Аналог recv

Сейчас на форуме: rmn, Magister Yoda, vasilevradislav, tyns777, zombi-vadim (+5 невидимых)

Посл.ответ	Сообщение
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 27 августа 2008 21:02 · Личное сообщение · #1 Недавно начал ковырять одну очень интересную прогу, (не могу сказать какую), и суть в том, что внедряя свою библиотеку, мне прекрасно удаётся перехватить функцию send, и я знаю, что она отправляет серверу, но при перехвате функции recv ничего не происходит, т.к. прога её не использует. Внимание, вопрос, как можно ещё принимать данные от удалённого сервера, и как их перехватить, буду рад любым советам, вплоть до написания драйвера, лишь бы знать, что писать, т.к. уже всё, вроде бы, перепробовал ----- Stuck to the plan, always think that we would stand up, never ran.

arnix Ранг: 210.5 (наставник), 2thx Активность: 0.14↘0 Статус: Участник	Создано: 27 августа 2008 21:06 · Личное сообщение · #2 если не recv то возможно просто read
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 27 августа 2008 21:10 · Личное сообщение · #3 arnix можно поподробнее, а то про эту функцию я ни хрена не знаю ----- Stuck to the plan, always think that we would stand up, never ran.
Av0id Ранг: 516.1 (!), 39thx Активность: 0.28↘0 Статус: Участник	Создано: 27 августа 2008 21:14 · Личное сообщение · #4 recv_from
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 27 августа 2008 21:17 · Личное сообщение · #5 Av0id в смысле, та что recvfrom? Не, не она ----- Stuck to the plan, always think that we would stand up, never ran.
arnix Ранг: 210.5 (наставник), 2thx Активность: 0.14↘0 Статус: Участник	Создано: 27 августа 2008 21:29 · Личное сообщение · #6 ARCHANGEL пример n = read(socket, pbuf, 32) socket - понятно pbuf - char* указатель на буффер 32 - сколько байт максимум читать (получить) возвращает число полученных байт кста, эта функция точно есть в unix-ax, может в винде нет не помню (или называется _read)
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 27 августа 2008 21:35 · Поправил: ARCHANGEL · Личное сообщение · #7 arnix Вырезка с MSDN: _read Reads data from a file. int _read( int handle, void *buffer, unsigned int count ); Ты уверен, что в винде такое есть? В смысле, оно связано с сетью? ----- Stuck to the plan, always think that we would stand up, never ran.
arnix Ранг: 210.5 (наставник), 2thx Активность: 0.14↘0 Статус: Участник	Создано: 27 августа 2008 21:38 · Поправил: arnix · Личное сообщение · #8 так, извиняюсь read/write и вправду только в юниксах, просто я недавно писал сервер под линукс и использовал read/write вместа recv/send вот и подумал что в виндах тоже можно, а оказывается: [url=http://www.cs.brown.edu/~scl/files/IPCWinNTUNIX.pdf ]http://www.cs.brown.edu/~scl/files/IPCWinNTUNIX.pdf [/url] "Some Berkeley socket applications use the _read() and _write() calls since UNIX treats sockets as files. Windows sockets support these functions, but some additional work on the part of the programmer is required. The socket must be opened as non-overlapped and must be converted to a file handle by calling _open_osfhandle(). This will return a file handle (i.e. an int) which can then be used with _read() and _write()." тойсть _read() и _write() использовать можно на сокетах но сначала нужно "конвертнуть сокет в файл" с помощью _open_osfhandle()
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 27 августа 2008 21:46 · Личное сообщение · #9 arnix я проверю, ну, а можно ли что-то более низкоуровневое? Как, например, тот же OutPost определяет, что возникла сетевая активность со стороны какого-то приложения? ----- Stuck to the plan, always think that we would stand up, never ran.
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 27 августа 2008 21:57 · Личное сообщение · #10 Драйвер вешает аутпост, в эту тему без ОГРОМНОЙ надобности лучше не соваться. Для общего представления можешь почитать обход аутпоста на васме, там частично описано, что он хукает и как. Но вряд ли это тебе поможет. Сам я не игрался с сетевыми апи, могу только посоветовать посмотреть на экспорт, какие по именам функи ещё ближе+потрассить сам recv, возможно, натолкнёт на мысль, к какой низкоуровневой функции сводятся вызовы получения.
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 27 августа 2008 22:06 · Личное сообщение · #11 Archer чтоб узнать, какие функции хукает Outpost, много ума не надо, надо посмотреть по KDT перехват в ядре, например, через Rootkit Unhooker, плюс ещё перехват с помощью удалённых хуков в третьем кольце, и обойти это можно гораздо проще, чем на васме написано, притом не древнюю 4 версию, а новую 6. Но проблема в том, что если я просто полезу в ядро, то лес станет ещё темнее, а партизаны толще, и ничего не проясниться, но всё равно спасибо, попробую потрассировать. ----- Stuck to the plan, always think that we would stand up, never ran.
Tolkin Ранг: 64.0 (постоянный), 2thx Активность: 0.04↘0.01 Статус: Участник	Создано: 28 августа 2008 22:52 · Личное сообщение · #12 я не силен в сетевых апи, но может стоит попробовать отследить хендлы открываемых сокетов программой и смотреть кто их использует и как?
PE_Kill Ранг: 793.4 (! !), 568thx Активность: 0.74↘0 Статус: Участник Шаман	Создано: 29 августа 2008 01:33 · Личное сообщение · #13 ARCHANGEL посмотри у целевой проги табличку импорта (вызовы), просто тупо просматривая функцию за функцией и скорее всего увидишь то что интересует. Скорее всего даже будет рядом с send ----- Yann Tiersen best and do not fuck
theCollision Ранг: 271.5 (наставник), 12thx Активность: 0.15↘0 Статус: Участник Packer Reseacher	Создано: 29 августа 2008 11:07 · Личное сообщение · #14 ARCHANGEL А ReadFile смотрел ? >>For asynchronous read operations, hFile can be any handle that is opened with the FILE_FLAG_OVERLAPPED flag by the CreateFile function, or a socket handle returned by the socket or accept function. ----- My love is very cool girl.
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 04 сентября 2008 18:51 · Личное сообщение · #15 theCollision Смотрел - не она! ----- Stuck to the plan, always think that we would stand up, never ran.
sss Ранг: 37.1 (посетитель) Активность: 0.01↘0 Статус: Участник	Создано: 05 сентября 2008 10:38 · Поправил: sss · Личное сообщение · #16 ARCHANGEL - WSARecv, WSARecvEx, WSARecvMsg, WSARecvFrom, TransmitFile???
flamer Ранг: 25.3 (посетитель) Активность: 0.01↘0 Статус: Участник	Создано: 05 сентября 2008 10:58 · Поправил: flamer · Личное сообщение · #17 ARCHANGEL пишет: как можно ещё принимать данные от удалённого сервера Высокоуровневых методов до фига. Это не полный список: winApi = Весь комплект из Winhttp.dll , wininet.dll ws ws2_32.dll mswsock.dll winsock.dll wsock32.dll ws2help.dll .NET Namespace: System.Net Assembly: System (in system.dll) А вообще, изначально посмотри на импорты. Возможно, имеет смысл узнать куда и по какому протоколу суется софтинка. Code: // drf.cpp : Defines the entry point for the console application. // #include "stdafx.h" #pragma comment( lib, "ws2_32.lib" ) #include <conio.h> #include <stdio.h> #include <stdlib.h> #include <winsock2.h> #define MAX_PACKET_SIZE 0x10000 #define SIO_RCVALL 0x98000001 // Буфер для приёма данных char Buffer[MAX_PACKET_SIZE]; // 64 Kb //Структура заголовка IP-пакета typedef struct IPHeader { UCHAR iph_verlen; // версия и длина заголовка UCHAR iph_tos; // тип сервиса USHORT iph_length; // длина всего пакета USHORT iph_id; // Идентификация USHORT iph_offset; // флаги и смещения UCHAR iph_ttl; // время жизни пакета UCHAR iph_protocol; // протокол USHORT iph_xsum; // контрольная сумма ULONG iph_src; // IP-адрес отправителя ULONG iph_dest; // IP-адрес назначения } IPHeader; char src[10]; char dest[10]; char ds[15]; unsigned short lowbyte; unsigned short hibyte; int _tmain(int argc, _TCHAR* argv[]) { WSADATA wsadata; // Инициализация WinSock. SOCKET s; // Cлущающий сокет. char name[128]; // Имя хоста (компьютера). HOSTENT* phe; // Информация о хосте. SOCKADDR_IN sa; // Адрес хоста IN_ADDR sa1; // unsigned long flag = 1; // Флаг PROMISC Вкл/выкл. // инициализация WSAStartup(MAKEWORD(2,2), &wsadata); s = socket( AF_INET, SOCK_RAW, IPPROTO_IP ); gethostname(name, sizeof(name)); phe = gethostbyname( name ); ZeroMemory( &sa, sizeof(sa) ); sa.sin_family = AF_INET; sa.sin_addr.s_addr = ((struct in_addr )phe->h_addr_list[0])->s_addr; bind(s, (SOCKADDR )&sa, sizeof(SOCKADDR)); // Включение promiscuous mode. ioctlsocket(s, SIO_RCVALL, &flag); // Бесконечный цикл приёма IP-пакетов. while( !_kbhit() ) { int count; count = recv( s, Buffer, sizeof(Buffer), 0 ); // обработка IP-пакета if( count >= sizeof(IPHeader) ) { IPHeader* hdr = (IPHeader *)Buffer; //Начинаем разбор пакета... // Преобразуем в понятный вид адрес отправителя. printf("From "); sa1.s_addr = hdr->iph_src; printf(inet_ntoa(sa1)); // Преобразуем в понятный вид адрес получателя. printf(" To "); sa1.s_addr = hdr->iph_dest; printf(inet_ntoa(sa1)); // Вычисляем протокол. Полный список этих констант // содержится в файле winsock2.h printf(" Prot: "); if(hdr->iph_protocol == IPPROTO_TCP) printf("TCP "); if(hdr->iph_protocol == IPPROTO_UDP) printf("UDP "); // Вычисляем размер. Так как в сети принят прямой порядок // байтов, а не обратный, то прийдётся поменять байты местами. lowbyte = hdr->iph_length>>8; hibyte = hdr->iph_length<<8; hibyte = hibyte + lowbyte; printf("Size: %d TTL:%d\n", hibyte,hdr->iph_ttl); } } closesocket( s ); WSACleanup(); return 0; } }
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 08 сентября 2008 17:06 · Личное сообщение · #18 sss Спасибо, нашёл, это была WSARecv, тему можно закрыть! ----- Stuck to the plan, always think that we would stand up, never ran.

Для печати