亚洲欧美一区二区三区久久 ,久久久久国产精品一区,国产精品久久久久久久浪潮网站

網絡數據提交攔截器-SendSpyer

簡介：
SendSpyer是一個控制臺程序。其接受2個輸入參數：pid recordfile。其中pid是想要攔截網絡發送數據的目標進程ID，recordfile是記錄攔截下來的網絡數據的文件路徑。

原理：
SendSpyer內聯Hook了目標進程的send函數，使之在對外發送數據時將數據寫入到制定路徑的文件中。

缺點：
對于不使用winsock函數send來發送網絡數據的程序無法攔截其發生數據。處于效率和穩定性的考慮，沒有對send函數的指令恢復做同步限制，可能會導致部分提交數據的遺漏。

下載： /Files/zwp/SendSpyer.rar

核心：

void HookSend(LPVOID lParam)
{

    RemoteParam* pRP = (RemoteParam*)lParam;
    HMODULE hUser32 = NULL;
    HMODULE hKernel32 = NULL;
    PFN_LOADLIBRARY pfnLoadlibrary = (PFN_LOADLIBRARY)pRP->dwLoadLibrary;
    PFN_FREELIBRARY pfnFreeLibrary = (PFN_FREELIBRARY)pRP->dwFreeLibrary;
    hUser32 = pfnLoadlibrary(pRP->szModuleName1);
    hKernel32 = pfnLoadlibrary(pRP->szModuleName2);

#ifndef NDEBUG
    char szMsgContent[256];
    PFN_GETMODULEFILENAME pfnGetModuleName = (PFN_GETMODULEFILENAME)pRP->dwGetModuleFileName;
    pfnGetModuleName(NULL, szMsgContent, sizeof(szMsgContent));
#endif

    PFN_CREATEFILE pfnCreateFile = (PFN_CREATEFILE)pRP->dwCreatefile;
    PFN_SETFILEPOINTER pfnSetFilePointer = (PFN_SETFILEPOINTER)pRP->dwSetFilePointer;
    PFN_WRITEFILE pfnWriteFile = (PFN_WRITEFILE)pRP->dwWriteFile;
    PFN_CLOSEHANDLE pfnCloseHandle = (PFN_CLOSEHANDLE)pRP->dwCloseHandle;

    DWORD NextIpAddr = 0;
    DWORD dwParamaAddr = 0;
    SOCKET s;
    char * buf;
    int len;
    int flags;
    PFN_SEND pfnSend = (PFN_SEND)pRP->dwSend;
    int RetValue = 0;
    __asm
    {
        MOV EAX,[EBP+8]
        MOV [dwParamaAddr], EAX
            MOV EAX,[EBP+12]
        MOV [NextIpAddr], EAX
            MOV EAX,[EBP+16]
        MOV [s], EAX
            MOV EAX,[EBP+20]
        MOV [buf],EAX
            MOV EAX,[EBP+24]
        MOV [len],EAX
            MOV EAX,[EBP+28]
        MOV [flags],EAX
    }

    unsigned char szNewCode[10];
    int PramaAddr = (int)dwParamaAddr;
    szNewCode[4] = PramaAddr>>24;
    szNewCode[3] = (PramaAddr<<8)>>24;
    szNewCode[2] = (PramaAddr<<16)>>24;
    szNewCode[1] = (PramaAddr<<24)>>24;
    szNewCode[0] = 0x68;

    int funaddr = (int)pRP->FunAddr - (int)pfnSend - 10 ;
    szNewCode[9] = funaddr>>24;
    szNewCode[8] = (funaddr<<8)>>24;
    szNewCode[7] = (funaddr<<16)>>24;
    szNewCode[6] = (funaddr<<24)>>24;
    szNewCode[5] = 0xE8;

    PFN_GETCURRENTPROCESS pfnGetCurrentProcess = (PFN_GETCURRENTPROCESS)pRP->dwGetCurrentProcess;
    PFN_WRITEPROCESSMEMORY pfnWriteProcessMemory = (PFN_WRITEPROCESSMEMORY)pRP->dwWriteProcessMemory;
    if (!pfnWriteProcessMemory(pfnGetCurrentProcess(),
        (LPVOID)pfnSend,
        (LPCVOID)pRP->szOldCode,
        10,
        NULL))
    {
#ifndef NDEBUG
        char szMsgCaption[8] = {'R', 'e', 's', 'u', 'm', '!', '\0'};
        PFN_MESSAGEBOX pfnMessageBox = (PFN_MESSAGEBOX)pRP->dwMessageBox;
        pfnMessageBox(NULL, szMsgContent, szMsgCaption, MB_ICONINFORMATION | MB_OK);
#endif
    }
    RetValue = pfnSend(s, buf, len, flags);
    if (!pfnWriteProcessMemory(pfnGetCurrentProcess(),
        (LPVOID)pfnSend,
        (LPCVOID)szNewCode,
        10,
        NULL))
    {
#ifndef NDEBUG
        char szMsgCaption[8] = {'H', 'o', 'o', 'k', '!', '\0'};
        PFN_MESSAGEBOX pfnMessageBox = (PFN_MESSAGEBOX)pRP->dwMessageBox;
        pfnMessageBox(NULL, szMsgContent, szMsgCaption, MB_ICONINFORMATION | MB_OK);
#endif
    }

    HANDLE fp = pfnCreateFile(pRP->szFileName, GENERIC_WRITE, FILE_SHARE_WRITE, NULL, OPEN_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
    if (fp == INVALID_HANDLE_VALUE)
    {
#ifndef NDEBUG
        char szMsgCaption[8] = {'C', 'r', 'e', 'a', 't', 'e', '!', '\0'};
        PFN_MESSAGEBOX pfnMessageBox = (PFN_MESSAGEBOX)pRP->dwMessageBox;
        pfnMessageBox(NULL, szMsgContent, szMsgCaption, MB_ICONINFORMATION | MB_OK);
#endif
        __asm
        {
            MOV EDX, [NextIpAddr]
            MOV EAX, [RetValue]
            MOV ESP, EBP
                POP EBP
                ADD ESP, 1CH  //恢復堆棧
                PUSH EDX
                RET
        }
    }

    DWORD i = 0;
    DWORD nWritten = 0;
    while (buf[i] != 0)
        i++;
    pfnSetFilePointer(fp, 0, NULL, FILE_END);
    if (!pfnWriteFile(fp, (LPCVOID)buf, i, &nWritten, NULL))
    {
#ifndef NDEBUG
        char szMsgCaption[8] = {'W', 'r', 'i', 't', 'e', '!', '\0'};
        PFN_MESSAGEBOX pfnMessageBox = (PFN_MESSAGEBOX)pRP->dwMessageBox;
        pfnMessageBox(NULL, szMsgContent, szMsgCaption, MB_ICONINFORMATION | MB_OK);
#endif
        pfnCloseHandle(fp);
        __asm
        {
            MOV EDX, [NextIpAddr]
            MOV EAX, [RetValue]
            MOV ESP, EBP
                POP EBP
                ADD ESP, 1CH  //恢復堆棧
                PUSH EDX
                RET
        }
    }

    pfnCloseHandle(fp);
    pfnFreeLibrary(hKernel32);
    pfnFreeLibrary(hUser32);

    __asm
    {
        POP EDI
            POP ESI
            POP EBX

            MOV EDX, [NextIpAddr]
        MOV EAX, [RetValue]
        MOV ESP, EBP
            POP EBP
            ADD ESP, 1CH  //恢復堆棧
            PUSH EDX
            RET
    }

}

posted on 2008-11-15 00:25 大熊的口袋閱讀(3008) 評論(5) 編輯收藏引用所屬分類: win32

@不懂
這是一個控制臺程序，且需要帶參數運行的。
估計你只是簡單雙擊運行了，那程序只會提示你正確的用法，然后退出。
建議先打開windows cmd控制臺，然后輸入該SendSpyer pid recordfile，參數的意義請參考程序顯示的幫助。
回復更多評論

# re: 網絡數據提交攔截器-SendSpyer[未登錄] 2008-11-18 08:49 Gohan

算是inlinehook嗎？回復更多評論

# re: 網絡數據提交攔截器-SendSpyer 2008-11-18 12:23 zwp

@Gohan
算是啦~~哈哈，不過是改的開頭10字節而已。容易被發現~ 回復更多評論

# re: 網絡數據提交攔截器-SendSpyer 2008-12-14 21:53 黃參

攔截其他用戶回復更多評論

刷新評論列表

只有注冊用戶登錄后才能發表評論。
【推薦】100%開源！大型工業跨平臺軟件C++源碼提供，建模，組態！

相關文章: EasyImageConvertor圖片右鍵快速轉換（格式、尺寸、特效、旋轉） TRACE改進版（靜態tls在dll中使用的問題）使用 C++ 編寫內核模式驅動程序的優點與缺點 ttf字符索引到字符的轉換解決審美疲勞，釋放疲憊的雙眼，用WallX 關于實現高并發服務端的一些想法重溫windows內核對象網絡數據提交攔截器-SendSpyer Convert Placeable WMF To EMF

網站導航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

# re: 網絡數據提交攔截器-SendSpyer 2008-11-17 15:52 不懂

# re: 網絡數據提交攔截器-SendSpyer 2008-11-18 08:35 zwp

# re: 網絡數據提交攔截器-SendSpyer[未登錄] 2008-11-18 08:49 Gohan

# re: 網絡數據提交攔截器-SendSpyer 2008-11-18 12:23 zwp

# re: 網絡數據提交攔截器-SendSpyer 2008-12-14 21:53 黃參

大熊的口袋

網絡數據提交攔截器-SendSpyer

評論

導航

統計

公告

常用鏈接

留言簿(2)

隨筆分類

隨筆檔案

win32 & debug

搜索

積分與排名

最新評論

閱讀排行榜

評論排行榜