Здравствуйте. Помогите разобраться или толкните в нужном направлении. Суть вопроса: разрабатываю библиотеку на С++ для перехвата POST и GET запросов из браузера. Для трафика передаваемого по протоколу HTTP/1.1 (не важно HTTP или HTTPS) я нашел нужные адреса и реализовал перехват. Но с протоколом HTTP2 никак не могу разобраться. Дело в том что он бинарный и в отличии от HTTP найти в памяти даже буфер с данными проблема, т.к. привычного запроса вроде "POST http://www.site.ru/post.php HTTP/1.0\r\n" в этом протоколе нет. Нашел только то что при формировании запроса HTTP2 используется некая сигнатура вида "PRI * HTTP/2.0\r\n\r\nSM\r\n\r\n" ее в памяти я нашел, при ее изменении сайты работающие по HTTP2 перестают открываться. Вроде как по формату протокола до применения шифрования HTTPS данные должны иметь вроде как такой формат:
0000 00 00 00 07 3a 6d 65 74 68 6f 64 00 00 00 03 47 ....:method....G
0010 45 54 00 00 00 05 3a 70 61 74 68 00 00 00 05 2f ET....:path..../
0020 64 65 6d 6f 00 00 00 0a 3a 61 75 74 68 6f 72 69 demo....:authori
0030 74 79 00 00 00 10 68 74 74 70 32 2e 61 6b 61 6d ty....http2.akam
0040 61 69 2e 63 6f 6d 00 00 00 07 3a 73 63 68 65 6d ai.com.. --------->И так далее
но я нигде в памяти не могу найти даже первые 11 байт со словом method и размером этого заголовка (7 байт) при остановке на breakpoint`ах после которых вызывается отправка данных через WSASend.
Прошу прощения если слишком сумбурно изложил. Помогите пожалуйста уже весь мозг себе сломал!

| Сообщение посчитали полезным:

Ну и далее одна из frame payload структур в зависимости от значения Type. Данные, которые ты привел наверное структура headers (type=1), возможно ты не можешь их найти потому что --> Link <-- Хз вообще зачем искать что-то в памяти, бери стандарт и читай.

-----
2 оттенка серого

| Сообщение посчитали полезным: linkmaze

Искать в памяти нужно для того чтобы найти буфер в котором содержатся данные в сыром виде без шифрования https для того чтобы их перехватить и сохранить. Вообще в идеале нужно найти адрес функции на входе которой будет буфер с ещё не зашифрованными данными. Так у меня получилось для HTTP1.1. Если знаете какой нибудь способ как это сделать эффективно/(более эффективно чем я это делаю) пожалуйста поделитесь. Я не придумал ничего другого как искать в памяти ожидаемые данные и смотреть далее из каких функций идет к ним обращение. Может это и костыль, не знаю, не бейте сильно, лучше поучите, все таки здесь собраны все профи в этих вопросах.

| Сообщение посчитали полезным:

linkmaze пишет:
Искать в памяти нужно для того чтобы найти буфер в котором содержатся данные в сыром виде без шифрования https для того чтобы их перехватить и сохранить.
Такой подход помимо кажущейся простоты дает ряд проблем. Допустим удалось найти функцию сжатия в одной из библиотек IE, допустим по сигнатуре ее можно найти и перехватить, как быть с другими браузерами, где этот протокол может быть реализован авторски и упирается в функции wsock? Как быть с другим ПО, где этот протокол может быть реализован другой библиотекой? Универсальный способ - сворачивать протокол с уровня TCP/IP, такую библиоетку можно в сниффер вкрутить и в апи-шпион и как угодно и что угодно. Скорей всего даже существуют уже готовые и даже фришные библиотеки, где хттп2 реализован, надо только скоммуниздить.

-----
2 оттенка серого

| Сообщение посчитали полезным: sefkrd

Не увидел под какой браузер пилится.
В Firefox было в dll реализовано экспортируемыми PR_Read и PR_Write, в хроме придется вручную искать неэкспортируемые SSL_Read | SSL_Write (например через вызовы ssl либы). В целом вся затея "тупиковая веточка", жутко не универсальная, трудоемкая в реализации и очевидно будет требовать частого обновления под новые билды браузера. Но ваше право.

| Сообщение посчитали полезным: difexacaw

PR_Write хорошо справляется с HTTP но полностью игнорирует HTTP2.. На счет реализации, ну да, для будущих версий будет сплошной головняк, каждый раз придется искать сигнатуру по новому но мне нужно только под существующие последние версии firefox'a и хрома.
А что значит "сворачивать протокол с уровня TCP/IP"? И как тогда быть с HTTPS.
. . . На счет затеи это вы в самую точку, тот еще геморрой, но может подскажете способ как мне найти адреса таких неэкспортируемых функций.
Для http1.1 по https, получилось через поиск строки в памяти, нашел такую неэкспортируемую ф-ию для хрома, а для http2 какой то ступор, думаю что может у меня какой то неправильный подход, может что то лучшее и универсальное можно найти.
Или может быть сам подход поменять к проблеме?

Добавлено спустя 2 минуты
f13nd - спасибо за ссылку на описание протокола.

| Сообщение посчитали полезным:

Очередной формграббер

| Сообщение посчитали полезным:

VOLKOFF

Откопал кодес который это и доставал из хрома. Действительно не лучший метод, даже между обновками был использован тяжёлый мотор что бы получить нужные переменные --> Link <--

А есчо такие действия зарубит системная защита(при сборке с /CFG),либо авер.
Внутренности апп лучше не трогать, это сложно достаётся и всегда хардкод.

Добавлено спустя 18 минут
linkmaze

> может подскажете способ как мне найти адреса таких неэкспортируемых функций.

Пример выше. Чтобы доставать какие то переменные из тела апп нужно это делать на уровне кодового анализа - разлаживать его в граф, выше он есчо и билдится. Это довольно сложные способы. Сигнатурой очевидно доставать не вариант.

> Или может быть сам подход поменять к проблеме?

Да, это не правильный подход к задаче. Я не особо разбираюсь в сетевых апи, но там вроде как можно ставить фильтры штатным путём и всё такое.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Я не особо разбираюсь в сетевых апи
Дык, для чего твои "моторные" умозаключения.. Поста ради.. Ты бот..
Куда ты, нос свой тыкаешь..

| Сообщение посчитали полезным:

difexacaw пишет:
Сигнатурой очевидно доставать не вариант.
Не согласен. Если считать сигнатурой не то, что ею обычно называется, выхлоп очень хороший. Для ишака и браузеров на ослиной тяге достаточно взять несколько длл разных версий и понаделать для них масок. Чем тупей компилер/настройки компилера, тем сигнатурный поиск работает надежней. Просто это не тот случай, где рационально лезть в код чужой программы, потому что на IE свет клином не сошелся и возможных вариантов слишком много.

-----
2 оттенка серого

| Сообщение посчитали полезным:

sefkrd

У меня рабочий семпл, а у тебя его нет. Суть в том что для работы с кодом не нужно знать какой то сторонний протокол, который вызывается через искомый указатель. Так что не пиши чушь.

f13nd

И у вас есть реализация, ну что бы не быть пустословным ?

Если бы можно было так просто достать сигнатуры, то эта задача не поднималась бы на куче форумов. Тупо забили бы смещений(указатели ксорятся и код изменяется в билдах так что увы, при сигнатурном подходе при апдейте отвалится всё, а это не приемлемо). И не нужно было бы тянуть конструкторы и прочие сложности. Данная задача иначе не решается.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
И у вас есть реализация, ну что бы не быть пустословным ?
Под интел не делал, PowerPC например вот в одно нажатие кнопки в иде:

Выкинуть ненужные поля в текстовом редакторе и скриптом обратно свернуть:

У этого ассемблера особенность: обязательная часть опкода старшие 6 бит первого байта, за ними обычно сразу поле регистра-приемника. Flirt и ему подобные сразу идут мимо. Выхлоп - несколько тысяч билдов, сделанных с разбросом аж в 15 лет, десятком-другим сигнатур берутся все. С интелом возможно чуть посложней, но вряд ли драматичная разница. Если у разработчиков нету задачи бороться с сигнатурным анализом.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd

А каким образом PPC имеет отношение к нт. Это совершенно иная архитектура.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Это совершенно иная архитектура.
Архитектура особого значения не имеет, не так много инструкций могут кодироваться двумя-тремя разными форматами. И например если sib не нужен, он и не будет от балды использоваться. Больше влияет сложность компилера. При желании можно накачать и дистрибутивов и хотфиксов и хоть на каждую версию длл по комплекту сигнатур сделать, их там не настолько много будет. И это всяко реальней, чем фантазировать на тему графов.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd

Вам походу есчо расти долго. Сигнатура не имеет смысла после апдейта. Общий способ основанный на закономерностях в коде живучий", так как учитывает многие нюансы, а не привязан лишь к смещениям или строковым сигнатурам.

Есть огромное число примеров, которые реализованы грамотно под XP и до сих пор работоспособны под последние билды ос. А ваши сигнатуры лишь вам только и нужны, как то так. Это не используется в виксах, по выше описанной причине - при апдейте становится неработоспособно, так как фундаментально не предсказывает возможные изменения.

-----
vx

| Сообщение посчитали полезным:

ТС просто отключи хттп2.
распарси ини профиля. оттуда получи папку. туда кинь user.js с настройками. это легитимное отключение. админ не нужен.

либо пиши парсилку хттп2.
суть в том, что протокол выбирается на этапе тлс хэндшейка, те тебе в пр_рид/райт итд уже будут валиться данные по протоколу который выбран на предыдущем этапе, который тебе не доступен в этих функа. ты можешь задетектить сигнатуру хттп2 и выбирать парсеры (если есть) - типа http_parser от ноды либо nghttp2.

Такие дела.

| Сообщение посчитали полезным:

difexacaw пишет:
Вам походу есчо расти долго
Я практикой обычно занят, а не теоретизирую на форумах на тему визоров, которых нету в природе и похоже никогда не будет. Для того, с чем сталкивался, это неплохо работает. В сторону интела расти не собираюсь, он меня интересует только как среда для исполнения.

-----
2 оттенка серого

| Сообщение посчитали полезным: