能力值:
( LV4,RANK:55 )
|
-
-
2 楼
哥们抓啥包呢
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
试问。。你用的什么数据包捕捉方法?
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
刚刚解决掉这个问题,就看到看雪有人问了,这个要看你是什么方式了
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
嗯,用的TDI filter。后来发现只能获取一部分上层的信息(ip,端口,进程号<在CREATE处理例程中获取>)。但是不能还原到链路上的帧(TCP层有一些序列号,确认序列号这些不知道怎么获取)。求教~~
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
嗯,用的TDI filter。我是做应用层协议分析的,想每次抓的包纯净一些(按进程把包分开)。但是最后要把包组成pcap格式的(这样用wireshark工具可以看到很详细的分析内容)。现在不知道怎么把这些信息弄全,然后组成pcap的包。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
求解啊~~
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
PEPROCESS
PsGetCurrentProcess(
VOID
);
PEPROCESS
PsGetCurrentThreadProcess(
VOID
);
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
这个函数能在NDIS中间层用吗,我是想把原始数据包(链路层的包)对应上相应的进程
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
你是用哪种方式实现的啊~
|
能力值:
( LV3,RANK:30 )
|
-
-
11 楼
TDI能获取到发送接收数据的进程信息,但是无法得到原始数据包,获取的都是直接的应程序数据,比如应用程序发送了一个1,拿你收到的就会是1这个值,无法获取协议相关的内容。
NDIS链路层可以获取到原始以太网包,但是无法获取到进程相关信息。
要达到楼主说的效果,就必须二者同时配合使用
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
谢谢解答~~mcc兄能具体说下怎么做吗,或者有相关源码参考没
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
我感觉像这种调用,基本是通过IRP层层下发的,进程环境基本不变(也许会发生AttachProcess),线程环境不会变(貌似没有AttachThread),那么可以直接获得当前进程对象,保守点就获得当前线程的进程对象,个人观点,没做过你那东西。
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
你做的不是内核模块么?是就能用这两个函数,所有的调用都有线程和进程环境。
更多进程及线程的辅助函数参考WRK的pshelper.c
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
也就是说不用再TDI层获取进程的相关信息了?(直接在NDIS中间层获取就可以了)
要好好研究一下。。
也希望大牛们进来指点指点~
|
|
|
|
