早上打算了解一下WLM的登陆协议,也就是MSNP**,于是开个ethereal抓些包看看。
之后发现随着一个标记为GCF的响应,发回来一个Xml结构的东西,根节点为 Policies 。
下层有几个Policy,第二个的type属性为SHIELDS,然后下层为config,再下层,经过一个shield节点,就到了一个block节点。
下层先是一个空的hashes节点,可能以后能通过hash屏蔽?…… 然后就是一个叫regexp的节点,看来是以正则表达式表示的屏蔽信息。
regexp下层都是类似于这样的节点:
<imtext value=”XC5waWY=” /&rt;=.
有许多个,用掉四个多IP包(每个的TCP负载大约1460)。当中有许多Base64编码的正则表达式。比如\.pif,\.scr,nihao52\.com,t35\.com,quicknews\.info,shusu\.cn,… 奇怪的是还有symantec\.com/security_response/writeup\.jsp\?docid=2004-120714-0643-99,…这样的,不清楚是什么用意。
完整列表:
\.pif ; \.scr ; grouppicture\.php ; groupicture\.php ; gallery\.php ; staff\.php ; pics\.php ; rottentomatoes\.us ; msn\.php\?email= ; download\.php ; 69\.56\.129\.67/gift\.com ; xmas-2006 ; miralafoto/foto\.exe ; 168\.169\.78\.19 ; profile\.php\? ; tufoto ; verti2/fantasma\.zip ; armazfiles\.smtp\.ru ; sweetpictures\.myphotos\.cc/katiesex\.pif ; 201\.22\.6\.4/fotos/safada\.html ; chnstudio\.com/upload/impluse\.exe ; shurl\.org/myhomepage ; p1377\.pic-myspace\.info ; pic831\.mp3-myspace\.com ; 88chi\.com ; nihao52\.com ; 81copy\.com ; myonlinecam\.net ; 77885\.cn ; 51zhaogu\.com ; 51shejiao\.cn ; gangen\.cn ; wangw\.cn ; uglyphotos\.net ; funpic\.de ; 505united\.com ; t35\.com ; quicknews\.info ; symantec\.com/security_response/writeup\.jsp\?docid=2004-120714-0643-99 ; members\.lycos\.co\.uk/svy21/t/contact\.php ; sonresimler1\.googlepages\.com/ozelresimler\.htm ; viotagallery\.com ; image001\.png ; image002\.gif ; funbuddyicons\.com ; wellwell\.biz ; casedinjertionkderunhdaseo\.com ; jertionkdewiondaserunf\.com ; butuinkdesionmas\.com ; imp\.exe ; bush-gracioso\.exe ; memebers\.lycos\.co\.uk/getmessenger ; get-messenger ; belgravehelpdesk\.com ; xpimad\.com ; album\.zip ; malbranche\.goracer\.de ; albrahem\.com ; improfile\.net ; unknowntools\.com ; hetandunhasde\.com ; thecoolpics\.net ; .*www\.provnarkotika\.com.* ; gratishost\.com ; dreamlife365\.com ; whoadmitsyou\.com ; blockoo\.com ; baratinha\.mypets\.ws ; messangerstats\.net ; messengertools\.org ; stuffplug\.com/temp/downgrdr\.exe ; hornymatches\.com ; iwantu\.com ; block-checker\.com ; amigosparasempre\.smtp\.ru ; amigosparasempro\.smtp\.ru ; chinacircle\.com ; mensagemparavc\.mail15\.com ; mprofiles\.net/members\.php\?msn= ; 930le\.com ; 66663\.cn ; shusu\.cn ; 1717wan\.cn ; 995ba\.com ; mydipan\.cn ; 51kongqi\.com ; 94nile\.com ; life365\.com ; photogbase\.com/pictures\.php\?photo656\.jpg ; mypengyou\.com ; 51pingguo\.cn ; spotyourface\.net/main/pictures/sexy ; windowslivemessenger\.biz ; mensageirovirtual\.land\.ru ; provnarkotika\.com ; tinyurl\.com/asdkfh13/ ; wasedinterfunva\.com ; qerunherdasfunkin\.com ; photos\.zip ; .*2nnvc7.* ; .*urltea\.com.* ; urltea\.com/p2s ; tinyurl\.com/2nnvc7 ; linkangel\.net/msn ; messenger-tips\.com ; imrealm\.com ; blocknblock\.com ; imtract\.com ; blockinrio ; messaging-names ; .*messengerlive\.info.* ; tebloqueo\.com ; mesns\.com ; .*messengerweb\.info.* ; .*messengerhome\.info.* ; .*yourmessenger\.info.* ; .*newmessenger\.info.* ; .*hotmessenger\.info.* ; .*messenger-tips\.com.* ; .*get-messenger\.com.* ; .*messengerforyou\.info.* ; .*messengersite\.info.* ; .*newmsn\.info.* ; .*hotbeachpics\.net.* ; .*wadesuntiondketunhasde\.com.* ; .*msnhome\.info.* ; .*la\.gg/upl.* ; cbswest\.com ; newmsn ;
解码用Perl,写得不太好:
#!/usr/bin/perl
use MIME::Base64 qw(decode_base64);
while (<>)
{
$a = $_;
$x = “”;
while (1)
{
$a=m/
if ($1 eq $x) { exit; }
print decode_base64($1);
print ” ; “;
$x = $1;
$a=s/
}
}
Old Blog Link: http://computer.mblogger.cn/henryhu/posts/66585.aspx