如何在 WireShark 中解码 DCE RPC 存根数据

Question

我不这么认为能. NDR（DCE RPC 使用的数据格式）不是“自描述的”——有效载荷中没有任何东西可以区分 int32、float 和 uint8[4]。这意味着 Wireshark 需要一个特定的子解析器来每个接口它需要解剖（例如，它具有针对各种 Active Directory MS-RPC 接口的单独解剖器），通过查看“绑定”数据包中的 UUID 来识别它们。

在这种情况下，虽然Wireshark对IOXIDResolver有一个部分解析器（数据包-dcom-oxid.c），它仅支持剖析回复RPC opnum 5（显然是“ServerAlive2”）但不是请求，因此它将剩余的有效负载保留为原始数据。

Answer 1

我不这么认为能. NDR（DCE RPC 使用的数据格式）不是“自描述的”——有效载荷中没有任何东西可以区分 int32、float 和 uint8[4]。这意味着 Wireshark 需要一个特定的子解析器来每个接口它需要解剖（例如，它具有针对各种 Active Directory MS-RPC 接口的单独解剖器），通过查看“绑定”数据包中的 UUID 来识别它们。

在这种情况下，虽然Wireshark对IOXIDResolver有一个部分解析器（数据包-dcom-oxid.c），它仅支持剖析回复RPC opnum 5（显然是“ServerAlive2”）但不是请求，因此它将剩余的有效负载保留为原始数据。

如何在 WireShark 中解码 DCE RPC 存根数据

答案1

相关内容