Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Сети";
Текущий архив: 2007.06.03;
Скачать: [xml.tar.bz2];

Вниз

Определения PID процесса, открывшего сокет   Найти похожие ветки 

 
Warstone ©   (2006-11-23 14:01) [0]

Hi, многоуважаемый All!
Собственно проблема в анализе сетевого трафика чужой программы. Я написал небольшой сниффер, только есть одно но: Он мониторит все данные входящие и исходящие из машины. Мне-же надо узнать к кому/от кого они были переданны/посланны. То есть я знаю ИП и порт подключения и могу поймать время, когда подключение активно. Надо узнать к кому посылались данные. Поиск вразумительного ничего не дал. Пробовал через перехват АПИ (функций recv recvfrom send sendfrom) но видно там защита какая стоит.

Для ВЦ: Сообщения типа WM_SELFKILLABSTENY и WM_SELFKILLABSTENYSRAZBEGA получил и отработал. Йад выплескивается из ушей :))

WBR Warstone


 
Dmitrij_K   (2006-11-23 14:04) [1]


> Пробовал через перехват АПИ (функций recv recvfrom send
> sendfrom) но видно там защита какая стоит.

MadCollection+Google+мозг


 
Warstone ©   (2006-11-23 14:09) [2]

О-о-очень понятно... MadCollection - это что? Да и не стоит у меня задачи сломать защиту, а по открытому порту узнать процесс... Гугля спрашивал... или нету, или нетак спрашивал.


 
Dmitrij_K   (2006-11-23 14:12) [3]


> Собственно проблема в анализе сетевого трафика чужой программы.

Api Hook на send\recv с помощью библиотеки MadCollection


 
Warstone ©   (2006-11-23 14:21) [4]

Да я сам уже писал хуки... и через замену 5 байт (джампом на себя любимого), и через подмену в таблице импорта, и через int 3... Вобщем не пашет, а так как от программы исходников нет, небыло и не будет... Вопрос в том чтоб по порту узнать PID процесса, открывшего порт и все. Всякие NetView это умеют, причем без предварительной установки сервиса или ещё чего... То есть это какие-то АПИ функции или что-то вроде этого.


 
Сергей М. ©   (2006-11-23 14:26) [5]


> писал хуки... и через замену 5 байт (джампом на себя любимого),
>  и через подмену в таблице импорта, и через int 3... Вобщем
> не пашет


Значит у тебя ошибка в программе.

А где, кстати, "подмена в таблице экспорта" ?)


 
Warstone ©   (2006-11-23 14:35) [6]


> Значит у тебя ошибка в программе.

Точна такая-же подмена (имеется в виду с заменой 5 байт) работает для Download Master. Отличия: Вместо dmaster.exe ищется ехе другой программы
> А где, кстати, "подмена в таблице экспорта" ?)
А это как? Вроде чтоб подменить в таблице экспорта чего-нить это надо перекомпилить длл...
Вообще есть ещё 1 вариант - написать враппер для ws2_32.dll или winsock32.dll (или как они там звучат), но тогда проблема с установкой... Короче ушли от вопроса... Вопрос, напоминаю, состоит в том, чтоб по номеру порта получить PID (или хоть что-то) процесса открывшего порт.


 
Dmitrij_K   (2006-11-23 14:47) [7]

http://rouse.drkb.ru/
GetTcpTable


 
Warstone ©   (2006-11-23 14:54) [8]

Всем спасибо. То что искал :)


 
Сергей М. ©   (2006-11-23 15:50) [9]


> работает для Download Master. Отличия: Вместо dmaster.exe
> ищется ехе другой программы


dmaster.exe - это, видимо, какая-то супер-пупер-прога)


> это как? Вроде чтоб подменить в таблице экспорта чего-нить
> это надо перекомпилить длл


Это надо бросить свои "эксперименты" и засесть за учебники.
Ибо галиматьища несусветная.


 
Warstone ©   (2006-11-23 17:17) [10]


> dmaster.exe - это, видимо, какая-то супер-пупер-прога)

Download Master - менеджер закачек. Бесплатный, наши делают.
> Это надо бросить свои "эксперименты" и засесть за учебники.
>
> Ибо галиматьища несусветная.

Так не все такие умные... Заодно бы и ссылочками покидался, а то... пустой звук.


 
Сергей М. ©   (2006-11-24 09:20) [11]

http://www.google.ru/search?q=%D0%BF%D0%B5%D1%80%D0%B5%D1%85%D0%B2%D0%B0%D1%82+WinAPI&start=0&ie=utf-8&oe=utf-8&client=firefox-a&rls=org.mozilla:ru:official



Страницы: 1 вся ветка

Форум: "Сети";
Текущий архив: 2007.06.03;
Скачать: [xml.tar.bz2];

Наверх





Память: 0.47 MB
Время: 0.042 c
1-1176199521
_dmtr_
2007-04-10 14:05
2007.06.03
linux


15-1178590615
Slider007
2007-05-08 06:16
2007.06.03
С днем рождения ! 8 мая


15-1178609770
Knight
2007-05-08 11:36
2007.06.03
Всех с наступающим!!!


9-1152615355
aKirill.INFO
2006-07-11 14:55
2007.06.03
Nebula 2


15-1178279473
db2admin
2007-05-04 15:51
2007.06.03
Буран и ЦПКиО им. Горького в Москве





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский