Manuell protokollanalys

Som en uppföljning till förra veckans inlägg om automatiserad protokollanalys har [Tod Beardsley] skrivit upp hur man börjar analysera ett protokoll manuellt. Han går igenom flera exempel för att visa hur man drar ut de intressanta bitarna i binära protokoll. Hans första steg skickades 10 identiska utvalda uttalanden och fånga utgående paket. Han använde Ruby Library Packetfu för att hjälpa till med identifieringen. Det jämförde de tio paketen och markerade en byte som ökade med fyra med varje paket, förmodligen en räknare. Att ta en titt på reaktionen indikerade några andra byte som också ökade i samma takt, men vid olika värden. Att köra samma fråga på två olika dagar vände upp vad som kan vara en tidsstämpel. Att använda två olika frågor bidrog till att identifiera vilken byte som var ansvarig för uttalandet. Medan du inte kan hitta dig själv begravd i HEX dagligen, erbjuder posten bra täckning av hur man tänker kritiskt om det.