Chertenok.ru - все о программировании
Вход  |  Регистрация  |  Поиск 
Праздник
Завтра :

День славянской письменности и культуры

  Мысли взаймы :   Смех - ближайшее расстояние между двумя людьми. Виктор Борже
Текущее время: Ср, 23-Май-2012 5:22
Список форумов :: Вопросы по программированию :: WinApi
Перехват WinApi


Новая тема  Ответить  Печать Предыдущая тема  Следующая тема
Автор Сообщение
ДОБ
Частый гость


Возраст: 23
Знак зодиака: Козерог
Зарегистрирован: 10.05.2007
Сообщения: 40
СообщениеВт, 24-Июл-2007 17:20    Заголовок сообщения: Перехват WinApi
 Цитата
Как можно перехватывать WinApi из WinSok ?
Нужна перехватывать отправку и приём данных (в третям кольце).
Я написал такой перехват с помощью dll. Адрес перехватываемой функций я забиваю во все запущенные приложения в таблицу импорта.
Вроде когда сеть отключена всё работает, а когда подключаешь сеть вылетает моя прога перехватчик и все зараженные проги при использовании перехваченной функций. Ну почему зараженные проги вылетают, я понимаю (обращения к пустому адресу) а почему моя вылетает?

И может, кто не будь знает, как можно под висту свой код в нулевое кольцо засунуть без драйвера, перезагрузки, влияния на БИОС и всякой подобной хрени? Тогда первый вопрос отпадает.

Заранее спасибо.
В начало
Посмотреть профиль Отправить личное сообщение
DrPass
Знающий :)
/Почетный Модератор/


Возраст: 31
Знак зодиака: Лев
Зарегистрирован: 02.05.2002
Сообщения: 5709
Откуда: Донецк
СообщениеВт, 24-Июл-2007 19:12 
 Цитата
Тьфу, чур тебя! Пьешь всякую дрянь, а потом на форум лезешь
_________________
Да пребудет с вами Сила!
В начало
Посмотреть профиль Отправить личное сообщение
ДОБ
Частый гость


Возраст: 23
Знак зодиака: Козерог
Зарегистрирован: 10.05.2007
Сообщения: 40
СообщениеВт, 24-Июл-2007 19:18 
 Цитата
to DrPass
Ok


Упрощу вопрос, как можно перехватывать отправляемые и принимаемые пакеты?

Добавлено спустя 12 минут 50 секунд:

А шшто, тьфу меня Фейсом об тейбл а что так заметноо? LOL
В начало
Посмотреть профиль Отправить личное сообщение
Пол:Муж NikotiN
Розовый мамонт


Возраст: 26
Знак зодиака: Овен
Зарегистрирован: 18.03.2005
Сообщения: 2137
СообщениеВт, 24-Июл-2007 19:58 
 Цитата
ну посмотри как файерволл делается, точно не скажу, но для простенького сниффера этого хватает. если надо делать что-то серьёзнее, то тогда уже не перехват, а замена функций)
_________________
Сила дурака в том, что умный перед ним бессилен.
В начало
Посмотреть профиль Отправить личное сообщение
ДОБ
Частый гость


Возраст: 23
Знак зодиака: Козерог
Зарегистрирован: 10.05.2007
Сообщения: 40
СообщениеВт, 24-Июл-2007 20:13 
 Цитата
to NikotiN
Цитата:
ну посмотри как файерволл делается, точно не скажу, но для простенького сниффера этого хватает.

Где уже только я не пытался это посмотреть. Можешь сам посмотреть, где ни будь и пример показать? Буду очень благодарен.

Цитата:
если надо делать что-то серьёзнее, то тогда уже не перехват, а замена функций)


Цель у меня предельна простая. На компьютере не стоят антивирусы и имеются права администратора. А замена функций это ты про что?



З.Ы.
Если бы мне кто ни будь ещё 2 недели назад сказал что я не смогу написать такой простой вещи, то я бы рассмеялся.
В начало
Посмотреть профиль Отправить личное сообщение
Пол:Муж NikotiN
Розовый мамонт


Возраст: 26
Знак зодиака: Овен
Зарегистрирован: 18.03.2005
Сообщения: 2137
СообщениеВт, 24-Июл-2007 20:50 
 Цитата
хм тут и на винграде была тема проф файерволл вроде бы
замена функций - это сплайсинг...это из раздела вирусов и крутых файерволлов)
_________________
Сила дурака в том, что умный перед ним бессилен.
В начало
Посмотреть профиль Отправить личное сообщение
ДОБ
Частый гость


Возраст: 23
Знак зодиака: Козерог
Зарегистрирован: 10.05.2007
Сообщения: 40
СообщениеВт, 24-Июл-2007 21:06 
 Цитата
to NikotiN
Ну не знаю, что там было на форуме. Сплайсинг и перехват функции это одно и тоже Это замена адреса функции в таблице импорта PE файла на адрес твоей функции. Меня проста, сбила фраза замена функции я не понял о чём это ты предложил, что ли WinSock переписать.

Я даже не прошу адрес топика, где ты это видел, потому что думаю, что там я нечего нового не увижу, потому что все способы перехвата, что я видел в инети были скопированы из книги «Недокументированные возможности Windows 2000» думаю, что и там тоже самое. И я делал также. Скорей всего в виндовас стоит кока ята защита от этого


или надёжный глюк Счастлив
В начало
Посмотреть профиль Отправить личное сообщение
Пол:Муж NikotiN
Розовый мамонт


Возраст: 26
Знак зодиака: Овен
Зарегистрирован: 18.03.2005
Сообщения: 2137
СообщениеВт, 24-Июл-2007 22:20 
 Цитата
статьи mr.rem ищи, wasm.ru и т.п.
_________________
Сила дурака в том, что умный перед ним бессилен.
В начало
Посмотреть профиль Отправить личное сообщение
ДОБ
Частый гость


Возраст: 23
Знак зодиака: Козерог
Зарегистрирован: 10.05.2007
Сообщения: 40
СообщениеСр, 25-Июл-2007 22:28 
 Цитата
Ну, во-первых, не mr.rem, а ms-rem (Стыдно таких людей не знать) а во вторых его статьи тоже основаны на книги о 2000 венде правда к 3 статье он свои модули пролегает они, кстати, весьма интересны в первом описано аПИ ядра больше чем где либо, а с помощью второго любой ламер может убить Касперского и спрятать свой процесс из диспетчера задач на уровни ядра.
В начало
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Страница 1 из 1
Перейти:  
Новая тема  Ответить  Печать

Вы можете начинать темы
Вы можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете присоединять файлы в этом форуме
Вы можете скачивать файлы в этом форуме
хостинг от .masterhost 
Rambler's Top100 		© 2002-2012 Чертенок.ру | Контакты | RSS |  Pоwerеd bу рhрBB