Форум: "Сети";
Текущий архив: 2007.06.03;
Скачать: [xml.tar.bz2];
Вниз
Определения PID процесса, открывшего сокет Найти похожие ветки
← →
Warstone © (2006-11-23 14:01) [0]Hi, многоуважаемый All!
Собственно проблема в анализе сетевого трафика чужой программы. Я написал небольшой сниффер, только есть одно но: Он мониторит все данные входящие и исходящие из машины. Мне-же надо узнать к кому/от кого они были переданны/посланны. То есть я знаю ИП и порт подключения и могу поймать время, когда подключение активно. Надо узнать к кому посылались данные. Поиск вразумительного ничего не дал. Пробовал через перехват АПИ (функций recv recvfrom send sendfrom) но видно там защита какая стоит.
Для ВЦ: Сообщения типа WM_SELFKILLABSTENY и WM_SELFKILLABSTENYSRAZBEGA получил и отработал. Йад выплескивается из ушей :))
WBR Warstone
← →
Dmitrij_K (2006-11-23 14:04) [1]
> Пробовал через перехват АПИ (функций recv recvfrom send
> sendfrom) но видно там защита какая стоит.
MadCollection+Google+мозг
← →
Warstone © (2006-11-23 14:09) [2]О-о-очень понятно... MadCollection - это что? Да и не стоит у меня задачи сломать защиту, а по открытому порту узнать процесс... Гугля спрашивал... или нету, или нетак спрашивал.
← →
Dmitrij_K (2006-11-23 14:12) [3]
> Собственно проблема в анализе сетевого трафика чужой программы.
Api Hook на send\recv с помощью библиотеки MadCollection
← →
Warstone © (2006-11-23 14:21) [4]Да я сам уже писал хуки... и через замену 5 байт (джампом на себя любимого), и через подмену в таблице импорта, и через int 3... Вобщем не пашет, а так как от программы исходников нет, небыло и не будет... Вопрос в том чтоб по порту узнать PID процесса, открывшего порт и все. Всякие NetView это умеют, причем без предварительной установки сервиса или ещё чего... То есть это какие-то АПИ функции или что-то вроде этого.
← →
Сергей М. © (2006-11-23 14:26) [5]
> писал хуки... и через замену 5 байт (джампом на себя любимого),
> и через подмену в таблице импорта, и через int 3... Вобщем
> не пашет
Значит у тебя ошибка в программе.
А где, кстати, "подмена в таблице экспорта" ?)
← →
Warstone © (2006-11-23 14:35) [6]
> Значит у тебя ошибка в программе.
Точна такая-же подмена (имеется в виду с заменой 5 байт) работает для Download Master. Отличия: Вместо dmaster.exe ищется ехе другой программы
> А где, кстати, "подмена в таблице экспорта" ?)
А это как? Вроде чтоб подменить в таблице экспорта чего-нить это надо перекомпилить длл...
Вообще есть ещё 1 вариант - написать враппер для ws2_32.dll или winsock32.dll (или как они там звучат), но тогда проблема с установкой... Короче ушли от вопроса... Вопрос, напоминаю, состоит в том, чтоб по номеру порта получить PID (или хоть что-то) процесса открывшего порт.
← →
Dmitrij_K (2006-11-23 14:47) [7]http://rouse.drkb.ru/
GetTcpTable
← →
Warstone © (2006-11-23 14:54) [8]Всем спасибо. То что искал :)
← →
Сергей М. © (2006-11-23 15:50) [9]
> работает для Download Master. Отличия: Вместо dmaster.exe
> ищется ехе другой программы
dmaster.exe - это, видимо, какая-то супер-пупер-прога)
> это как? Вроде чтоб подменить в таблице экспорта чего-нить
> это надо перекомпилить длл
Это надо бросить свои "эксперименты" и засесть за учебники.
Ибо галиматьища несусветная.
← →
Warstone © (2006-11-23 17:17) [10]
> dmaster.exe - это, видимо, какая-то супер-пупер-прога)
Download Master - менеджер закачек. Бесплатный, наши делают.
> Это надо бросить свои "эксперименты" и засесть за учебники.
>
> Ибо галиматьища несусветная.
Так не все такие умные... Заодно бы и ссылочками покидался, а то... пустой звук.
← →
Сергей М. © (2006-11-24 09:20) [11]http://www.google.ru/search?q=%D0%BF%D0%B5%D1%80%D0%B5%D1%85%D0%B2%D0%B0%D1%82+WinAPI&start=0&ie=utf-8&oe=utf-8&client=firefox-a&rls=org.mozilla:ru:official
Страницы: 1 вся ветка
Форум: "Сети";
Текущий архив: 2007.06.03;
Скачать: [xml.tar.bz2];
Память: 0.47 MB
Время: 0.068 c
