注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

且行且记录

点滴记录,行的更远!

 
 
 

日志

 
 

取Q的地址  

2013-03-20 12:13:54|  分类: 调试记录 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

以前我通过给对方发个图片,然后嗅探一下,对方的IP就出来了。

今天下了一个别人的代码,估计也是这种方法。

sendto的长度为27并且头个字节内容为3时,此时的to地址里面就是对方的IP。

对方的Q号则在偏移23开始的4个字节。

这些数据都是大端形式。


用于调试用的断点,可能如下,我也不知道起不起作用。

bp WS2_32!sendto "r $t0=poi(@esp+8);r $t1=poi(@esp+c); j (@$t1==0n27 & by(@$t0)==3) '.echo ===sendto_qq===;db @$t0+0n23 l4;.echo ===sendto_ip===;db poi(@esp+14) l8;gc';'gc'"


下午测了下,有输出,但是没格式化,不太好懂。

===sendto_qq===
05a80da7  xx xx xx xx

===sendto_ip===
0012f89c  02 00 28 b9 xx xx xx xx

可以用.printf命令格式化一下,但是我放在一个语句里,发生错误。不知道如何搞定。

0:000> .dvalloc 1000
Allocated 1000 bytes starting at 002e0000
0:000> eb 2e0000 02 00 28 b9 xx xx xx xx

0:000> eb 2e0010 xx xx xx xx

0:000> db 2e0000 l20
002e0000  02 00 28 b9 xx xx xx xx-00 00 00 00 00 00 00 00  ..(.:...........
002e0010  xx xx xx xx 00 00 00 00-00 00 00 00 00 00 00 00  .-..............

0:000> r $t0=2e0000

0:000> .printf "QQ=%d\n",by(@$t0+10)<<18 | by(@$t0+11)<<10 | by(@$t0+12)<<8 | by(@$t0+13)
QQ=xxxxxxxxxxxx

0:000> .printf "IP=%d.%d.%d.%d\n",by(@$t0+4),by(@$t0+5),by(@$t0+6),by(@$t0+7)
IP=xxx.xxx.xxx.xxx

  评论这张
 
阅读(94)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017