Как декодировать данные заглушки DCE RPC в WireShark
1 ответ
Я не думаю, что это возможно . NDR (формат данных, используемый DCE RPC) не является «самоописающимся» — в полезных данных нет ничего, что отличало бы int32 от float и uint8[4]. Это означает, что Wireshark нуждается в определенном субдиссекторе для каждого интерфейса , который ему нужно проанализировать (например, у него есть отдельные диссекторы для различных интерфейсов Active Directory MS-RPC), распознавая их, просматривая UUID в пакете Bind.
В этом случае кажется, что, хотя Wireshark имеет частичный диссектор для IOXIDResolver (package-dcom-OXID.c), он поддерживает только анализ ответа RPC opnum 5 (очевидно, «ServerAlive2»), но не запроса, поэтому он оставляет оставшиеся полезная нагрузка в виде необработанных данных.