目錄

引言

一、為什么要結(jié)合頻繁序列提取？

二、四步融合分析法

步驟1：原始流量采集與預(yù)處理

步驟2：多粒度序列模式挖掘

層1：單包內(nèi)字節(jié)級(jí)頻繁項(xiàng)

層2：跨數(shù)據(jù)包的行為序列

步驟3：關(guān)鍵字段定位與結(jié)構(gòu)假設(shè)

通過頻繁模式推導(dǎo)協(xié)議結(jié)構(gòu)：

步驟4：動(dòng)態(tài)驗(yàn)證與協(xié)議還原

三、實(shí)戰(zhàn)案例：Pj某工控設(shè)備協(xié)議

背景

關(guān)鍵發(fā)現(xiàn)過程

四、對(duì)抗干擾策略

常見干擾類型與破解技巧

五、工具鏈推薦

六、總結(jié)

---

引言

在工業(yè)控制、物聯(lián)網(wǎng)設(shè)備通信等場(chǎng)景中，面對(duì)私有協(xié)議時(shí)，工程師常陷入**“盲人摸象”**的困境——沒有文檔、沒有符號(hào)信息，只有一串串難以理解的十六進(jìn)制數(shù)據(jù)流。本文將提出一種創(chuàng)新方法：將頻繁序列提取技術(shù)融入?yún)f(xié)議逆向工程，通過挖掘數(shù)據(jù)中的統(tǒng)計(jì)規(guī)律，快速定位協(xié)議頭、指令類型、校驗(yàn)位等關(guān)鍵字段，大幅提升逆向效率。

---

一、為什么要結(jié)合頻繁序列提取？

傳統(tǒng)協(xié)議逆向依賴人工比對(duì)數(shù)據(jù)包差異，存在三大痛點(diǎn)：

1. 效率低下：數(shù)百個(gè)數(shù)據(jù)包需逐一對(duì)比

2. 主觀性強(qiáng)：依賴經(jīng)驗(yàn)猜測(cè)字段含義

3. 易漏特征：難以發(fā)現(xiàn)長(zhǎng)跨度關(guān)聯(lián)

頻繁序列提取的價(jià)值：

• 自動(dòng)發(fā)現(xiàn)高頻出現(xiàn)的固定字節(jié)序列（如協(xié)議頭、狀態(tài)碼）

• 識(shí)別指令與響應(yīng)的關(guān)聯(lián)模式（如A指令必觸發(fā)B響應(yīng)）

• 定位變長(zhǎng)字段的分隔符（如0x00結(jié)尾的字符串）

---

二、四步融合分析法

步驟1：原始流量采集與預(yù)處理

使用Wireshark捕獲原始流量，按會(huì)話切分并轉(zhuǎn)換為字節(jié)序列：

# 示例：從pcap提取TCP負(fù)載序列
from scapy.all import *packets = rdpcap("unknown_protocol.pcap")
sessions = packets.sessions()byte_sequences = []
for session in sessions.values():tcp_payloads = [bytes(p[TCP].payload) for p in session if TCP in p]if tcp_payloads:  byte_sequences.append(tcp_payloads)  # 每個(gè)會(huì)話的包序列

步驟2：多粒度序列模式挖掘

層1：單包內(nèi)字節(jié)級(jí)頻繁項(xiàng)

from mlxtend.frequent_patterns import apriori# 將每個(gè)字節(jié)位置視為一個(gè)項(xiàng)（item）
# 示例數(shù)據(jù)包： [0xaa, 0x01, 0xff], [0xaa, 0x02, 0xee]
transactions = [{'pos0:aa', 'pos1:01', 'pos2:ff'},{'pos0:aa', 'pos1:02', 'pos2:ee'}
]freq_items = apriori(transactions, min_support=0.5, use_colnames=True)
print(freq_items)

輸出：

   support      itemsets
0     1.0       (pos0:aa)  # 發(fā)現(xiàn)協(xié)議頭固定為0xAA

層2：跨數(shù)據(jù)包的行為序列

使用PrefixSpan挖掘會(huì)話級(jí)操作碼序列：

# 假設(shè)已從數(shù)據(jù)包中提取操作碼（如第二個(gè)字節(jié)）
opcode_sequences = [[0x01, 0x03, 0x04],  # 會(huì)話1的操作碼流[0x01, 0x04],         # 會(huì)話2[0x01, 0x03, 0x04]    # 會(huì)話3
]from prefixspan import PrefixSpan
ps = PrefixSpan(opcode_sequences)
ps.minlen = 2
freq_seqs = ps.frequent(2)  # 最小支持度2次# 輸出：[(2, [0x01, 0x03]), (2, [0x01, 0x03, 0x04])]

結(jié)論：操作碼0x01后常跟0x03，可能為登錄→查詢信息的固定流程。

---

步驟3：關(guān)鍵字段定位與結(jié)構(gòu)假設(shè)

通過頻繁模式推導(dǎo)協(xié)議結(jié)構(gòu)：

字段位置	候選假設(shè)	驗(yàn)證方法
字節(jié)0	固定頭（Magic Number）	全樣本一致性檢查
字節(jié)1	指令類型（高頻出現(xiàn)0x01）	觸發(fā)不同功能觀察響應(yīng)變化
字節(jié)4-5	長(zhǎng)度字段（與后續(xù)數(shù)據(jù)長(zhǎng)度相關(guān)）	計(jì)算Pearson相關(guān)系數(shù)
末2字節(jié)	校驗(yàn)和（與前面數(shù)據(jù)存在數(shù)學(xué)關(guān)系）	嘗試CRC16/CRC32計(jì)算匹配

---

步驟4：動(dòng)態(tài)驗(yàn)證與協(xié)議還原

編寫腳本自動(dòng)化驗(yàn)證假設(shè)：

def validate_checksum(packet):assumed_crc = packet[-2:]calculated_crc = crc16(packet[:-2])return assumed_crc == calculated_crcvalid_count = 0
for p in packets:if validate_checksum(p):valid_count +=1print(f"校驗(yàn)通過率: {valid_count/len(packets)*100}%")  
# 若通過率接近100%，則確認(rèn)校驗(yàn)位假設(shè)正確

三、實(shí)戰(zhàn)案例：Pj某工控設(shè)備協(xié)議

背景

某PLC設(shè)備通信協(xié)議未知，需實(shí)現(xiàn)以下功能逆向：

• 讀取寄存器值（功能碼）

• 設(shè)置設(shè)備地址（地址字段）

• 異常狀態(tài)碼解析

關(guān)鍵發(fā)現(xiàn)過程

1. 頻繁頭定位：

   80%的數(shù)據(jù)包以0x48 0x53開頭 → 確認(rèn)為協(xié)議頭

2. 指令類型推斷：

   第3字節(jié)出現(xiàn)0x01（讀）和0x02（寫）的頻率最高 → 功能碼字段

3. 地址字段驗(yàn)證：

# 對(duì)比兩個(gè)寫地址請(qǐng)求包：
Packet1: 48 53 02 00 01 02 [00 00 00 01] ... 
Packet2: 48 53 02 00 01 02 [00 00 00 02] ...
# 響應(yīng)包中地址字段變化 → 確認(rèn)第7-10字節(jié)為設(shè)備地址

? ? 4. 錯(cuò)誤碼提取：

? ? ? ? ?當(dāng)響應(yīng)包第4字節(jié)為0xFF時(shí)，末字節(jié)出現(xiàn)0x01/0x02 → 錯(cuò)誤子碼

---

四、對(duì)抗干擾策略

常見干擾類型與破解技巧

干擾手段	破解方法
隨機(jī)填充字節(jié)	過濾低頻率項(xiàng)，關(guān)注穩(wěn)定出現(xiàn)的字段
多協(xié)議復(fù)用	先聚類（如按端口、包長(zhǎng)），再分別分析
字段動(dòng)態(tài)編碼	尋找編碼前后的統(tǒng)計(jì)特征（如字節(jié)分布變化）
心跳包干擾	剔除固定時(shí)間間隔的無關(guān)包

---

五、工具鏈推薦

1. 流量預(yù)處理：Wireshark + Scapy（Python）

2. 序列挖掘：SPMF（支持GSP、PrefixSpan算法）

3. 自動(dòng)化驗(yàn)證：Python + pwntools（自定義協(xié)議測(cè)試腳本）

4. 可視化分析：NetworkX（繪制協(xié)議狀態(tài)轉(zhuǎn)移圖）

---

六、總結(jié)

“數(shù)據(jù)即協(xié)議”——通過融合頻繁序列提取與協(xié)議逆向技術(shù)，開發(fā)者能在無先驗(yàn)知識(shí)的情況下，快速定位關(guān)鍵字段并推測(cè)交互邏輯。該方法尤其適用于具有明顯統(tǒng)計(jì)特征的私有協(xié)議逆向場(chǎng)景。

方法論價(jià)值：

• 將人工經(jīng)驗(yàn)轉(zhuǎn)化為可量化的模式識(shí)別

• 為協(xié)議逆向提供自動(dòng)化切入點(diǎn)

• 降低對(duì)特定領(lǐng)域知識(shí)的依賴

---

擴(kuò)展閱讀標(biāo)簽：#協(xié)議逆向 #頻繁序列 #工控安全 #Python #Wireshark