Как из данных получить опкод?

[Lordronn]

Написал прокси сервер для вов. Все работает, но нужно сделать запись в файл. Напоролся на проблему при определении опкода. Я думал что опкод - первый 4 байта в данных, которые мы передаем, но это не так - получаю чистый бред(имеется снифф в 4.1.0 для проверки). Как из данных получить опкод???

[Йоха]

Размер опкода равен 2 байтам если пакет от сервера клиенту, и 4 байта если от клиента серверу.
Более того, первым идет 2 байта длина пакета (возможно 3 байта если 8 бит установлен в 1)

[RomanRom2]

в альфе вот например опкод в обе стороны int32 был.
йоха не сказал самого главного - длина пакета и опкод - это заголовок пакета. заголовки шифруются сессионым ключем. без дешифрации и будет "бред".
а зачем тебе опкод во время снифинга? пиши весь трафик без разбора (формат RAW) и выдирай ключ. мы потом этот raw расшифруем в pkt.

[Йоха]

Цитата:

Сообщение от RomanRom2

а зачем тебе опкод во время снифинга? пиши весь трафик без разбора (формат RAW) и выдирай ключ. мы потом этот raw расшифруем в pkt.

Кстати сейчас некоторые проблемы с расшифровкой raw файлов. Дело в том что клиент может по сто раз открывать/закрывать соединение с основным потоком данных. нпример при входе/выходи из инста, бг или телепорте на другой континет. Для определения контекста соединения необходимо отслеживать момент установки/разрыва соединения. Без этого расшифровка невозможна.

Я у себя в raw снифере вставлял дополнительно в выходной файл пустые пакеты, по которым конвертер в пкт определял что соединение закрыто.
А если такого не делать, то конвертер не узнает когда нужно закрывать контекст и когда создавать новый

[Lordronn]

Я верно понимаю:
в dataLength пишем длинну данных, которые проходят через прокси, а в byte[dataLength] data - сами данные. Без каких либо манипуляций с ними.

Цитата:

в альфе вот например опкод в обе стороны int32 был.
йоха не сказал самого главного - длина пакета и опкод - это заголовок пакета. заголовки шифруются сессионым ключем. без дешифрации и будет "бред".
а зачем тебе опкод во время снифинга? пиши весь трафик без разбора (формат RAW) и выдирай ключ. мы потом этот raw расшифруем в pkt.

Для меня проэкт носит обучающий характер, по этому был бы благодарен за информацию о том, как с помощью ключика расшифровываются эти данные. Где-то слышал что для этого используется SHA256, но не уверен

Цитата:

а зачем тебе опкод во время снифинга?

Красиво в консоли смотрится)

[Йоха]

тут есть практически все по этому поводу : http://мангос.рф/showthread.php?t=419

[RomanRom2]

Цитата:

Сообщение от Йоха

Кстати сейчас некоторые проблемы с расшифровкой raw файлов.

во многом поэтому я разные сессии пишу в отдельные файлы. и не поверите - никаких проблем
(добавлено) и еще, кажется, это легко отслеживается по опкодам типа
SMSG_CONNECT_TO = $050D;
CMSG_CONNECT_TO_FAILED = $050E;
SMSG_SUSPEND_COMMS = $050F;
CMSG_SUSPEND_COMMS_ACK = $0510;
SMSG_RESUME_COMMS = $0511;
CMSG_AUTH_CONTINUED_SESSION = $0512;
CMSG_DROP_NEW_CONNECTION = $0513;
не знаю как они в мангосе называются (вроде не так).

Цитата:

Сообщение от Lordronn

Я верно понимаю:

верно.

Цитата:

Сообщение от Lordronn

как с помощью ключика расшифровываются эти данные

точно так же как и в сервере. обсолютно.

Цитата:

Сообщение от Lordronn

Красиво в консоли смотрится)

понимаю. мой первый релиз снифера тоже был с "красивым" выводом в консоль, только тогда мы с мунчей "охренели" от того, сколько там всего ходит, оказывается. только я быстро понял, что это лаги всё, не нужно это. ошибки в проксе приводят к разрыву соединения и мои геймеры-сниферы ругались по этому поводу матом. да, прямо изо рта. переделал на сбор raw и потом спокойно конвертил в оффлайне.

[LordJZ]

Цитата:

Сообщение от RomanRom2

...
понимаю. мой первый релиз снифера тоже был с "красивым" выводом в консоль, только тогда мы с мунчей "охренели" от того, сколько там всего ходит, оказывается. только я быстро понял, что это лаги всё, не нужно это. ошибки в проксе приводят к разрыву соединения и мои геймеры-сниферы ругались по этому поводу матом. да, прямо изо рта. переделал на сбор raw и потом спокойно конвертил в оффлайне.

^ this! Я тоже по этому поводу спорил с Konctantin регулярно.

[Lordronn]

У меня верный сессион адрес или нет? А то читаю и получаю одни нули

Код:

0x00D03F14

[Йоха]

какая ОС ?

[Lordronn]

Винда СП3. Я передвигаюсь к этому адресу и читаю 40 байт и получаю нули. Возможно надо еще что-то?

ПС: ключ сессии есть всегда в памяти или он генерируется лишь при приходе опр. пакета???

[Йоха]

какая ошибка при этом ?

дебаг привелегию установил ?

я читаю ключ из памяти как только приходит 3 пакет. К этому времени клиент уже должен быть готов расшифровывать заголовки, соответсвенно криптосистема инициализирована и готова к использованию.

[Lordronn]

Цитата:

какая ошибка при этом ?

никакой. Просто все 40 элементов байтового массива равен нулю

Цитата:

дебаг привелегию установил ?

сделал и с привелегией для сниффера - также нули

Цитата:

я читаю ключ из памяти как только приходит 3 пакет. К этому времени клиент уже должен быть готов расшифровывать заголовки, соответсвенно криптосистема инициализирована и готова к использованию.

Я пытался прочитать после запуска и в меню выбора персонажа - ничего. Сейчас попытался прочитать на выборе реалма(все они в дауне из-за проф. работ) - также

[Йоха]

Цитата:

Сообщение от Lordronn

никакой. Просто все 40 элементов байтового массива равен нулю

это весьма странно, точно ReadProcessMemory завершается успешно ?

Цитата:

Сообщение от MSDN

If the function succeeds, the return value is nonzero
If the function fails, the return value is 0 (zero)

[HuntsMan]

Это не оно?
http://filebeam.com/ab1cef2f12cfcd42...3ec24cd111.jpg

[Lordronn]

Я использую портированую функцию для C#. Почерпнул отсюда

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 15 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

Получилось прочитать!!!! Я читаю 40 байт с адреса

Код:

0x00D03F14

Прочитал в меню ввода логина и пароля. Теперь надо дождаться пока пройдут тех работы и сниффануть. Надеюсь все верно и RomanRom2 сможет расшифровать его

[TOM_RUS]

Цитата:

Сообщение от Lordronn

Я использую портированую функцию для C#. Почерпнул отсюда

*** скрытый текст ***

Получилось прочитать!!!! Я читаю 40 байт с адреса

Код:

0x00D03F14

Прочитал в меню ввода логина и пароля. Теперь надо дождаться пока пройдут тех работы и сниффануть. Надеюсь все верно и RomanRom2 сможет расшифровать его

var key = Memory.ReadBytes(Memory.ReadUInt(0x00D03F14) + 0x508, 40);

[Lordronn]

Ну вот побегал чуток для теста. Вот рав, расшифруйте пожалуйста.

[RomanRom2]

жаль что в снифе несколько сессий подряд. без знаний значений опкодов расшифровать будет невозможно.

[Йоха]

если я все правильно понимаю, каждая сессия заканчивается опкодом 0x404D направление: клиент-сервер (для билда 14007)
ну а открывается соответственно опкодом 0x4F57 направление сервер-клиент, хотя это не опкод, а первые два байта фразы "WORLD OF WARCRAFT CONNECTION - " ...

[LordJZ]

Цитата:

Сообщение от Йоха

...
ну а открывается соответственно опкодом 0x4F57 направление сервер-клиент, хотя это не опкод, а первые два байта фразы "WORLD OF WARCRAFT CONNECTION - " ...

Лучше туда писать нули вместо опкода. Алсо, http://ru-mangos.ru/showthread.php?t=4240

[RomanRom2]

Цитата:

Сообщение от Йоха

если я все правильно понимаю, каждая сессия заканчивается опкодом 0x404D направление: клиент-сервер (для билда 14007)
ну а открывается соответственно опкодом 0x4F57 направление сервер-клиент, хотя это не опкод, а первые два байта фразы "WORLD OF WARCRAFT CONNECTION - " ...

это сегодня. завтра поменяются опкоды (значения). послезавтра поменяются пакеты (порядок).
это всё build depended. нужно что бы так не было. не знаю, класть какой нибудь опкод FFFF к примеру, или нули. ну какой то маркер надо, если вам так принципиально все сессии класть в один файл.

[Йоха]

Цитата:

Сообщение от LordJZ

Лучше туда писать нули вместо опкода. Алсо, http://ru-mangos.ru/showthread.php?t=4240

это же raw трафик, туда ничего не пишется. Все так как пришло на сокет. В pkt файле там нули пишу

Добавлено через 2 минуты

Цитата:

Сообщение от RomanRom2

это сегодня. завтра поменяются опкоды (значения). послезавтра поменяются пакеты (порядок).
это всё build depended. нужно что бы так не было. не знаю, класть какой нибудь опкод FFFF к примеру, или нули. ну какой то маркер надо, если вам так принципиально все сессии класть в один файл.

я ж говорил, что в своем raw снифере вставлял в выходной файл пустые чанки - это был признак закрытия соединения. А новое соединение отлавливается легко по строке ip : port - socket handle(которая пишется в поле optional data у каждого чанка), если в текущей коллекции активных сокетов нет такой строки, то значит открылось новое соединение.

Вполне себе универсальное решение -)

[RomanRom2]

я тут сконвертировал снифы классика из пкт2 в пкт3, вместо 12 гигов получилось 15. представляю, сколько твои снифы будут занимать места, если в оптДата КАЖДОГО чанка класть строку iport (12.34.56.78:1234 - по меньшей мере 16 байт. а там еще и socket handle какой то...). жесть это как минимум расточительство, как максимум - это неправильно, не по феншую. вы неправильно используете преднозначение поля оптДата.

пустой чанк - вот это правильно. но теперь нужно выяснить, что такое "пустой чанк". маркированный каким то образом, я так понимаю.

я все же настаиваю на использовании какого нибудь специализированного опкода, например "минус еденица" (FFFF т.е.), т.к. "ноль" по идее уже "занят" - NULL_ACTION.

физический смысл оптДата - это "пометки на полях". каждый разработчик использует их на свое усмотрение. именно поэтому это поле уже не может быть использовано в прототипе.

prototype - своего рода metadata, описание полей/методов/свойств объекта, использующихся в протоколе. в нашем протоколе PKT 3.0 поле optData не может использоваться для работы этого самого протокола.

[HuntsMan]

А может просто в чанк raw 3.0 добавить новое поле connectionid, и соединения считать по нему?

[RomanRom2]

зачем? формат менять уже нельзя.
можно еще к опкоду FFFF использовать длину чанка FFFF, означающую буквально следующее: "прочитано -1 байт из сокета", что почти соответствует действительности, когда сессия заканчивается

[LordJZ]

Цитата:

Сообщение от Йоха

это же raw трафик, туда ничего не пишется. Все так как пришло на сокет. В pkt файле там нули пишу
...

В таком случае я не понимаю о чем спор. Если в raw пишутся данные с нескольких соединений, то я не вижу способов расшифровать такой дамп без порядковых номеров соединений (1,2,3,4,...) для каждого пакета, даже если знать границы соединений. Ведь состояния ARC4 у всех соединений разные. Номер соединения в данный момент можно хранить только в optData, поэтому универсального конвертера из raw в не-raw формат существовать не может. Я заблуждаюсь?

[RomanRom2]

блин, там же несколько соединений ОДНОВРЕМЕННО ...
надо думать...

сорри, у меня просто свежи воспоминания 3.3.5, когда соединения были последовательными.

[Йоха]

Цитата:

Сообщение от LordJZ

В таком случае я не понимаю о чем спор. Если в raw пишутся данные с нескольких соединений, то я не вижу способов расшифровать такой дамп без порядковых номеров соединений (1,2,3,4,...) для каждого пакета, даже если знать границы соединений. Ведь состояния ARC4 у всех соединений разные. Номер соединения в данный момент можно хранить только в optData, поэтому универсального конвертера из raw в не-raw формат существовать не может. Я заблуждаюсь?

все верно, необходимо что бы каждый чанк имел признак по которому можно было бы определить его принадлежность к конкретному номеру соединения. "Чистый" raw трафик не расшифровывается.
Я использую строку.

По поводу строки в optional data. Во первых формат не накладывает ограничений на содержимое этого поля, и хранение там строки абсолютно легально. К тому же никто не мешает после конвертации в pkt убрать вообще эти данные, тем самым уменьшить размер получаемого файла.

Да и вообще по большому счету не вижу смысла делать сниф в рав формат. Если уж руки и мозг позволяют написать снифер до состояние raw, то там недолго прикрутить и расшифровку и получается уже полноценный снифер в pkt -)))

Функция расшифровки есть в тиавпс, или тут можно спросить. Останется только написать алгоритм сборки расшифрованных пакетов из потока. А это уже чисто алгоритмическая задачка.

[RomanRom2]

все верно, формат не накладывает ограничений.
легковые автомобили, например, тоже можно использовать для перевозки цемента или трупов. но это как то неправильно чтоли

в общем да, судя по всему придется вводить еще одно поле для чанка - сквозной номер для идентификации соединения. это может быть что угодно, хоть секвенс, хоть автоинкремент, хоть номер сокета, кому как нравится. он же потом потребуется еще и в pkt, не забывайте.

хотя с другой стороны, оптДата для raw по сути не имеет смысла... это для pkt имеет смысл что то там записывать. в данном случае для raw можно использовать и оптДата. но во мне какие то внутренние противоречия по этому варианту

важно только, что бы это было стандартизировано.

[HuntsMan]

Цитата:

зачем? формат менять уже нельзя.

Разработать формат 3.1 с учетом новых новшеств.

[Lordronn]

Вот сделал под формат 3.1. Попробуйте пожалуйста.

[LordJZ]

Цитата:

Сообщение от Lordronn

Вот сделал под формат 3.1. Попробуйте пожалуйста.

Формат 3.1 еще не принят, я думаю не стоит выкладывать дампы в 3.1 до его принятия за пределами этой темы: http://ru-mangos.ru/showthread.php?t=1852

P.S. У меня не открывается

[Lordronn]

Это рав снифф, я в сниффере формат файла перепутал(изначально хотел расшифрованный трафик писать, но решил отложить это, а изменить расширение забыл)

[LordJZ]

Цитата:

Сообщение от Lordronn

Это рав снифф, я в сниффере формат файла перепутал(изначально хотел расшифрованный трафик писать, но решил отложить это, а изменить расширение забыл)

У вас порядок полей в chunk header кривой какой-то, а в середине вообще DataLength < 0

[Lordronn]

хм, пишу верно

Код:

            _writer.Write(packet.Direction == Direction.ToServer ? 'C' : 'S');
            _writer.Write("MSG".ToCharArray());
            _writer.Write(ConnectionId);
            _writer.Write(packet.TickCount);
            _writer.Write(1);
            _writer.Write(packet.Data.Length);
            _writer.Write((byte) 1);
            _writer.Write(packet.Data);

[Lordronn]

Поправил одну ошибочку в структуре + поправил запись коннект Ида