[求助]HOOK国内某款游戏客户端，拿到16进制Data AMF3转Json一些问题求前辈指点..-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]HOOK国内某款游戏客户端，拿到16进制Data AMF3转Json一些问题求前辈指点..

发表于: 2017-3-17 23:51 4276

[求助]HOOK国内某款游戏客户端，拿到16进制Data AMF3转Json一些问题求前辈指点..

飞飞飞飞飞

活跃值

2017-3-17 23:51

4276

通过Hook解密后得到数据地址和长度，在下图其实已经可以看到gameMode之类的明码数据了。

理论上来说这应该是AMF3数据但是查了些资料发现不太符合AMF3结构 17 03 03 03 70 开头的什么鬼

网上看都是 00 03 之类的，求解这是什么格式的数据以及如何转换json 或者提供些资料。谢谢了

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・2

免费・0

支持

分享

最新回复 (17)
FANTASYING 雪币： 2235 活跃值： (1410) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 157 粉丝 7 关注私信	FANTASYING 2 楼真正解密的地方并不在这，这个还是https的数据，再单步找他解密 2017-3-18 09:20 0
飞飞飞飞飞雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	飞飞飞飞飞 3 楼 FANTASYING 真正解密的地方并不在这，这个还是https的数据，再单步找他解密这个是adobe桌面客户端啊，TCP传的啊.. 咋变成https数据了 2017-3-18 10:48 0
hrpirip 雪币： 55 活跃值： (531) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 4 楼这不是LOL么。。。这个东西需要修复头部的，EncryptMessage处的报文并不是标准的(有些许改造字节的)，从Adobe Air.dll里头的两个点才是正确的 2017-3-18 12:51 0
飞飞飞飞飞雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	飞飞飞飞飞 5 楼 hrpirip 这不是LOL么。。。这个东西需要修复头部的，EncryptMessage处的报文并不是标准的(有些许改造字节的)，从Adobe Air.dll里头的两个点才 ... 我就是拿的Air里面的两CALL加一个decrypt的CALL，现在上面已经看到我想用的gameMode，mapId之类数据了。这东西不太符合格式没法转还用不了哎！！，收数据的CALL拿到的是乱的，我跟踪看执行完decrypt的CALL就解成上面图的数据了。 2017-3-18 13:35 0
hzqst 雪币： 12876 活跃值： (9352) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1795 粉丝 606 关注私信	hzqst 3 6 楼 17 03 03 03 70 是RTMPS的SSL协议头部，你找错地方了给你个提示：\TGP\apps\Pallas\lol_util.dll 自己IDA一下，你懂的顺便这个Air客户端不久就要淘汰了，外服现在都是H5的端了 2017-3-18 14:54 0
xietao 雪币： 117 活跃值： (57) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 72 粉丝 0 关注私信	xietao 7 楼 hzqst 17 03 03 03 70 是RTMPS的SSL协议头部，你找错地方了给你个提示：\TGP\apps\Pallas\lol_util.dll 自己I ... 这个说对了, 你再往下找找, 在这里你还要解析RTMP协议, 客户端自己就会解析, 找到解析之处直接拿到完整的AMF3数据岂不美哉 2017-3-21 09:42 0
飞飞飞飞飞雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	飞飞飞飞飞 8 楼 xietao 这个说对了, 你再往下找找, 在这里你还要解析RTMP协议, 客户端自己就会解析, 找到解析之处直接拿到完整的AMF3数据岂不美哉再往下跟了，还没找到.... 2017-3-21 11:36 0
飞飞飞飞飞雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	飞飞飞飞飞 9 楼 hzqst 17 03 03 03 70 是RTMPS的SSL协议头部，你找错地方了给你个提示：\TGP\apps\Pallas\lol_util.dll 自己I ... 没事一时半会估计替换不了，新版本用着体验不好估计还要迭代一段时间 2017-3-21 11:38 0
hzqst 雪币： 12876 活跃值： (9352) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1795 粉丝 606 关注私信	hzqst 3 10 楼飞飞飞飞飞没事一时半会估计替换不了，新版本用着体验不好估计还要迭代一段时间思路我都告诉你了，自己IDA TGP的dll吧~ 2017-3-21 11:48 0
飞飞飞飞飞雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	飞飞飞飞飞 11 楼 hzqst 思路我都告诉你了，自己IDA TGP的dll吧~ 非常感谢 2017-3-23 14:52 0
xietao 雪币： 117 活跃值： (57) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 72 粉丝 0 关注私信	xietao 12 楼飞飞飞飞飞 [em_67]非常感谢我试了一下, 顺着这个数据确实可以跟到AMF3数据的完全解析, 解析函数最终返回一个AMF3对象, 里面有AMF3数据指针地址和类型等等信息, 你多半没跟踪对 2017-3-24 21:02 0
kakasasa 雪币： 577 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 294 粉丝 5 关注私信	kakasasa 13 楼 hzqst 17 03 03 03 70 是RTMPS的SSL协议头部，你找错地方了给你个提示：\TGP\apps\Pallas\lol_util.dll 自己I ... html5的新版如何办,hook收包得到楼主相同的数据,同样单步么?有搞过的指点下,谢谢 2017-3-27 01:55 0
hzqst 雪币： 12876 活跃值： (9352) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1795 粉丝 606 关注私信	hzqst 3 14 楼 kakasasa html5的新版如何办,hook收包得到楼主相同的数据,同样单步么?有搞过的指点下,谢谢新版的自己凉拌啊 2017-3-27 10:13 0
飞飞飞飞飞雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	飞飞飞飞飞 15 楼 xietao 我试了一下, 顺着这个数据确实可以跟到AMF3数据的完全解析, 解析函数最终返回一个AMF3对象, 里面有AMF3数据指针地址和类型等等信息, 你多半没跟踪对已经解决了，谢谢 2017-3-27 15:44 0
飞飞飞飞飞雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	飞飞飞飞飞 16 楼 kakasasa html5的新版如何办,hook收包得到楼主相同的数据,同样单步么?有搞过的指点下,谢谢新版客户端还没用过，新客户端估计不是AMF的数据了.. 有空在搞. 2017-3-27 15:46 0
xietao 雪币： 117 活跃值： (57) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 72 粉丝 0 关注私信	xietao 17 楼飞飞飞飞飞新版客户端还没用过，新客户端估计不是AMF的数据了.. 有空在搞. 恭喜你, 猜对了, 新版客户端不再是AMF3格式了 2017-3-27 15:54 0
封心aa 雪币：活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	封心aa 18 楼 hrpirip 这不是LOL么。。。这个东西需要修复头部的，EncryptMessage处的报文并不是标准的(有些许改造字节的)，从Adobe Air.dll里头的两个点才 ... 在吗。。 2017-4-26 19:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

飞飞飞飞飞

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区