Как отслеживать входящий трафик выбранного процесса?

@EndoCrinolog · Регистрация: 02.07.2013

Author24 — интернет-сервис помощи студентам

У меня есть план:
1) Выбор через форму процесса
2) Встроить в него DLL, содержащий сниффер интернет потока
3) Обработка.
Сам сниффер у меня есть, но он слушает только выбранный адаптер. А мне необходимо, чтобы можно было отслеживать отдельные интернет-потоки для разных приложений (коих может быть запущено 2-3).
Можете ли дать мне примеры? Ссылки на ресурсы по первым двум пунктам плана?

Убежденный · 25.08.2016, 18:07

Ну ок, перехватишь ты входящий трафик какого-нибудь firefox, а дальше что?
Если там TLS/SSL, - а сейчас все больше и больше сайтов работают через
защищенные соединения, - все данные будут в зашифрованном виде, и какой в них смысл?

@EndoCrinolog · 25.08.2016, 21:47 **[ТС]**

Мне не данные firefox. Мне нужны данные swf-файла (игры). Там ничего не шифруется (насколько я могу судить по данным из снифера адаптера). А этот файл работает через локальный flashplayer.exe . Вот как раз-таки его входящий трафик мне и нужен. Это реально осуществить?

Убежденный · 25.08.2016, 21:55

Я бы в таком случае смотрел в сторону WinAPI-хуков.
То есть, внедряемся в процесс, ставим перехваты на интересующие
сетевые функции типа connect, send, recv и т.п., и получаем контроль
над трафиком нужного приложения.

@EndoCrinolog · 25.08.2016, 23:36 **[ТС]**

А Вам не трудно будет носом меня ткнуть на русскоязычные статьи по Win-API и встраиванию в процесс?

@northener · 26.08.2016, 02:19

Не по теме:

Нос размажется почти на всю вселенную при таком пожелании. И при таком начальном уровне знаний. :)

Убежденный · 26.08.2016, 09:15

Сообщение от EndoCrinolog

носом меня ткнуть на русскоязычные статьи по Win-API и встраиванию в процесс?

Техника инжекта в процесс описана у Джеффри Рихтера, да и ее в интернете
найти не сложно (гугли по "инжект CreateRemoteThread" и т.п.).
Для хуков есть готовые библиотеки, например MinHook, EasyHook...

@BOGG ART · 26.08.2016, 14:01

А кстати - вам принципиально написать такую программу самому, или сойдёт чужое готовое софт?

@EndoCrinolog · 27.08.2016, 12:47 **[ТС]**

Если есть исходник данной готовой программы на делфи, то можно и ее

Но а так - необходимо осуществлять множество действий с полученными данными, поэтому, в любом случае придется самому писать.

Добавлено через 1 минуту

Сообщение от northener

Не по теме:

Нос размажется почти на всю вселенную при таком пожелании. И при таком начальном уровне знаний.

Знаю.. Поэтому приходится побираться на разных форумах и сайтах в поисках необходимого материала...

Добавлено через 15 минут
Я тут прочитал про функцию SetWindowsHookEx(idHook: integer; lpfn: TFNHookProc; hmod: HINST; dwThreadID: DWORD): HHOOK; stdcall;

idHook: описывает тип устанавливаемой ловушки. Данный параметр может принимать одно из следующих значений:
WH_CALLWNDPROC Фильтр процедуры окна. Функция-фильтр ловушки вызывается, когда процедуре окна посылается сообщение. Windows вызывает этот хук при каждом вызове функции SendMessage.
WH_CALLWNDPROCRET Функция-фильтр, контролирующая сообщения после их обработки процедурой окна приемника.
WH_CBT В литературе встречаются следующие названия для этого типа фильтров: "тренировочный" или "обучающий". Данная ловушка вызывается перед обработкой большинства сообщений окон, мыши и клавиатуры.
WH_DEBUG Функция-фильтр, предназначенная для отладки. Функция-фильтр ловушки вызывается перед любой другой ловушкой Windows. Удобный инструмент для отладки и контроля ловушек.
WH_GETMESSAGE Функция-фильтр обработки сообщений. Функция-фильтр ловушки вызывается всегда, когда из очереди приложения считывается любое сообщение.
WH_HARDWARE Функция-фильтр, обрабатывающая сообщения оборудования. Функция-фильтр ловушки вызывается, когда из очереди приложения считывается сообщение оборудования.
WH_JOURNALPLAYBACK Функция-фильтр вызывается, когда из очереди системы считывается любое сообщение. Используется для вставки в очередь системных событий.
WH_JOURNALRECORD Функция-фильтр вызывается, когда из очереди системы запрашивается какое-либо событие. Используется для регистрации системных событий.
WH_KEYBOARD Функция-фильтр "обработки" клавиатуры. Наверное, наиболее часто используемый тип ловушки. Функция-фильтр ловушки вызывается, когда из очереди приложения считывается сообщения wm_KeyDown или wm_KeyUp.
WH_KEYBOARD_LL Низкоуровневый фильтр клавиатуры.
WH_MOUSE Функция-фильтр, обрабатывающая сообщения мыши. Функция-фильтр ловушки вызывается, когда из очереди приложения считывается сообщение мыши.
WH_MOUSE_LL Низкоуровневый фильтр мыши.
WH_MSGFILTER Функция-фильтр специального сообщения. Функция-фильтр ловушки вызывается, когда сообщение должно быть обработано диалоговым окном приложения, меню или окном приложения.
WH_SHELL Фильтр приложения оболочки. Функция-фильтр ловушки вызывается, когда создаются и разрушаются окна верхнего уровня или когда приложению-оболочке требуется стать активным.

Для того, чтобы ловить сообщения входящего интернет-трафика процесса, какой idHook необходимо выбрать?

@EndoCrinolog 2 / 2 / 3 Регистрация: 02.07.2013 Сообщений: 148
		1
	Как отслеживать входящий трафик выбранного процесса? 25.08.2016, 18:05. Показов 1264. Ответов 8 Метки нет (Все метки) У меня есть план: 1) Выбор через форму процесса 2) Встроить в него DLL, содержащий сниффер интернет потока 3) Обработка. Сам сниффер у меня есть, но он слушает только выбранный адаптер. А мне необходимо, чтобы можно было отслеживать отдельные интернет-потоки для разных приложений (коих может быть запущено 2-3). Можете ли дать мне примеры? Ссылки на ресурсы по первым двум пунктам плана? 0

Убежденный Ушел с форума 16478 / 7441 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	25.08.2016, 18:07	2
	Ну ок, перехватишь ты входящий трафик какого-нибудь firefox, а дальше что? Если там TLS/SSL, - а сейчас все больше и больше сайтов работают через защищенные соединения, - все данные будут в зашифрованном виде, и какой в них смысл? 0

@EndoCrinolog 2 / 2 / 3 Регистрация: 02.07.2013 Сообщений: 148
	25.08.2016, 21:47 [ТС]	3
	Мне не данные firefox. Мне нужны данные swf-файла (игры). Там ничего не шифруется (насколько я могу судить по данным из снифера адаптера). А этот файл работает через локальный flashplayer.exe . Вот как раз-таки его входящий трафик мне и нужен. Это реально осуществить? 0

Убежденный Ушел с форума 16478 / 7441 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	25.08.2016, 21:55	4
	Я бы в таком случае смотрел в сторону WinAPI-хуков. То есть, внедряемся в процесс, ставим перехваты на интересующие сетевые функции типа connect, send, recv и т.п., и получаем контроль над трафиком нужного приложения. 0

@EndoCrinolog 2 / 2 / 3 Регистрация: 02.07.2013 Сообщений: 148
	25.08.2016, 23:36 [ТС]	5
	А Вам не трудно будет носом меня ткнуть на русскоязычные статьи по Win-API и встраиванию в процесс? 0

@northener
	26.08.2016, 02:19 #6
	Не по теме: Нос размажется почти на всю вселенную при таком пожелании. И при таком начальном уровне знаний. :) 0

Убежденный Ушел с форума 16478 / 7441 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	26.08.2016, 09:15	7
	Сообщение от EndoCrinolog носом меня ткнуть на русскоязычные статьи по Win-API и встраиванию в процесс? Техника инжекта в процесс описана у Джеффри Рихтера, да и ее в интернете найти не сложно (гугли по "инжект CreateRemoteThread" и т.п.). Для хуков есть готовые библиотеки, например MinHook, EasyHook... 1

@BOGG ART 592 / 459 / 147 Регистрация: 09.12.2013 Сообщений: 2,385 Записей в блоге: 2
	26.08.2016, 14:01	8
	А кстати - вам принципиально написать такую программу самому, или сойдёт чужое готовое софт? 0

@EndoCrinolog 2 / 2 / 3 Регистрация: 02.07.2013 Сообщений: 148
	27.08.2016, 12:47 [ТС]	9
	Если есть исходник данной готовой программы на делфи, то можно и ее Но а так - необходимо осуществлять множество действий с полученными данными, поэтому, в любом случае придется самому писать. Добавлено через 1 минуту Сообщение от northener Не по теме: Нос размажется почти на всю вселенную при таком пожелании. И при таком начальном уровне знаний. Знаю.. Поэтому приходится побираться на разных форумах и сайтах в поисках необходимого материала... Добавлено через 15 минут Я тут прочитал про функцию SetWindowsHookEx(idHook: integer; lpfn: TFNHookProc; hmod: HINST; dwThreadID: DWORD): HHOOK; stdcall; idHook: описывает тип устанавливаемой ловушки. Данный параметр может принимать одно из следующих значений: WH_CALLWNDPROC Фильтр процедуры окна. Функция-фильтр ловушки вызывается, когда процедуре окна посылается сообщение. Windows вызывает этот хук при каждом вызове функции SendMessage. WH_CALLWNDPROCRET Функция-фильтр, контролирующая сообщения после их обработки процедурой окна приемника. WH_CBT В литературе встречаются следующие названия для этого типа фильтров: "тренировочный" или "обучающий". Данная ловушка вызывается перед обработкой большинства сообщений окон, мыши и клавиатуры. WH_DEBUG Функция-фильтр, предназначенная для отладки. Функция-фильтр ловушки вызывается перед любой другой ловушкой Windows. Удобный инструмент для отладки и контроля ловушек. WH_GETMESSAGE Функция-фильтр обработки сообщений. Функция-фильтр ловушки вызывается всегда, когда из очереди приложения считывается любое сообщение. WH_HARDWARE Функция-фильтр, обрабатывающая сообщения оборудования. Функция-фильтр ловушки вызывается, когда из очереди приложения считывается сообщение оборудования. WH_JOURNALPLAYBACK Функция-фильтр вызывается, когда из очереди системы считывается любое сообщение. Используется для вставки в очередь системных событий. WH_JOURNALRECORD Функция-фильтр вызывается, когда из очереди системы запрашивается какое-либо событие. Используется для регистрации системных событий. WH_KEYBOARD Функция-фильтр "обработки" клавиатуры. Наверное, наиболее часто используемый тип ловушки. Функция-фильтр ловушки вызывается, когда из очереди приложения считывается сообщения wm_KeyDown или wm_KeyUp. WH_KEYBOARD_LL Низкоуровневый фильтр клавиатуры. WH_MOUSE Функция-фильтр, обрабатывающая сообщения мыши. Функция-фильтр ловушки вызывается, когда из очереди приложения считывается сообщение мыши. WH_MOUSE_LL Низкоуровневый фильтр мыши. WH_MSGFILTER Функция-фильтр специального сообщения. Функция-фильтр ловушки вызывается, когда сообщение должно быть обработано диалоговым окном приложения, меню или окном приложения. WH_SHELL Фильтр приложения оболочки. Функция-фильтр ловушки вызывается, когда создаются и разрушаются окна верхнего уровня или когда приложению-оболочке требуется стать активным. Для того, чтобы ловить сообщения входящего интернет-трафика процесса, какой idHook необходимо выбрать? 0