Разшифровка получаемых FlashGеt3 сведений
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Разшифровка получаемых FlashGеt3 сведений - 2010-12-05 07:46:44.750000
|
|
|
Schemer
Сообщений: 3
Оценки: 0
Присоединился: 2010-12-05 06:42:07.843333
|
Sorry за Ашипки, просто я не Русский.
Сразу предупреждаю – я нифига в этом не разбираюсь и поэтому то и обращаюсь с вопросом.
Есть такой менеджер закачек – FlashGеt 3. В нем очень много рекламы, разработчики перебрали с этим.
Ссылка на программу: http://down5.flashget.com/flashget3.7.0.1152cn.exe (7,34 MB)
Собственно вопрос заключается в том как перехватить (именно перехватит а не заблокировать) получаемую рекламу, а лучше узнать формат в котором она ее получает.
То, что мне удалось узнать:
adconfig.ini
Прога хранить рекламу в файле %FlashGеt3%\dat\stat\advertisement\adconfig.ini
В ини фйале, вроде бы все понятно. В секции [ZipFile]в FileUrl ссылка на архив с рекламой, FileMD5 контрольная сумма, FilePath локальный путь. Реклама также, например [MainTop0] – Content=содержание(текст ссылки/локальный путь к изображения/swf файлу), ClickUrl ссылка рекламы начинается на al . 7pk . com /adpolestar/wayl/* в само конце непосредственно ссылка реклама, вначале видимо счетчик. ViewUrl – это непонел, еще раз счетчик? (ссылка идентична ClickUrl за исключением буквы s в слове ways, и нет в конце ссылки рекламодателя)
Остальные параметры непонятны, был бы благодарен если кто разберется.
fnsStatistics.dll
Программа использует этот файл для получения рекламы. А команда ‘netstat -v -b’ показала что непосредственно эта длл (fnsStatistics.dll) обращалась за рекламой на адрес ‘ad2 . flashgеt . com’ (тут я немного забежал в перед. а вообще удалось установить что именно этот адрес используется программой для этих целей).
Открытие файла в текстовом редакторе еще кое-что прояснило.
dll’ка записана в юникоде, что усложнило поиск в ней по тексту в hex редакторе. Удалось найти в ней адрес ‘аd2.flashgеt.соm’ сразу за ним следуют надписи:
—–netTcpSocket.Connect—–
—–netTcpSocket.SendData—–
—–netTcpSocket.RecvData–%d—
—–netTcpSocket.RecvData2—%d-
Эти надписи она видимо должна выводить в лог (храниться в той же папке что adconfig.ini и имеет имя log_dll.ini). Из них можно сделать вывод, что программа сперва посылает некую информация о себе, затем получает в ответ данные. Может в два этапа, а может два разных типа данных.
Сразу после еще есть текстовые строчки:
send ad2 package size = %d decrypt the ad zip data, result = %d; Buflen = %d ad file length = %u ,crc value = %u uncompress the ad zip file, result = %d, xml size is = %d crc the ad file data, crc value from server = %u, local value = %u
Из чего становиться понятным еще кое-что:
(из файла adconfig.ini известно что сами фалы рекламы (swf, gif, тоесть непосредственно баннеры) перед распаковкой и использованием храняться и получаются в зип файле. А тут речь идет непосредственно о данных рекламе, тоесть то что в итоге записывается в adconfig.ini.)
Из текста для лога (который кстате в логе не выводится, наверное предназначался для отладки и в целях конспирации скрыт) можно предположить что эту информацию он получает в зип и вроде как в зашифрованном виде(это как, пароль чтоль?), да еще и на каждом шаге проверяет целостность файлов (наверно ищет подмену :D). Архив содержит видимо xml файл. Ах да и еще раз подтверждается что ФГ посылает какую-то информацию и видимо немаленькую что она взвешивается. Может просто инфу о версии проги, ОС, ну там время, язык системы, проги и т.д. а может чего еще не доброго. Кто ее знает чего она там собирает о нас и шлет неизвестно куда.
Дальше еще есть:
——–Receive advertisement info from tcp server——-
—-
—-the redraw dns = %s
—-port = %d
Это уже не столь важно да и дальше уже не относится к рекламе. Этот модуль еще отвечает за кучу всего связанного с приемом/отправкой информации в нет для проги.
Анализ трафика
Попытка заблокировать полный доступ для программы в нет, открытие оного на отдельные адреса, привело к тому что удалось вычислить откуда FG3 тянет рекламу (не саму, а инфу про нее имеется ввиду) – “ad2 . flashgеt . com”, ip адрес которого – ‘221.123.176.десять’. Если заблокировать всё и только дать доступ на AD2 флэшгет успешно скачивает и обновляет файл информации о рекламе (adconfig.ini). К слову ФлэшГет обновляет этот файл стабильно при каждом запуске, если обновляется ссылка на архив с контентом то удаляет весь текущий контент и перекачивает архив.
Обращается на АД2 всегда с порта 1452, и ответы тоже на этот порт получает. У AD2 же всегда порт 80. Ни каких тебе стандартных get/post запросов, сперва отправил байтов на 200 непонятной инфы потом принял/отправил килобайт на 10. В принятых пакетах не обнаружено признаков ни zip ни вообще чего-либо знакомого. Может файл шифрован а может и файл и соединение.
Итог
Вот это бы и хотелось узнать. В какой формат они шифрует и как это делает. А еще лучше воспроизвести все это, подложить проге и она съела как родные.
Тут я вижу два направления в которых можно копать – это перехват и расшифровка пакетов. И обратный инжиниринг fnsStаtistiсs.длл.
Ни в том ни в другом я не разбираюсь8|. Прошу помочь!
|
|
|
|
|
RE: Разшифровка получаемых FlashGеt3 сведений - 2010-12-05 10:52:08.620000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Ну ты максимально все разобрал и даже написал два направления куда топать. Однако если трафик действительно зашифрован, то останется только реверсить библиотеку.
Чтобы подсунуть другие данные необходимо как минимум свой сервак ибо надо отвечать проге, т.е. это уже из другой области.
Вы говорите не разбираетесь и написали столько анализа. Вряд ли кто-то будет бесплатно будет заниматься такой странной идеей. Мое предложение все таки начать изучать основы реверсинга с http://www.wasm.ru/series.php?sid=17
|
|
|
|
|
RE: Разшифровка получаемых FlashGеt3 сведений - 2010-12-05 15:05:37.976666
|
|
|
Schemer
Сообщений: 3
Оценки: 0
Присоединился: 2010-12-05 06:42:07.843333
|
Спасибо. Так и знал что самому придется ассемблер изучать, поэтому уже начал до написания вопроса. Но все же это долго… А свой серв как раз таки не проблема. Насчет расшифровки трафика, может китайцы не стали изобретать велосипед, и прога использует какой известный формат шифрования, если узнать, только ключ подобрать? Так что вопрос остается в силе. По финансовой стороне вопроса, есть одна идейка, и если это хоть копейку принесет готов поделиться…
|
|
|
|
|
|
