国产精品一区=区,日韩一区二区久久,欧美日韩不卡在线

網(wǎng)絡(luò)數(shù)據(jù)提交攔截器-SendSpyer

簡(jiǎn)介：
SendSpyer是一個(gè)控制臺(tái)程序。其接受2個(gè)輸入?yún)?shù)：pid recordfile。其中pid是想要攔截網(wǎng)絡(luò)發(fā)送數(shù)據(jù)的目標(biāo)進(jìn)程ID，recordfile是記錄攔截下來的網(wǎng)絡(luò)數(shù)據(jù)的文件路徑。

原理：
SendSpyer內(nèi)聯(lián)Hook了目標(biāo)進(jìn)程的send函數(shù)，使之在對(duì)外發(fā)送數(shù)據(jù)時(shí)將數(shù)據(jù)寫入到制定路徑的文件中。

缺點(diǎn)：
對(duì)于不使用winsock函數(shù)send來發(fā)送網(wǎng)絡(luò)數(shù)據(jù)的程序無(wú)法攔截其發(fā)生數(shù)據(jù)。處于效率和穩(wěn)定性的考慮，沒有對(duì)send函數(shù)的指令恢復(fù)做同步限制，可能會(huì)導(dǎo)致部分提交數(shù)據(jù)的遺漏。

下載： /Files/zwp/SendSpyer.rar

核心：

void HookSend(LPVOID lParam)
{

    RemoteParam* pRP = (RemoteParam*)lParam;
    HMODULE hUser32 = NULL;
    HMODULE hKernel32 = NULL;
    PFN_LOADLIBRARY pfnLoadlibrary = (PFN_LOADLIBRARY)pRP->dwLoadLibrary;
    PFN_FREELIBRARY pfnFreeLibrary = (PFN_FREELIBRARY)pRP->dwFreeLibrary;
    hUser32 = pfnLoadlibrary(pRP->szModuleName1);
    hKernel32 = pfnLoadlibrary(pRP->szModuleName2);

#ifndef NDEBUG
    char szMsgContent[256];
    PFN_GETMODULEFILENAME pfnGetModuleName = (PFN_GETMODULEFILENAME)pRP->dwGetModuleFileName;
    pfnGetModuleName(NULL, szMsgContent, sizeof(szMsgContent));
#endif

    PFN_CREATEFILE pfnCreateFile = (PFN_CREATEFILE)pRP->dwCreatefile;
    PFN_SETFILEPOINTER pfnSetFilePointer = (PFN_SETFILEPOINTER)pRP->dwSetFilePointer;
    PFN_WRITEFILE pfnWriteFile = (PFN_WRITEFILE)pRP->dwWriteFile;
    PFN_CLOSEHANDLE pfnCloseHandle = (PFN_CLOSEHANDLE)pRP->dwCloseHandle;

    DWORD NextIpAddr = 0;
    DWORD dwParamaAddr = 0;
    SOCKET s;
    char * buf;
    int len;
    int flags;
    PFN_SEND pfnSend = (PFN_SEND)pRP->dwSend;
    int RetValue = 0;
    __asm
    {
        MOV EAX,[EBP+8]
        MOV [dwParamaAddr], EAX
            MOV EAX,[EBP+12]
        MOV [NextIpAddr], EAX
            MOV EAX,[EBP+16]
        MOV [s], EAX
            MOV EAX,[EBP+20]
        MOV [buf],EAX
            MOV EAX,[EBP+24]
        MOV [len],EAX
            MOV EAX,[EBP+28]
        MOV [flags],EAX
    }

    unsigned char szNewCode[10];
    int PramaAddr = (int)dwParamaAddr;
    szNewCode[4] = PramaAddr>>24;
    szNewCode[3] = (PramaAddr<<8)>>24;
    szNewCode[2] = (PramaAddr<<16)>>24;
    szNewCode[1] = (PramaAddr<<24)>>24;
    szNewCode[0] = 0x68;

    int funaddr = (int)pRP->FunAddr - (int)pfnSend - 10 ;
    szNewCode[9] = funaddr>>24;
    szNewCode[8] = (funaddr<<8)>>24;
    szNewCode[7] = (funaddr<<16)>>24;
    szNewCode[6] = (funaddr<<24)>>24;
    szNewCode[5] = 0xE8;

    PFN_GETCURRENTPROCESS pfnGetCurrentProcess = (PFN_GETCURRENTPROCESS)pRP->dwGetCurrentProcess;
    PFN_WRITEPROCESSMEMORY pfnWriteProcessMemory = (PFN_WRITEPROCESSMEMORY)pRP->dwWriteProcessMemory;
    if (!pfnWriteProcessMemory(pfnGetCurrentProcess(),
        (LPVOID)pfnSend,
        (LPCVOID)pRP->szOldCode,
        10,
        NULL))
    {
#ifndef NDEBUG
        char szMsgCaption[8] = {'R', 'e', 's', 'u', 'm', '!', '\0'};
        PFN_MESSAGEBOX pfnMessageBox = (PFN_MESSAGEBOX)pRP->dwMessageBox;
        pfnMessageBox(NULL, szMsgContent, szMsgCaption, MB_ICONINFORMATION | MB_OK);
#endif
    }
    RetValue = pfnSend(s, buf, len, flags);
    if (!pfnWriteProcessMemory(pfnGetCurrentProcess(),
        (LPVOID)pfnSend,
        (LPCVOID)szNewCode,
        10,
        NULL))
    {
#ifndef NDEBUG
        char szMsgCaption[8] = {'H', 'o', 'o', 'k', '!', '\0'};
        PFN_MESSAGEBOX pfnMessageBox = (PFN_MESSAGEBOX)pRP->dwMessageBox;
        pfnMessageBox(NULL, szMsgContent, szMsgCaption, MB_ICONINFORMATION | MB_OK);
#endif
    }

    HANDLE fp = pfnCreateFile(pRP->szFileName, GENERIC_WRITE, FILE_SHARE_WRITE, NULL, OPEN_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
    if (fp == INVALID_HANDLE_VALUE)
    {
#ifndef NDEBUG
        char szMsgCaption[8] = {'C', 'r', 'e', 'a', 't', 'e', '!', '\0'};
        PFN_MESSAGEBOX pfnMessageBox = (PFN_MESSAGEBOX)pRP->dwMessageBox;
        pfnMessageBox(NULL, szMsgContent, szMsgCaption, MB_ICONINFORMATION | MB_OK);
#endif
        __asm
        {
            MOV EDX, [NextIpAddr]
            MOV EAX, [RetValue]
            MOV ESP, EBP
                POP EBP
                ADD ESP, 1CH  //恢復(fù)堆棧
                PUSH EDX
                RET
        }
    }

    DWORD i = 0;
    DWORD nWritten = 0;
    while (buf[i] != 0)
        i++;
    pfnSetFilePointer(fp, 0, NULL, FILE_END);
    if (!pfnWriteFile(fp, (LPCVOID)buf, i, &nWritten, NULL))
    {
#ifndef NDEBUG
        char szMsgCaption[8] = {'W', 'r', 'i', 't', 'e', '!', '\0'};
        PFN_MESSAGEBOX pfnMessageBox = (PFN_MESSAGEBOX)pRP->dwMessageBox;
        pfnMessageBox(NULL, szMsgContent, szMsgCaption, MB_ICONINFORMATION | MB_OK);
#endif
        pfnCloseHandle(fp);
        __asm
        {
            MOV EDX, [NextIpAddr]
            MOV EAX, [RetValue]
            MOV ESP, EBP
                POP EBP
                ADD ESP, 1CH  //恢復(fù)堆棧
                PUSH EDX
                RET
        }
    }

    pfnCloseHandle(fp);
    pfnFreeLibrary(hKernel32);
    pfnFreeLibrary(hUser32);

    __asm
    {
        POP EDI
            POP ESI
            POP EBX

            MOV EDX, [NextIpAddr]
        MOV EAX, [RetValue]
        MOV ESP, EBP
            POP EBP
            ADD ESP, 1CH  //恢復(fù)堆棧
            PUSH EDX
            RET
    }

}

posted on 2008-11-15 00:25 大熊的口袋閱讀(3015) 評(píng)論(5) 編輯收藏引用所屬分類: win32

評(píng)論

# re: 網(wǎng)絡(luò)數(shù)據(jù)提交攔截器-SendSpyer 2008-11-17 15:52 不懂

運(yùn)行了一下，就什么也看不到了，后怕，是不是BD啊回復(fù) 更多評(píng)論

# re: 網(wǎng)絡(luò)數(shù)據(jù)提交攔截器-SendSpyer 2008-11-18 08:35 zwp

@不懂
這是一個(gè)控制臺(tái)程序，且需要帶參數(shù)運(yùn)行的。
估計(jì)你只是簡(jiǎn)單雙擊運(yùn)行了，那程序只會(huì)提示你正確的用法，然后退出。
建議先打開windows cmd控制臺(tái)，然后輸入該SendSpyer pid recordfile，參數(shù)的意義請(qǐng)參考程序顯示的幫助。
回復(fù) 更多評(píng)論

# re: 網(wǎng)絡(luò)數(shù)據(jù)提交攔截器-SendSpyer[未登錄] 2008-11-18 08:49 Gohan

算是inlinehook嗎？回復(fù) 更多評(píng)論

# re: 網(wǎng)絡(luò)數(shù)據(jù)提交攔截器-SendSpyer 2008-11-18 12:23 zwp

@Gohan
算是啦~~哈哈，不過是改的開頭10字節(jié)而已。容易被發(fā)現(xiàn)~ 回復(fù) 更多評(píng)論

# re: 網(wǎng)絡(luò)數(shù)據(jù)提交攔截器-SendSpyer 2008-12-14 21:53 黃參

攔截其他用戶回復(fù) 更多評(píng)論

刷新評(píng)論列表

只有注冊(cè)用戶登錄后才能發(fā)表評(píng)論。
【推薦】100%開源！大型工業(yè)跨平臺(tái)軟件C++源碼提供，建模，組態(tài)！

相關(guān)文章: EasyImageConvertor圖片右鍵快速轉(zhuǎn)換（格式、尺寸、特效、旋轉(zhuǎn)） TRACE改進(jìn)版（靜態(tài)tls在dll中使用的問題）使用 C++ 編寫內(nèi)核模式驅(qū)動(dòng)程序的優(yōu)點(diǎn)與缺點(diǎn) ttf字符索引到字符的轉(zhuǎn)換解決審美疲勞，釋放疲憊的雙眼，用WallX 關(guān)于實(shí)現(xiàn)高并發(fā)服務(wù)端的一些想法重溫windows內(nèi)核對(duì)象網(wǎng)絡(luò)數(shù)據(jù)提交攔截器-SendSpyer Convert Placeable WMF To EMF

網(wǎng)站導(dǎo)航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

導(dǎo)航

統(tǒng)計(jì)

隨筆 - 13
文章 - 0
評(píng)論 - 30
引用 - 0

# re: 網(wǎng)絡(luò)數(shù)據(jù)提交攔截器-SendSpyer 2008-11-17 15:52 不懂

# re: 網(wǎng)絡(luò)數(shù)據(jù)提交攔截器-SendSpyer 2008-11-18 08:35 zwp

# re: 網(wǎng)絡(luò)數(shù)據(jù)提交攔截器-SendSpyer[未登錄] 2008-11-18 08:49 Gohan

# re: 網(wǎng)絡(luò)數(shù)據(jù)提交攔截器-SendSpyer 2008-11-18 12:23 zwp

# re: 網(wǎng)絡(luò)數(shù)據(jù)提交攔截器-SendSpyer 2008-12-14 21:53 黃參

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

大熊的口袋

網(wǎng)絡(luò)數(shù)據(jù)提交攔截器-SendSpyer

評(píng)論

導(dǎo)航

統(tǒng)計(jì)

公告

常用鏈接

留言簿(2)

隨筆分類

隨筆檔案

win32 & debug

搜索

積分與排名

最新評(píng)論

閱讀排行榜

評(píng)論排行榜