或保存。

许可以下: CC-BY-SA归因
不隶属于 StackOverflow
scroll top