总结
这段时间在分析包。
不同协议有不同的数据类型或结构。
如果有官方提供的协议数据输入工具(可视化, 非可视化皆可),可以辅助包分析。
为了得到一种数据结构在包中的信息(类型,偏移,数据),尽可能的做出同一种数据类型的多个字段一起输入。或同一个数据的连续摆放的布局。这样容易得到和总结出单个指定数据类型信息。
e.g. 假设是SQL中指定的数据类型,可以写这样的SQL
select field_int, field_int, field_int from tbl_my_full_data_type;这样抓包后,很容易看出int类型的数据的完整边界;配合上指定的容易分辨的数据,可以很快定位数据类型在包中的位置,信息,包特点。
如果只能分析被动得到的数据,那用的时间要多很多。所以合适的抓包样本对于分析包来说,效率和准确性方面,差别还是蛮大的。
如果实在总结不出数据的规律来(确实有这种情况), 只能去附加调试,单步跟一下了。如果到了非要无源码调试才行的场景,也是够头疼的。