如何解压缩/解密原始tcp数据?
我正在尝试查看发送到本地应用程序的一些数据。当我在wireshark中查看TCP数据包时,我看到的是原始TCP数据......
从我收集的内容来看,它似乎正在使用某种加密方式。有没有办法找出如何破坏它来读取里面的数据?
这是一个更大的样本十六进制转储
00000000 17 03 03 00 50 13 31 eb c1 49 10 81 4f a6 ee 04 ....P.1. .I..O...
00000010 00 c9 c4 d6 50 a1 37 ff 74 9a 30 73 69 03 39 92 ....P.7. t.0si.9.
00000020 65 58 a3 46 68 9e 85 f8 28 85 7e c4 2d 1b 5f ea eX.Fh... (.~.-._.
00000030 22 3d 35 47 db 0c e7 a0 dd 18 72 fe 5f c8 20 70 "=5G.... ..r._. p
00000040 67 5c 98 cb d5 b9 8b 55 13 a8 0d fb 90 ce ab 4d g\.....U .......M
00000050 b6 67 50 f7 73 .gP.s
00000055 17 03 03 00 50 86 d9 02 f1 41 df 04 50 f2 64 60 ....P... .A..P.d`
00000065 cc 7e 11 57 36 0c 51 40 e4 87 09 01 bf ac 8c 6b .~.W6.Q@ .......k
00000075 ed 61 42 f5 61 2d d9 00 11 b5 03 65 c6 b7 09 12 .aB.a-.. ...e....
00000085 93 cf db f7 4f b6 9a 97 b0 97 7d b6 09 ba 7b bb ....O... ..}...{.
00000095 a8 30 34 f2 6e 32 8e ca b4 e7 81 46 4a e9 56 e6 .04.n2.. ...FJ.V.
000000A5 5d 2d b1 d4 69 ]-..i
000000AA 17 03 03 00 50 72 f9 60 9d 27 ae 99 f4 22 97 3f ....Pr.` .'...".?
000000BA da c9 e4 04 87 8c 99 b9 85 f0 bd b0 ab 53 9b 55 ........ .....S.U
000000CA 69 fe e4 fd 95 51 bc 93 9e d3 df c3 08 eb cf 87 i....Q.. ........
000000DA b8 f5 fe 58 56 16 5e 57 a1 87 65 84 2c bf c4 01 ...XV.^W ..e.,...
000000EA a9 a0 c6 6f 68 0a b3 a8 3b 96 d3 85 47 b6 a3 af ...oh... ;...G...
000000FA 56 ac 87 e2 c2 V....
000000FF 17 03 03 00 50 98 de 10 d8 ef e3 21 3d fc 80 54 ....P... ...!=..T
0000010F 34 4e 88 52 b0 88 d1 c8 ed b1 5b e0 6b aa 08 49 4N.R.... ..[.k..I
0000011F e5 ec 98 f1 fb cc a6 0e 30 69 9d e3 c3 9e 36 a4 ........ 0i....6.
0000012F bc 78 36 b1 41 80 82 0c 0f 98 6e 6c 64 b0 43 55 .x6.A... ..nld.CU
0000013F 4a 17 1c fd 89 8b 80 28 54 bb 5d 1d 86 af b5 30 J......( T.]....0
0000014F 60 00 30 2d 02 `.0-.
00000154 17 03 03 00 50 21 64 38 5b a5 87 e4 e9 5f a5 88 ....P!d8 [...._..
00000164 82 83 32 6f 53 39 d2 42 6e 5c a7 0f df 7b 1b ee ..2oS9.B n\...{..
00000174 0c a2 6d 1a 30 60 ca aa 5a 42 20 03 e7 af 69 bf ..m.0`.. ZB ...i.
00000184 7e 91 b1 0f 62 52 b5 ff dd ba e2 3b 1f f3 dc ca ~...bR.. ...;....
00000194 f1 6e 0d 99 f6 91 c6 54 fb b3 8b 11 38 5e d6 19 .n.....T ....8^..
000001A4 22 58 cd a0 61 "X..a
000001A9 17 03 03 00 50 01 f6 d6 a4 7b 5b 71 73 29 e8 21 ....P... .{[qs).!
000001B9 fa 55 c0 26 77 43 41 12 be 52 2b d0 8d dd 03 8c .U.&wCA. .R+.....
000001C9 bc 64 d0 16 b0 51 7a e3 d2 fe 10 41 24 0e be c1 .d...Qz. ...A$...
000001D9 99 bb 7d 3e 07 3f f0 9d 00 5a 58 57 c2 17 c1 c6 ..}>.?.. .ZXW....
000001E9 fd 99 5a 78 aa af 31 e0 e0 80 37 4b 31 e6 14 41 ..Zx..1. ..7K1..A
000001F9 92 08 4d a8 a1 ..M..
000001FE 17 03 03 00 50 a9 d7 94 93 8a e2 e1 6f e0 c2 92 ....P... ....o...
0000020E 74 7c 02 0f 07 9b f2 fc 99 8e 00 1a 38 d3 0b ae t|...... ....8...
0000021E 5f 2a e7 ff 23 94 b8 d7 a8 3a 44 c5 15 85 6c 31 _*..#... .:D...l1
0000022E 91 7e ff 78 36 80 ee 77 d1 2f 2b 44 f9 89 35 a8 .~.x6..w ./+D..5.
0000023E ed 24 87 61 2a ca f4 6f 97 ce fb ea fb 1f 9e df .$.a*..o ........
0000024E 2e fe 71 e7 40 ..q.@
00000253 17 03 03 00 50 90 80 df 3c 8e 07 38 ef 42 6a 2d ....P... <..8.Bj-
00000263 ae 04 b8 c2 2b cf c6 73 5e 11 a0 52 bc e2 64 ac ....+..s ^..R..d.
00000273 c5 9b 45 fc 31 5e eb b9 b9 e3 5c 74 00 b0 60 27 ..E.1^.. ..\t..`'
00000283 6a 00 59 5b 3c 3f 56 19 34 45 82 ef 1a 4e f3 fc j.Y[<?V. 4E...N..
00000293 2b 36 d5 ca 15 19 93 5f 21 ac 57 23 64 d0 ef 37 +6....._ !.W#d..7
000002A3 53 0a 85 07 34 S...4
1 个答案:
答案 0 :(得分:3)
从图像中可以看出数据以17 03 03开头。这可能是TLS记录的开始,即0x17(23)是application_data内容类型,0x0303是TLS版本(TLS 1.2)。
如果您可以访问用于加密的密钥或者可以派生这些密钥,则只能解密TLS数据。有权在访问必要数据后解密此类流量,请参阅the Wireshark Wiki。
当然,这可能是一个完全不同的协议,它只是看起来像你所展示的单个数据包中TLS记录的开头。问题的背景和细节太少,无法确定。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?