Есть необходимость фильтровать сетевую активность по определённым признакам. Как это грамотно программно организовать? Везде советуют Pcap, качнул magsys.co.uk/delphi/magmonsock.asp ловлю я нужные пакеты через WinPcap, через то самое единственное событие в TMonitorPCap - OnPacketEvent но нигде не могу найти SequenceNr пакета и их количество, принадлежащее одному ответу, чтобы собрать из нескольких пакетов 1 файл. Может кто подсказать куда копать?

ps: и вообще складывается ощущение, что если в систем несколько программ используют pcap, то половина пакетов вообще где-то теряются из виду... взять тот же HTTP Analyser, запускаем его и свою программу и она половину перестаёт видеть и он.
Каким образом с этим работать чтобы ничего не терялось?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Colasoft Capsa Enterprise, CommView - вот этими пользуюсь - удобные. От прочих отличаются наличием развитых возможностей и построителем пакетов в комплекте.

| Сообщение посчитали полезным:

negoday интересует не сторонний софт, а собственная реализация (тут ветка Программирование). Иначе я бы взял Wireshark и он всё прекрасно ловит и показывает...

допустим некий клиент посылает на сервер файл из нескольких пакетов сжатый
делаем маленькую утильку, которая висит поверх всех окон, ловит нужные пакеты, собирает в файл, распаковывает, парсит нужную инфу и вангует при необходимости в лог
проблема в общим только в первой части: каким образом организовать корректный отлов этих пакетов

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev пишет:
делаем маленькую утильку
вроде уже такое делали в свое время, называется WPF v.6.69F. Там есть свой скриптовый язык, которым можно модифицировать пакет и много чего ещё. Очень мощная штука, делалась для читерства, но, вероятно, подойдет для чего угодно. У меня, криворукого, даже получалось ей кое-что сделать Есть еще попроще, утилиты, называются DPE rcD Packet Editor v.1.4.2.0 и WPE PRO Alfa v.0.9a (но эти две очень простенькие, но ими тоже пользовался успешно).

| Сообщение посчитали полезным: bartolomeo

ещё раз
мне интересно как это реализовать самому чтобы можно было использовать в своих проектах, а не постоянно юзать посторонний софт

как это делается сторонним софтом и каким я прекрасно знаю и вопрос не в этом

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev
Парень пытается намекнуть, чтобы ты взял тот софт и отреверсил функционал.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Вообще конечно интересно, глянул WPF, похоже использует только WinSock2 без всяких там pcap'ов dll и драйверов... Разве этого достаточно, чтобы патчить пакеты налету, как там заявлено?
Поковырять его проблемно, т.к. он под VMProtect'ом, а самого автора похоже уже с нами нет

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

можно ссылку на этот WPF v.6.69F?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos
--> Link <--

| Сообщение посчитали полезным: plutos

В общем немного поэкспериментировав выяснилось, что для работы с http в общем вполне достаточно сырых сокетов в режиме прослушивания...
Вот этот пример вполне справляется, можно отфильтровать пакеты по порту и IP и он вполне нормально их отлавливает и заглядывает внутрь.
Но если нам нужно работать с ssl, то на это уровне мы видим только шифрованные пакеты, чтобы ловить сразу расшифрованные, нужно хучить функции WinInet.
Думаю сплайсингом, чтобы хучить от любых процессов, а не подстраиватся постоянно под нужный.

Поправьте меня, если я где ошибаюсь, чтобы не ушёл в неправильном направлении)

Когда мы сплайсингом хучим функцию, можно как-то узнать от какого именно процесса мы её перехватили?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

А сплайсингом ты где собрался перехватить? В юзермоде? Вопрос тогда лишён смысла. В ядре? Получи PID процесса и всё.

| Сообщение посчитали полезным:

Archer пишет:
В юзермоде? Вопрос тогда лишён смысла.
это я пока не понимаю... я ещё теорию не дочитал
по той статье, как я понимаю, в юзермоде. из своей dll которая подгружается во все процессы через
создание удалённого потока и функцию LoadLibraryA...
Цитирую: Следовательно, функция LoadLibraryA полностью подходит для того, что бы она могла выступать в качестве функции потока. Так как она принимает указатель на строку в своём процессе, нам надо будет записать в память чужого процесса нашу строку и именем файла DLL. Это делается функцией WriteProcessMemory.

Добавлено спустя 5 минут
Ещё Rouse подкинул пару своих статей поизучать по теме:
- Реализация перехвата вызовов API
- Правильное применение сплайсинга при перехвате функций подготовленных к HotPatch
т.ч. я пока ушёл изучать теорию, если у кого что-то путное есть почитать по данной теме, не стесняйтесь

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

WinPcap нормально работает, мб проблема в компоненте.
попробуйте собрать без компонента.
http://www.binarytides.com/code-packet-sniffer-c-winpcap/

| Сообщение посчитали полезным:

wireshark Opensource
если он делает то что вам надо, тянете исходники, изучаете, забираете нужный функционал себе

| Сообщение посчитали полезным: Crawler

reversecode пишет: wireshark Opensource

толстоватый он, вот вариант проще http://www.win10pcap.org/, выкинуть GUI и перевести немного кода на делфи

| Сообщение посчитали полезным:

shellstorm пишет:
попробуйте собрать без компонента.
там же написано в конце статьи
When using SSL , the same data is encrypted.
А проблема именно в этом и без Pcap

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev пишет: А проблема именно в этом и без Pcap

Так посмотрите какую нибудь открытую реализацию на базе pcap, софт же нормально работает, хоть тот же шарк.

| Сообщение посчитали полезным:

Isaev

> Когда мы сплайсингом хучим функцию, можно как-то узнать от какого именно процесса мы её перехватили?

В контексте какого процесса выполняется точнее. Это высокоуровневые функции, поэтому они всегда будут в контексте процесса. Просто получить указатель на текущий процесс, вызвав системные апи. Обратную операцию выполнить сложнее, некоторые области памяти(hyperspace) не разделяются между процессами - это сессионное пространство, так например у каждого процесса своя память win32k, для доступа к которой не достаточно аттача к процессу, нужен аттачь к сессии.

> Думаю сплайсингом, чтобы хучить от любых процессов, а не подстраиватся постоянно под нужный.

Обычно фильтруется соккетный IOCTL на уровне сервиса NtDeviceIoCtl в UM.

-----
vx

| Сообщение посчитали полезным:

или WinSock2 чтобы патчить пакеты и/или raw sockets чтобы слушать, расшифровывать можно и после перехвата. вы же все усложнили.

| Сообщение посчитали полезным:

Есть крайне эффективная штука в системе для этих нужд - Layered Service Provider называется. SSL для нее прозрачен как стеклышко. Один минус - довольно трудно реализуется на практике, хотя кто знает, кому как. Если я не ошибаюсь, эту технологию используют некоторые аверы (NOD?) для мониторинка траффика.

| Сообщение посчитали полезным:

апну.
windivert он идет с примерами. работает на базе wfp. драйвер + библиотека для работы с ним. есть возможность реинжекта измененных данных. те менять на лету данные в трафике.

| Сообщение посчитали полезным: