程序实现的目标
这次的目标要拿到纯的GTunnel数据包。
GTunnel简要介绍
GTunnel是一款代理软件,该软件有4种模式——“标准模式”、“Skype模式”、“GTalk模式”和“Tor模式”。标准模式和普通的代理软件有点类似,需要搜索到可用的代理服务器然后就可以上代理了;Skype模式需要本机安装了Skype,在启动Skype通信软件的前提下进行代理,实际上它是在Skype基础上进行开发的,采用Skype的通信协议,并将Skype服务器作为代理服务器,这里客户端逻辑就显得很重要;GTalk模式跟Skype模式有点类似,显然它是Google的一套东西,在该模式下你需要指定一个合法的Google账户,利用该账户来进行通信,其实这里的代理服务器显然也是GTalk的服务器;Tor模式没有研究过,对它感兴趣的可以参考博文《常用XX软件介绍》,里面有很详细的介绍。
实现思路
这里我还用到了一个程序gt.exe,这款软件可以用来监听本机发出的通信数据包,它是一款控制台的程序,运行起来后它会打印六元组信息:(时间,源IP,目的IP,源端口,目的端口,通信程序信息)。事实上通信程序信息包含的信息很丰富,包含有本程序的程序名、采用的传输层协议还有一些剩余的信息。显然我需要从中得到的就是程序名和目的IP而已。根据从gt.exe获取到的信息我可以拿到所有GTunnel.exe发向的目标IP地址,根据这些IP地址我可以从pcap文件中拿到纯的GTunnel的数据包,即ip.dst或ip.src能匹配这些IP地址的数据包。实现思路还是相当清晰的,之后完全就是编码的工作了。
编程环境
但这次我不是用C/C++来实现的,用的Java编程语言,因为写Java确实要比写C/C++代码要容易,而且现成的API提供使得实现更加容易。在编码之前需要环境的支持,Winpcap是一定要装的,Windows下所有抓包软件(如Ethereal、Winshark)都需要winpcap的支持,还需要有Java的环境,装完Jdk后你还需要安装Jpcap。下载地址我就不提供了,直接Google一下jpcap就可以搜索到官网地址,根据链接地址可以猜测Jpcap应该是UCI大学搞出来的,虽然API很简单,但是能有这种奉献精神还是相当敬佩的。学习Jpcap的使用也相当容易,官网有提供相应的文档,Tutorial是Jpcap的入门手册,看完这个基本上就会用了,同时你也可以参考官网提供的一些Samples,结合Tutorial你能很快拿下Jpcap。再看看API文档你会发现Jpcap真的很容易,结构很简单。我下载的是0.7最新的版本,下载.exe程序后直接安装就可以了。实际上它安装的东西就是一个jpcap.dll文件和一个jpcap.jar,只不过需要安装到系统环境下,就不需要你自己配置新的环境变量了。
附上代码
1 import java.io.BufferedReader; 2 import java.io.FileNotFoundException; 3 import java.io.FileReader; 4 import java.io.IOException; 5 import java.util.ArrayList; 6 import jpcap.JpcapCaptor; 7 import jpcap.JpcapWriter; 8 import jpcap.packet.IPPacket; 9 import jpcap.packet.Packet; 10 11 public class Handler { 12 13 static JpcapCaptor captor; 14 static JpcapWriter writer; 15 16 static final String KEYWORD = "GTunnel.exe"; // 查找关键字 17 18 static final String OUTPUT_PCAP_FILE_NAME = "fresh.pcap"; // 保存GTunnel纯数据流的文件名 19 20 public static void main(String[] args) { 21 22 if(args.length < 2) { 23 System.out.println("Invalid argument Error: java Handler [gtfilename] [pcapfilename] ([outputpcapfilename])"); 24 return; 25 } 26 27 // 解析gt.exe生成的文件,得到GTunnel相关行信息,主要是获得目标主机的IP地址作为匹配地址 28 BufferedReader br = null; 29 try { 30 br = new BufferedReader(new FileReader(args[0])); 31 } catch (FileNotFoundException e1) { 32 // TODO Auto-generated catch block 33 e1.printStackTrace(); 34 } 35 36 String line = null; 37 ArrayList<String> list = new ArrayList<String>(); 38 39 try { 40 while ((line = br.readLine()) != null) { 41 if (line.contains(KEYWORD)) { // 匹配含有GTunnel.exe关键字 42 String remoteIP = line.split(",")[1].trim(); 43 if (!list.contains(remoteIP)) 44 list.add(remoteIP); 45 } 46 } 47 } catch (IOException e) { 48 e.printStackTrace(); 49 } finally { 50 try { 51 if (br != null) { 52 br.close(); 53 br = null; 54 } 55 } catch (IOException e) { 56 e.printStackTrace(); 57 } 58 } 59 60 // 解析pcap文件 61 try { 62 captor = JpcapCaptor.openFile(args[1]); 63 writer = JpcapWriter.openDumpFile(captor, args.length >= 3 ? args[2] : OUTPUT_PCAP_FILE_NAME); 64 } catch (IOException e) { 65 // TODO Auto-generated catch block 66 e.printStackTrace(); 67 } 68 while (true) { 69 // read a packet from the opened file 70 Packet packet = captor.getPacket(); 71 // if some error occurred or EOF has reached, break the loop 72 if (packet == null || packet == Packet.EOF) 73 break; 74 // otherwise 75 if(packet instanceof IPPacket) { 76 IPPacket ipPacket = (IPPacket) packet; 77 // 从pcap文件中解析出所有与匹配地址一致的源/目的地址所对应的数据流 78 if(list.contains(ipPacket.src_ip.getHostAddress()) || list.contains(ipPacket.dst_ip.getHostAddress())) { 79 // 将数据流存入文件 80 writer.writePacket(packet); 81 } 82 } 83 } 84 85 writer.close(); 86 captor.close(); 87 88 } 89 90 }
代码说明
本程序是用java编写,需搭建java环境,由于调用了jpcap包相关API,需搭建jpcap环境,安装JpcapSetup程序即可。
使用本程序方法:
1.若已经编译生成class文件则直接跳到下一个步骤,否则先使用javac命令进行编译,完整命令为javac Handler.java。
2.在cmd下输入 java Handler [gtfilename] [pcapfilename] ([outputpcapfilename])
即指定两个或三个参数:第一个参数为gt.exe生成的文件名;第二个参数是WinPcap捕获得到的dump文件;第三个参数是生成纯数据流的dump文件名,可不指定,默认为fresh.pcap。
注:
本程序在jre6.0环境下运行时会报一个严重的错误,这个错误具体原因还没得到解决,可能跟jre自身有关系。
#
# A fatal error has been detected by the Java Runtime Environment:
#
# EXCEPTION_ACCESS_VIOLATION (0xc0000005) at pc=0x76fc2a01, pid=8944, tid=8936
#
# JRE version: 6.0_20-b02
# Java VM: Java HotSpot(TM) Client VM (16.3-b01 mixed mode, sharing windows-x86
)
# Problematic frame:
# C [ntdll.dll+0x52a01]
#
# An error report file with more information is saved as:
# C:\Users\kelvin\Desktop\hs_err_pid8944.log
#
# If you would like to submit a bug report, please visit:
# http://java.sun.com/webapps/bugreport/crash.jsp
# The crash happened outside the Java Virtual Machine in native code.
# See problematic frame for where to report the bug.
#