Определения PID процесса, открывшего сокет

← →
Warstone © (2006-11-23 14:01) [0]

Hi, многоуважаемый All!
Собственно проблема в анализе сетевого трафика чужой программы. Я написал небольшой сниффер, только есть одно но: Он мониторит все данные входящие и исходящие из машины. Мне-же надо узнать к кому/от кого они были переданны/посланны. То есть я знаю ИП и порт подключения и могу поймать время, когда подключение активно. Надо узнать к кому посылались данные. Поиск вразумительного ничего не дал. Пробовал через перехват АПИ (функций recv recvfrom send sendfrom) но видно там защита какая стоит.

Для ВЦ: Сообщения типа WM_SELFKILLABSTENY и WM_SELFKILLABSTENYSRAZBEGA получил и отработал. Йад выплескивается из ушей :))

WBR Warstone

← →
Dmitrij_K (2006-11-23 14:04) [1]

> Пробовал через перехват АПИ (функций recv recvfrom send
> sendfrom) но видно там защита какая стоит.

MadCollection+Google+мозг

← →
Warstone © (2006-11-23 14:09) [2]

О-о-очень понятно... MadCollection - это что? Да и не стоит у меня задачи сломать защиту, а по открытому порту узнать процесс... Гугля спрашивал... или нету, или нетак спрашивал.

← →
Dmitrij_K (2006-11-23 14:12) [3]

> Собственно проблема в анализе сетевого трафика чужой программы.

Api Hook на send\recv с помощью библиотеки MadCollection

← →
Warstone © (2006-11-23 14:21) [4]

Да я сам уже писал хуки... и через замену 5 байт (джампом на себя любимого), и через подмену в таблице импорта, и через int 3... Вобщем не пашет, а так как от программы исходников нет, небыло и не будет... Вопрос в том чтоб по порту узнать PID процесса, открывшего порт и все. Всякие NetView это умеют, причем без предварительной установки сервиса или ещё чего... То есть это какие-то АПИ функции или что-то вроде этого.

← →
Сергей М. © (2006-11-23 14:26) [5]

> писал хуки... и через замену 5 байт (джампом на себя любимого),
> и через подмену в таблице импорта, и через int 3... Вобщем
> не пашет

Значит у тебя ошибка в программе.

А где, кстати, "подмена в таблице экспорта" ?)

← →
Warstone © (2006-11-23 14:35) [6]

> Значит у тебя ошибка в программе.
Точна такая-же подмена (имеется в виду с заменой 5 байт) работает для Download Master. Отличия: Вместо dmaster.exe ищется ехе другой программы
> А где, кстати, "подмена в таблице экспорта" ?)
А это как? Вроде чтоб подменить в таблице экспорта чего-нить это надо перекомпилить длл...
Вообще есть ещё 1 вариант - написать враппер для ws2_32.dll или winsock32.dll (или как они там звучат), но тогда проблема с установкой... Короче ушли от вопроса... Вопрос, напоминаю, состоит в том, чтоб по номеру порта получить PID (или хоть что-то) процесса открывшего порт.

← →
Dmitrij_K (2006-11-23 14:47) [7]

http://rouse.drkb.ru/
GetTcpTable

← →
Warstone © (2006-11-23 14:54) [8]

Всем спасибо. То что искал :)

> работает для Download Master. Отличия: Вместо dmaster.exe
> ищется ехе другой программы

dmaster.exe - это, видимо, какая-то супер-пупер-прога)

> это как? Вроде чтоб подменить в таблице экспорта чего-нить
> это надо перекомпилить длл

Это надо бросить свои "эксперименты" и засесть за учебники.
Ибо галиматьища несусветная.

> dmaster.exe - это, видимо, какая-то супер-пупер-прога)

Download Master - менеджер закачек. Бесплатный, наши делают.
> Это надо бросить свои "эксперименты" и засесть за учебники.
>
> Ибо галиматьища несусветная.

Так не все такие умные... Заодно бы и ссылочками покидался, а то... пустой звук.

http://www.google.ru/search?q=%D0%BF%D0%B5%D1%80%D0%B5%D1%85%D0%B2%D0%B0%D1%82+WinAPI&start=0&ie=utf-8&oe=utf-8&client=firefox-a&rls=org.mozilla:ru:official

Определения PID процесса, открывшего сокет Найти похожие ветки