Конференция VBStreets

[Lunatic]

Есть сторонее приложение, которое общается с сервером. Нужно снифать его пакеты, и если они неустраивают условие, заменять их и отправлять дальше.

Как это можно реализовать. Инжектится в процесс? Писать что-то вроде файрволла? Подскажите.

[djalex777]

Можно написать свой сетевой драйвер или приаттачиться к существующему. В последнем направлении можно использовать PCAP. Только учти пакеты ты будешь получать в их наиболее полном состоянии.

[Antonariy]

А для начала забыть про VB.

[Lunatic]

Думаю на VB это тоже как-то можно сделать, только это будет более криво) (Это я не в адресс написания драйвера=))

Ну использовать Пикап для отслеживания пакетов это я думаю можно организовать, но вроде там небыло возможности фризить всё это дело.

Может у кого есть уже готовый драйвер или компонент какой-то, ну хоть что нибудь, что можно заюзать в ВБ)

[djalex777]

Думаю на VB это тоже как-то можно сделать, только это будет более криво

Если ты не про драйвер, то конечно можно и не криво это будет ни капли.

Может быть можно проще... Если в программе (ту, которую нужно проснифить) есть в настройках "использовать прокси", нужно написать прокси (это очень даже несложно) и отправлять программу на localhost. А если и нету, то всё равно можно, чуть подредактировав файлик hosts

[Lunatic]

Прокси не предусмотрен, хостс правил. Не помогло.

[djalex777]

Что значит не помогло? Ты должен выставить сопоставление IP или имени сервера к которому присоединяется программа с 127.0.0.1 или localhost. Дальше слушать порт к которому присоединяется программа. Фильтровать то, что тебе нужно и дальше переправлять данные на реальный сервер.

[iGrok]

Ну, например, если приложение общается с сервером по IP, то тут никакой хостс не поможет..

[Sirik]

Ну, например, если приложение общается с сервером по IP, то тут никакой хостс не поможет..

оО. а есть другие способа общения?

[iGrok]

Ну, например, если приложение общается с сервером по IP, то тут никакой хостс не поможет..

оО. а есть другие способа общения?

Ок. Уточню, что имел в виду, если приложение СОЕДИНЯЕТСЯ с сервером по IP, а не по доменному имени...

[Sirik]

Ну, например, если приложение общается с сервером по IP, то тут никакой хостс не поможет..

оО. а есть другие способа общения?

Ок. Уточню, что имел в виду, если приложение СОЕДИНЯЕТСЯ с сервером по IP, а не по доменному имени...

а разница в чем?

[djalex777]

А чем отличаются эти способы общения? Я же написал выше что можно в том же hosts написать сопоставление IP локалхосту.

[alibek]

В том, что в первом случае соединение идет по IP-адресу, а во втором по доменному имени.

[djalex777]

Не правда. Соединение всегда идет по IP адресу

[Lunatic]

В хостс добавил

Код: Выделить всё

127.0.0.1 sito.relax.ru

А вот Netstat
До редактирование хостс

Имя Локальный адрес Внешний адрес Состояние
TCP Core:2913 bos-d008c-rdr2.blue.aol.com:5190 ESTABLISHED
TCP Core:2931 64.12.30.48:5190 ESTABLISHED
TCP Core:2934 sito.relax.ru:28512 ESTABLISHED
TCP Core:2912 localhost:30606 ESTABLISHED
TCP Core:2930 localhost:30606 ESTABLISHED
TCP Core:30606 localhost:2912 ESTABLISHED
TCP Core:30606 localhost:2930 ESTABLISHED

После редактирование хостс

Имя Локальный адрес Внешний адрес Состояние
TCP Core:2913 bos-d008c-rdr2.blue.aol.com:5190 ESTABLISHED
TCP Core:2931 64.12.30.48:5190 ESTABLISHED
TCP Core:2935 sito.relax.ru:28512 ESTABLISHED
TCP Core:2912 localhost:30606 ESTABLISHED
TCP Core:2930 localhost:30606 ESTABLISHED
TCP Core:30606 localhost:2912 ESTABLISHED
TCP Core:30606 localhost:2930 ESTABLISHED

Как видим отличий не густо

[Sirik]

попробуй забить просто relax.ru

[iGrok]

Не правда. Соединение всегда идет по IP адресу

Блин, какие все правильные и придирчивые.. Тебя Хакер что ли укусил?

В первом случае коннект идёт СРАЗУ к ИЗВЕСТНОМУ IP, и хостс тут никак не поможет, ибо имя не резолвится.
А вот втором сначала резолвится доменное имя, получается IP, и если соответствующая запись есть в хостс - то вместо реального IP выдаётся прописанный там. Ну и коннект уже идёт к нему.

Так правильнее, надеюсь?

2Sirik:
Забивать нужно именно sito.relax.ru

2Lunatic:
И что? netstat тебе и будет то же самое показывать. Коннект идёт по имени? По имени. Вот он тебе имя и отображает. А соединяться пытается с локалхостом. Вешай на локалхост прокси на порт 28512 и смотри, что туда приходит.