HEU8面对着杂乱无章的庞大抓包记录,新手小白不知从哪下手寻找有用的信息,眼镜叔今天来教你如何快速分析抓包数据!
快速分析方法一:筛选
筛选器,抓包记录里最上边的搜索框。
Thor 筛选器的作用原理:
- 筛选器
对已经抓到的包筛选,筛选条件在包的『请求』和『响应』全部信息中匹配。支持关键字搜索。
- 使用说明
- 从海量抓包数据里进行筛选才是我们快速分析的先决条件。所以我们要先筛选我们想要的类型。
- 文本类型
文本类型我们可以勾选json,html,xml,txt类型,这种适合分析改VIP
- 图片类型
图片类型可以勾选jpg,png,bmp等
- 音频类型
音频类型,比如说我们想抓取某款音乐软件里的音乐,类型可以全选。
- 视频类型
视频类型常见的mp4,直播类型的m3u8,流媒体flv,avi,mkv等。
快速分析方法二:排除法
当初步筛选过后,如果还会存在大量的记录那也是很正常的。因为抓包数据是记录了你在抓包期间本机上所有的网络活动数据,它不仅包含目标软件的网络活动,还包含本机上其他软件、系统服务所产生的网络活动数据,所以抓包数据中混淆了大量的其他数据,这就需要我们利用一些常识排除没用的数据。
- 利用域名排除
所有的请求都有自己的域名,而我们在分析时就要排除一些干扰项,就比如抓包记录里肯定会有QQ呀,微信呀,微博呀,苹果服务等等数据包。
常见的有qq.com,winxin,itunes.apple.com,umeng.com,google.com,baidu.com等等,很明显这些域名都跟我们目标软件无关,所以这些数据可以直接删掉,省得碍眼。
- 利用关键字排除
像什么unify_logs,他就是一个日志文件,肯定不会有重要信息。
还有sdk/api,这是软件通知之类的接口,根本都不用看。
还有/update_tags,这很明显就是判断软件版本升级的数据。
还有/config,这是配置文件,没有重要的信息。
总结
快速分析的技巧:
1、通过筛选
这种方式可以有效缩小我们分析的范围
2、通过域名和关键字的排除
能帮助我们快速分析得到自己想要找的数据。
好了,以上就是眼镜叔根据自己的实际经验来总结的快速分析抓包数据的方法。关注我学习更多抓包技巧,对于thor抓包有不明白的,可以在下方评论区留言。
评论前必须登录!
立即登录 注册