[DEV]Java sniffer

[Evgeniy]

https://github.com/MinimaJack/JSniffer
для билда 16992,17055

Собирать

мавеном и gcc ( в зависимости от разрядности нужной версией mingw )

Код:

git clone https://github.com/MinimaJack/JSniffer.git
cd JSniffer (либо в каталог JSniffer/org.jmangos.sniffer/ для 64 битной версии библиотека уже собрана)
mvn package

забирать:

JSniffer/org.jmangos.sniffer/target/org.jmangos.sniffer-0.0.1-SNAPSHOT.jar
JSniffer/org.jmangos.sniffer/target/lib/*
JSniffer/org.jmangos.sniffer/dist/*all*
в JSniffer/org.jmangos.sniffer/dist/ лежат 64 битные библиотеки http://jnetpcap.com/download версии 1.4.r1390

в sniffer.properties настройки.

Код:

sniffer.networkDeviceIndex = 1

По умолчанию используется второй (отсчет от нуля ) интерфейс
для изменения настроек скопировать sniffer.properties из исходников и положить рядом с джарником. Ну и изменить настройки.
sniffer.log.enablePkt = 1 - сохранять лог в пкт формат(версия 3.1), по умолчанию включен
sniffer.log.enableTxt = 0 - сохранять лог в тестовой формат, по умолчанию выключен

Архив со всем добром: sniffer.zip

Запускать: run.bat
Для запуска:

• Необходима jre1.7
• Необходимо иметь установленую http://www.winpcap.org/ pcap библиотеку.
• Необходимо запускать wow.exe, либо в лаунчере указать на запуск 32 битной версии вова
• необходимо запускать снифер с админскими правами

Измененная версия WoWPacketViewer-а от TOM_RUS для поддержки пкт 3.1 Release.zip. Парсеры ес-но надо обновлять вручную.
Теперь можно просмотреть тринити парсером https://github.com/TrinityCore/WowPacketParser

ззы проверил на 64 битной Windows 7601 в режиме запуска как 32, так 64 битной версии программы.

Build
17055 sniffer.properties

Код:

sniffer.build = 17055
sniffer.networkDeviceIndex = 0
sniffer.connection = 14928660
sniffer.key = 1288
sniffer.serverSeed = 08F1959F47E5D2DBA13D778F3F3EE700
sniffer.clientSeed = 40AAD392267143473A3108A6E7DC982A
sniffer.log.enablePkt = 1
sniffer.log.enableTxt = 0
sniffer.scriptDir = ./script/scripts.xml

Огромное спасибо
YuruY за тестирование.
RomanRom2 за помощь в разработке.

[Evgeniy]

Цитата:

Сообщение от YuruY

..пусто пока.(

после закрытия вова, да и переодически после каждого закрытого соединения
в логе будет что то типо такого:

Код:

08:54:59.012 [main] INFO  o.j.sniffer.handler.RawPacketHandler - Close Connection: 195.12.246.241 3724-192.168.1.101 57383
08:55:09.218 [main] INFO  o.j.sniffer.handler.RawPacketHandler - Close Connection: 195.12.246.239 3724-192.168.1.101 57384

16992_13F180D5B01.zip пример
Запускать с административными правами.
Что бы что то появилось, минимум необходимо зайти до выбора персонажа.

[Evgeniy]

Имеет ли смысл встраивать скриптование для обработки пакетов?
То есть либо, обработка пакета, либо запись дополнительных данных в лог файл, да и в общем то любых действий.

[RomanRom2]

нет, не имеет. пусть снифер занимается своим делом. обработку нужно делать в оффлайне.

единственный тип обработки мне приходит на ум - это то, что делал вад в свое время: радар детектор. приложение показывало видимые объекты вокруг в окошке.

[Evgeniy]

Цитата:

Сообщение от RomanRom2

нет, не имеет. пусть снифер занимается своим делом. обработку нужно делать в оффлайне.

единственный тип обработки мне приходит на ум - это то, что делал вад в свое время: радар детектор. приложение показывало видимые объекты вокруг в окошке.

я и намекал, что любых действий...радар также возможен
Конкретно о заполнении опциональных данных в снифах.

[Konctantin]

Кстати, от куда можно причитать ConnectionId (никак не могу найти)
Сейчас вот тестю свой инжектор, все пишется, а вот ConnectionId незнаю от куда вытащить.

ЗЫ. И еще один вопрос к знающим людям.
Для записи в файл я использую WinApi функции и вызываю их по оффсету в клиенте.
Может есть другой способ определить адрес импортированной функции?

[Evgeniy]

Цитата:

Сообщение от Konctantin

Кстати, от куда можно причитать ConnectionId (никак не могу найти)
Сейчас вот тестю свой инжектор, все пишется, а вот ConnectionId незнаю от куда вытащить.

без понятия как там в клиенте...у меня хеши джава объектов( грубо говоря хеш с портов и йп). Роман говорил, что подойдет и обычная нумерация. По идее, что бы отделить пакеты от разных серверов, подойдет что угодно.

[RomanRom2]

Цитата:

Сообщение от Evgeniy

По идее, что бы отделить пакеты от разных серверов, подойдет что угодно.

из разных коннектов. да, важно что бы эта нумерация не пересекалась в рамках одного снифа. а какие именно значения там будут - это не важно. важно, что бы они были уникальными.

[Evgeniy]

Обновил снифер для запуска пользовательских скриптов.
Скрипты на джава.
Папка со скриптами script/ (Обновился конфиг, добавился путь к хмл описанию скриптов)
scripts.xml - описание скриптов....йд скрипта, класс и путь к файлу скрипта.
Для примера написаны 2 скрипта:
TestScript.java - имплеминирует два интерфейса ScriptHandler и Runnable, означает что у него будет вызван(и должен существовать) метод initScript, Runnable - что скрипт будет запущен в другом потоке(будет выполнен метод run). В самом методе ничего интересного нет: в цикле отображается системное время 5 раз с промежутком в одну секунду.
UiLogger.java - имплемениерует PacketLogHandler - что означает, что данный класс будет добавлен в цепочку логеров на получение всех пакетов путем вызова метода:

Код:

public void onDecodePacket(NetworkChannel channel, Direction direction, Integer size,
            Integer opcode, byte[] data, int frame);

Конкретно данный класс создает гуи окно, показывает счетчик пакетов и по нажатию на закрытие(крестик) окна - отключает снифер.

Скрипты загружаются из хмл, но компилируются все вместе. Из-за чего ошибка в одном скрипте может не дать работать остальным.
Для работы со скриптами, а именно компиляции в рантайме, необходимо наличие установленой JDK. Для тех у кого нет JDK - скрипты работать не будут и в логе будет предупреждение.

[RomanRom2]

компиляцию в рантайме, по моему, может только дотнет делать. Nomad в свое время делал это в своем RunServer и мне показывал как это круто

[Evgeniy]

Цитата:

Сообщение от RomanRom2

компиляцию в рантайме, по моему, может только дотнет делать. Nomad в свое время делал это в своем RunServer и мне показывал как это круто

Ну джава и с# близки, компиляция в рантайме работает. Значит джава тоже может.

[RomanRom2]

да, мне мои джава-гуру-пацаны рассказали, джава тоже может, причем lдаже нативно. javax.script.*

[Evgeniy]

кто то пользуется? Или так ....есть и ладно?

[Evgeniy]

В шапке обновил конфигурацию для билда 17055

[RomanRom2]

пока нет. чото как то не улыбает выключение ASLR... надо что то думать.

[Evgeniy]

Теперь можно не отключать ASLR. В первом посте обновленный конфиг и release build.
Для включения ASLR удалить ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\Memory Management\MoveImages
либо импортировать reg файл из enableASLR.zip (запустить и импортировать)

[Evgeniy]

Вопросы, предложения, пожелания...
Пока из насущных проблем - написание С библиотеки для получения ключа под вайном. Pcap и Java работают замечательно, но вот с кодом на С у меня проблемы. Если кто желает помочь проекту в этом нелегком труде, буду только рад.
Имеет ли смысл создавать гуи?
Автоматическая загрузка снифов на сервера по фтп( либо другому протоколу)?

[RomanRom2]

предложения:
1. автоматический скан и получение ключа
2. полный инсталлер

гуи не надо, аплоад не надо.

[Evgeniy]

Цитата:

Сообщение от RomanRom2

предложения:
1. автоматический скан и получение ключа
2. полный инсталлер

гуи не надо, аплоад не надо.

Поконкретней...что значит автоматический скан?

[RomanRom2]

я вроде рассказывал в скайпе:
запускается снифер, выясняет билд клиента (например 17055).
читает свой конфиг и ищет запись типа
17055=F823AADC
ну типа адрес, где ключ читать.

если полученное значение равно ничему, то записи такой нет, значит надо запустить скан и найти адрес для этого билда.

таким образом в инишнике по сути копятся записи
17000=AABBCCDD
17020=BBCCDDEE
17055=CCDDEEFF

ну так по крайней мере сделано было у меня в снифере.
еще иногда оказывалось, что адрес был записан неверно или еще по каким причинам надо адрес получить заново. поэтому можно было пересканить принудительно, запустив снифер с определенным ключиком. можно конечно из инишника запись удалить, но скан у нас был насколько быстрым, что я запускал его каждый раз и не парился

[YuruY]

Под текущую реву 5.4.0 есть у кого сниффер?