点击上方↑↑↑蓝字[协议分析与还原]关注我们

“ 分析通da信TCP长连接内部分数据的算法。”

作为一款老牌的炒股软件，通da信里面的数据是相当的丰富，免费的也很丰富，准确性也很好，例如，这种股票之间关联的信息。

通da信一路走来，功能在不停地丰富，具备各个平台的客户端，当然，用的人和机构也很多，这是好事，产品在传承，技术也在继续，例如其客户端的TCP长连接，应该是从PC时代就存在的，在移动终端上也一直在使用，彰显着它的还算可以的技术实力，毕竟，这是一个HTTP接口遍地走的时代，熟悉TCP多线程开发的人也不好找的。

虽然技术不错，但不知具体原因，通da信一直保持TCP连接的未加密模式，大概是技术的迭代需要牵涉到太多的模块，不好搞吧。当然，对爬虫来说，虽然未加密，但TCP连接里面的数据的爬取还是难的哟。

通达信的TCP长连接流量没加密但是，放眼望去，里面的数据也有很多不是明文，不够直观，今天，我们来看看通达信TCP长连接里面数据的情况，对里面的部分数据进行解码，对不懂的人来说，就相当于解密了。

01

—

报文分析

按照标准流程，分析解密协议要先找到报文流，找到数据流的识别的方法，不过这里没有，大家有兴趣的话自行去找，很好找的。下面直接进行长连接流量的分析。

首先，我们来看下通达信的长连接的大概情况，里面有明文，也有不可见的乱码，明文大概是一些命令和参数，当然还有股票代码：

乱码太多了，从里面找到了一段数据，是wireshark抓的一个完整的TCP包，是一个完整的数据块，以hex转储模式看下原始数据：

粗略的分析下，前面的32字节大概是相当于块头，我们先不管，后面的很长的数据，应该就是传输的内容了，经过一番分析，过程就略掉了，其实直接看数据就能看到，以十六进制的789c开始的数据，大概率是压缩数据，这个拼的是经验，经验不足就去分析代码吧，直接解压试试，结果如下：

不好意思，这是写好的工具的解密结果。

数据是deflate压缩的，解压即可，用python的zlib库很好实现，汉字编码是GBK的，注意下，否则解出来看到就是乱码了，如果反向进行压缩，压缩级别compresslevel选6。

来看看完整复刻编解码版的代码：

def deflate(data, compresslevel=9):compress = zlib.compressobj(compresslevel,        zlib.DEFLATED,        -zlib.MAX_WBITS,    zlib.DEF_MEM_LEVEL,   0                    )deflated = compress.compress(data)deflated += compress.flush()return deflateddef inflate(data):decompress = zlib.decompressobj(-zlib.MAX_WBITS  )inflated = decompress.decompress(data)inflated += decompress.flush()return inflateddef dectongdaxin(decoded_data):orig= inflate(decoded_data[2:])return origdef enctongdaxin(data):orig= deflate(data,6)crc=0crc = zlib.adler32(data) & 0xffffffffreturn bytes.fromhex('789C')+orig+crc.to_bytes(4, byteorder="big")

很简单的，有兴趣可以自己尝试解密玩玩。

02

—

结束

长连接数据的解密方法就介绍到这里了，大家有任何对应用流量解密方面的问题可以找我交流，有什么稀奇的东西，也可以给我瞅瞅，交个朋友。最近解了不少游戏和应用，好枯燥噢。

别忘点“在看”、“赞”和“分享”

新的规则，及时收推文要先给公号星标

别忘了星标一下，不然就错过了

长按进行关注，时刻进行交流。