数据明文获取方法、装置、电子终端及可读存储介质与流程

本发明涉及计算机技术领域，具体而言，涉及一种数据明文获取方法、装置、电子终端及可读存储介质。

背景技术：

目前，随着网络安全的普及，越来越多的网站会使用https来传输网络协议，https则是更为安全的http通道。对于传统的http来说其网络传输的数据的明文的信息，通过网络抓包工具则可以获取到所有的http的明文信息。然而，传输的数据是加密后的，无法通过抓包工具获取其网络数据的明文信息。然而使用了https来传输网络协议则导致抓包获取不到明文信息，从而无法定位程序中遇到的问题。因此需要一种方法能够获取程序中所有的网络传输的明文信息。

技术实现要素：

有鉴于此，本发明实施例的目的在于提供一种数据明文获取方法、装置、电子终端及可读存储介质。

本发明实施例提供的一种数据明文获取方法，应用于电子终端，所述电子终端中安装有浏览器，所述数据明文获取方法包括：

在所述浏览器中启动一目标网站后对所述目标网站的启动流程进行监控，查找所述目标网站对应的超文本传输协议在加密前的流程点；以及

在该流程点处获取所述目标网站对应的明文信息。

本发明实施例还提供一种数据明文获取装置，应用于电子终端，所述电子终端中安装有浏览器，所述数据明文获取装置包括：

监控模块，用于在浏览器中启动一目标网站后对所述目标网站的启动流程进行监控，查找所述目标网站对应的超文本传输协议在加密前的流程点；

获取模块，用于在该流程点处获取所述目标网站对应的明文信息。

本发明实施例还提供一种电子终端，包括：

存储器；

处理器；

安装/存储于所述存储器并由所述处理器执行的上述的数据明文获取装置。

本发明实施例还提供一种可读存储介质，其上存储有计算机程序，所述计算机程序在执行时实现上述的数据明文获取方法。

与现有技术相比，本发明的数据明文获取方法、装置、电子终端及可读存储介质，通过对对目标网站的启动流程进行监控，在所述目标网站的网络数据被加密之前获取所述目标网站对应的明文信息，可以有效地解决获取加密的目标网站对应的明文信息以进一步地解决所述目标网站出现的问题。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明较佳实施例提供的电子终端的方框示意图。

图2为本发明较佳实施例提供的数据明文获取方法的流程图。

图3为本发明另一较佳实施例提供的数据明文获取方法的流程图。

图4为本发明较佳实施例提供的数据明文获取装置的功能模块示意图。

具体实施方式

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本发明的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

如图1所示，是一电子终端100的方框示意图。所述电子终端100包括数据明文获取装置110、存储器111、存储控制器112、处理器113、外设接口114及输入输出单元115。

所述存储器111、存储控制器112、处理器113、外设接口114及输入输出单元115各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述数据明文获取装置110包括至少一个可以软件或固件(firmware)的形式存储于所述存储器111中或固化在所述电子终端100的操作系统(operatingsystem，os)中的软件功能模块。所述处理器113用于执行存储器中存储的可执行模块，例如所述数据明文获取装置110包括的软件功能模块或计算机程序。

本实施例中，所述存储器111中还存储一浏览器中各个功能的可执行模块，所述处理器113执行所述存储器111中存储的所述浏览器的可执行模块。

其中，所述存储器111可以是，但不限于，随机存取存储器(randomaccessmemory，ram)，只读存储器(readonlymemory，rom)，可编程只读存储器(programmableread-onlymemory，prom)，可擦除只读存储器(erasableprogrammableread-onlymemory，eprom)，电可擦除只读存储器(electricerasableprogrammableread-onlymemory，eeprom)等。其中，存储器111用于存储程序，所述处理器113在接收到执行指令后，执行所述程序，本发明实施例任一实施例揭示的过程定义的电子终端100所执行的方法可以应用于处理器113中，或者由处理器113实现。

所述处理器113可能是一种集成电路芯片，具有信号的处理能力。上述的处理器113可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述外设接口114将各种输入/输入装置耦合至处理器113以及存储器111。在一些实施例中，外设接口114，处理器113以及存储控制器112可以在单个芯片中实现。在其他一些实例中，他们可以分别由独立的芯片实现。

所述输入输出单元115用于提供给用户输入数据。所述输入输出单元115可以是，但不限于，鼠标和键盘等。

可以知道的是，图1仅仅是所示的电子终端100示意结构，本实施例中的电子终端100可以比图1更多或更少的组件，当然，所述电子终端100还可以是与图1完全不同的组件。

请参阅图2，是本发明较佳实施例提供的应用于图1所示的电子终端100的数据明文获取方法的流程图。下面将对图2所示的具体流程进行详细阐述。

步骤s101，在浏览器中启动一目标网站。

在一个实例中，所述电子终端的浏览器接收到用户选择一目标网站的选择操作后启动所述目标网站。

步骤s102，对所述目标网站的启动流程进行监控，查找所述目标网站对应的超文本传输协议在加密前的流程点。在其它实施例中，所述数据明文获取方法也可以不包括步骤s101。所述步骤s102直接启动的浏览器中执行所述步骤s102；或者，所述电子终端监控到所述目标网站启动时执行步骤s102。

步骤s103，在该流程点处获取所述目标网站对应的明文信息。

本实施例中，所述在步s103骤之前，所述方法还包括：通过逆向的静态分析工具和动态调试工具对所述浏览器中启动网站的启动流程进行逆向分析，以得到网站进行超文本传输协议加密前的流程点。

本实施例中，所述静态分析工具可以是idapro。

本实施例中，所述动态调试工具可以是ollydbg。

在一个实例中，通过反汇编分析得到浏览器发送所述目标网站的网络数据包之前会调用ssl库来将待发送的所述网络数据包进行加密。因此，可以在加密前获取到浏览器发送出去的所有网络的明文信息。在一种实施方式中，所述电子终端通过逆向的静态分析工具idapro(interactivedisassemblerprofessional，交互式反汇编器专业版)和动态调试工具ollydbg来对所述浏览器中启动网站的启动流程进行逆向分析。通过上述逆向分析得到所有的网站的网络数据包最终都是会调用系统的socket函数将所述网络数据包发送出去。在一种实施方式中，所述电子终端可以所述通过动态调试工具在网络发包函数wsasend上下断点。当需要发送网络数据包时，当到所述wsasend函数的流程点时会中断，此时调用所述wsasend函数的调用函数调用堆栈，通过调用函数调用堆栈以查找所述发送所述网络数据包的之前的函数逻辑，综上则可以找到明文信息使用ssl加密的函数。本实施例中，所述网络数据包在在加密前所包含的信息为所述明文信息。

在一个实例中，所述通过调用函数调用堆栈以查找所述发送所述网络数据包的之前的函数逻辑的具体实现如下：

其中，asm{}括起来的内容标示在c语言中内嵌入汇编代码。

其中，push汇编指令则将明文的网络信息netdata压人堆栈中。

其中，sslthis则是ssl库的实例化对象，并传入ecx寄存器。

其中，函数ssl_encode用于对网络数据包进行加密。

因此，通过上述堆栈的顺序可以找到网站进行超文本传输协议加密前的流程点。

所述步骤s103包括：在所述流程点插入执行一钩子函数，通过所述钩子函数获取所述目标网站的明文信息。

在一种实施方式中，所述电子终端通过所述静态分析工具和动态调试工具查找到所述浏览器具体将网络数据包使用ssl加密的流程点后，将所述钩子函数在调用函数ssl_encode进行加密之前执行，从而所述钩子函数可以获取到压入堆栈的参数netdata，则可以得到加密前的所述网络数据包，其中所述加密前的网络数据包包括全部明文信息。

在一个实例中，所述钩子函数可以通过以下方式实现。

所述钩子函数原型如下：

voidgetdata(char*pnetdata,intnlen)

{

其中，参数char*pnetdata表示明文信息的网络信息。

其中，参数intnlen则是明文信息的长度。

printf(“％s\n”,pnetdata)；

所述printf用于将所述明文信息打印出来。

}

本实施例中，也可以在所述钩子函数中调用系统的读写文件函数来将明文信息写入到日志文件中。

在另一种实施例中，在查找所述目标网站对应的超文本传输协议在加密前的流程点插入一挂钩函数，所述挂钩函数用于将原来将执行目标网站对应的超文本传输协议在加密前的流程跳转到所述钩子函数。在一个实例中，在所述callssl_encode此汇编代码之前的指令修改成一个jump指令，使得该汇编代码的执行流程从原有的流程跳转到所述钩子函数以读取或打印所述明文信息，当所述钩子函数执行完成后接着原有的汇编代码继续执行。因此通过此种方法则在原有的汇编代码执行流程中插入了打印网络信息的功能函数，从而可以获取到所有的网络明文信息。

在一种实施方式中，通过调用windows系统提供的api函数来将一个模块注入到浏览器进程中。在一个实例中，通过windows系统api函数createremotethread在浏览器进程中创建一个远程线程。其中，所述远程线程可以是在浏览器进程中创建的一个线程。本实例中，通过创建的远程线程调用系统函数loadlibrary来加载需要注入到浏览器进程的模块，如上述的挂钩函数。

本实例中，所述通过调用windows系统提供的api函数来将一个模块注入到浏览器进程中具体实现如下。

a、通过windowsapi函数virtualallocex函数在目标进程的内存空间中分配内存。

b、通过windowsapi函数writeprocessmemory来将自己编写的需要注入的模块的磁盘路径写入到步骤a中已经分配的内存中。

c、调用windowsapi函数createremotethread函数来在目标进程中创建一个线程，线程的执行逻辑就是调用windowsapi函数loadlibrary来加载步骤b中通过在目标进程空间写入的注入模块的磁盘路径。

本发明的数据明文获取方法，通过对目标网站的启动流程进行监控，在所述目标网站的网络数据被加密之前获取所述目标网站对应的明文信息，可以有效地解决获取加密的目标网站对应的明文信息以进一步地解决所述目标网站出现的问题。

在其它实施例中，如图3所示，所述步骤s103之后，所述方法还包括步骤s104至步骤s106，下面具体描述上述步骤。

步骤s104，将所述明文信息写入日志文件中。

步骤s105，将所述明文信息打印到调试窗口以在所述调试窗口显示所述明文信息。

步骤s106，将所述明文信息发送给指定终端或服务器中。在一个实例中，所述指定终端可以是需要所述明文信息的开发人员对应的电子终端。

根据上述实施例中的方法，将所述明文信息存储、发送或显示在目标位置，能够有效地使开发人员能够获取所述明文信息。

请参阅图4，是本发明较佳实施例提供的图1所示的数据明文获取装置110的功能模块示意图。本实施例中的数据明文获取装置110用于执行上述实施例中的各个步骤。所述数据明文获取装置110包括启动模块1101、监控模块1102及获取模块1103。

所述启动模块1101，用于在浏览器中启动一目标网站。

所述监控模块1102，用于对所述目标网站的启动流程进行监控，查找所述目标网站对应的超文本传输协议在加密前的流程点。在其它实施例中，所述启动模块1101也可以省略。所述监控模块1102监控是否有所述目标网站的启动。

所述获取模块1103，用于在该流程点处获取所述目标网站对应的明文信息。

所述获取模块1103还用于在所述流程点插入执行一钩子函数，通过所述钩子函数获取所述目标网站的明文信息。

本实施例中，所述数据明文获取装置还包括：查找模块1104，用于通过逆向的静态分析工具和动态调试工具对所述浏览器中启动网站的启动流程进行逆向分析，以得到网站进行超文本传输协议加密前的流程点。

本实施例中，所述数据明文获取装置还包括：写入模块1105、打印模块1106及发送模块1107。

所述写入模块1105，用于将所述明文信息写入日志文件中。

所述打印模块1106，用于将所述明文信息打印到调试窗口以在所述调试窗口显示所述明文信息。

所述发送模块1107，用于将所述明文信息发送给指定终端或服务器中。

关于本实施例的数据明文获取装置其它细节还可以进一步地参考上述方法实施例中的描述，在此不再赘述。

本发明的数据明文获取装置，通过对对目标网站的启动流程进行监控，在所述目标网站的网络数据被加密之前获取所述目标网站对应的明文信息，可以有效地解决获取加密的目标网站对应的明文信息以进一步地解决所述目标网站出现的问题。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。