Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Сети";
Текущий архив: 2007.06.03;
Скачать: [xml.tar.bz2];

Вниз

Определения PID процесса, открывшего сокет   Найти похожие ветки 

 
Warstone ©   (2006-11-23 14:01) [0]

Hi, многоуважаемый All!
Собственно проблема в анализе сетевого трафика чужой программы. Я написал небольшой сниффер, только есть одно но: Он мониторит все данные входящие и исходящие из машины. Мне-же надо узнать к кому/от кого они были переданны/посланны. То есть я знаю ИП и порт подключения и могу поймать время, когда подключение активно. Надо узнать к кому посылались данные. Поиск вразумительного ничего не дал. Пробовал через перехват АПИ (функций recv recvfrom send sendfrom) но видно там защита какая стоит.

Для ВЦ: Сообщения типа WM_SELFKILLABSTENY и WM_SELFKILLABSTENYSRAZBEGA получил и отработал. Йад выплескивается из ушей :))

WBR Warstone


 
Dmitrij_K   (2006-11-23 14:04) [1]


> Пробовал через перехват АПИ (функций recv recvfrom send
> sendfrom) но видно там защита какая стоит.

MadCollection+Google+мозг


 
Warstone ©   (2006-11-23 14:09) [2]

О-о-очень понятно... MadCollection - это что? Да и не стоит у меня задачи сломать защиту, а по открытому порту узнать процесс... Гугля спрашивал... или нету, или нетак спрашивал.


 
Dmitrij_K   (2006-11-23 14:12) [3]


> Собственно проблема в анализе сетевого трафика чужой программы.

Api Hook на send\recv с помощью библиотеки MadCollection


 
Warstone ©   (2006-11-23 14:21) [4]

Да я сам уже писал хуки... и через замену 5 байт (джампом на себя любимого), и через подмену в таблице импорта, и через int 3... Вобщем не пашет, а так как от программы исходников нет, небыло и не будет... Вопрос в том чтоб по порту узнать PID процесса, открывшего порт и все. Всякие NetView это умеют, причем без предварительной установки сервиса или ещё чего... То есть это какие-то АПИ функции или что-то вроде этого.


 
Сергей М. ©   (2006-11-23 14:26) [5]


> писал хуки... и через замену 5 байт (джампом на себя любимого),
>  и через подмену в таблице импорта, и через int 3... Вобщем
> не пашет


Значит у тебя ошибка в программе.

А где, кстати, "подмена в таблице экспорта" ?)


 
Warstone ©   (2006-11-23 14:35) [6]


> Значит у тебя ошибка в программе.

Точна такая-же подмена (имеется в виду с заменой 5 байт) работает для Download Master. Отличия: Вместо dmaster.exe ищется ехе другой программы
> А где, кстати, "подмена в таблице экспорта" ?)
А это как? Вроде чтоб подменить в таблице экспорта чего-нить это надо перекомпилить длл...
Вообще есть ещё 1 вариант - написать враппер для ws2_32.dll или winsock32.dll (или как они там звучат), но тогда проблема с установкой... Короче ушли от вопроса... Вопрос, напоминаю, состоит в том, чтоб по номеру порта получить PID (или хоть что-то) процесса открывшего порт.


 
Dmitrij_K   (2006-11-23 14:47) [7]

http://rouse.drkb.ru/
GetTcpTable


 
Warstone ©   (2006-11-23 14:54) [8]

Всем спасибо. То что искал :)


 
Сергей М. ©   (2006-11-23 15:50) [9]


> работает для Download Master. Отличия: Вместо dmaster.exe
> ищется ехе другой программы


dmaster.exe - это, видимо, какая-то супер-пупер-прога)


> это как? Вроде чтоб подменить в таблице экспорта чего-нить
> это надо перекомпилить длл


Это надо бросить свои "эксперименты" и засесть за учебники.
Ибо галиматьища несусветная.


 
Warstone ©   (2006-11-23 17:17) [10]


> dmaster.exe - это, видимо, какая-то супер-пупер-прога)

Download Master - менеджер закачек. Бесплатный, наши делают.
> Это надо бросить свои "эксперименты" и засесть за учебники.
>
> Ибо галиматьища несусветная.

Так не все такие умные... Заодно бы и ссылочками покидался, а то... пустой звук.


 
Сергей М. ©   (2006-11-24 09:20) [11]

http://www.google.ru/search?q=%D0%BF%D0%B5%D1%80%D0%B5%D1%85%D0%B2%D0%B0%D1%82+WinAPI&start=0&ie=utf-8&oe=utf-8&client=firefox-a&rls=org.mozilla:ru:official



Страницы: 1 вся ветка

Форум: "Сети";
Текущий архив: 2007.06.03;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.47 MB
Время: 0.042 c
15-1178122310
X9
2007-05-02 20:11
2007.06.03
ОФФТОП: Расчёт сечения кабеля


2-1179047001
IPE
2007-05-13 13:03
2007.06.03
copy folder


15-1178529482
lu4ina
2007-05-07 13:18
2007.06.03
TreeView


2-1179130182
Cavalera
2007-05-14 12:09
2007.06.03
Как в седьмом Делфи запустить Install Shield


15-1178195654
oldman
2007-05-03 16:34
2007.06.03
Что могло случиться с флэшкой?





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский