答案1
我不这么认为能. NDR(DCE RPC 使用的数据格式)不是“自描述的”——有效载荷中没有任何东西可以区分 int32、float 和 uint8[4]。这意味着 Wireshark 需要一个特定的子解析器来每个接口它需要解剖(例如,它具有针对各种 Active Directory MS-RPC 接口的单独解剖器),通过查看“绑定”数据包中的 UUID 来识别它们。
在这种情况下,虽然Wireshark对IOXIDResolver有一个部分解析器(数据包-dcom-oxid.c),它仅支持剖析回复RPC opnum 5(显然是“ServerAlive2”)但不是请求,因此它将剩余的有效负载保留为原始数据。