[求助]使用Iris监视网络通信数据包的问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]使用Iris监视网络通信数据包的问题

发表于: 2008-2-10 22:04 7261

[求助]使用Iris监视网络通信数据包的问题

szdbg

2008-2-10 22:04

7261

随手写了一个Server/Client 通信的测试程序，服务器和客户端设置的IP地址均为:127.0.0.1

两者可以进行正常的数据收发工作。

想用Iris监视一下这中间的通信数据，设置了一下过滤条件，如下图所示：

结果，在服务器程序与客户端程序通信时，Iris却捕获不到通信中的数据，

由于是刚开始使用Iris, 实在是不知道原因出在哪里？

是否还要设置其它的一些过滤条件,肯请高手指点一下，谢谢！

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#调试逆向

上传的附件：

pic.JPG （37.66kb，219次下载）

收藏・2

免费・0

支持

最新回复 (12)
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 2 楼貌似127.0.0.1数据包不走网络层，所以抓不到，你直接用本机ip看 2008-2-10 22:10 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 3 楼谢谢 Aker 的指点，我将Server程序的IP地址和Client程序的IP地址全部改为本机IP：222.125.36.74, 两者通信时，Iris还是捕捉不到数据，Iris设置的过滤条件如下图所示：上传的附件： pic1.JPG （40.19kb，214次下载） 2008-2-10 22:28 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 4 楼你把不相关应用程序都关了，不用filter看能不能抓，另外filter里面其他选项看看有没有冲突的 2008-2-10 22:45 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 5 楼我试了下，iris要两个Ip才抓得到，我用的罗云彬的那个server-client tcp的例子不管127还是本机ip都抓不到，非要放到两个机子上另外很奇特的是我的ip filter不能输入3个数字，比如127。0.0.1中的127只能输入前面两个12 2008-2-10 23:02 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 6 楼谢谢 Aker, 如果这样的话，要两台机子，对于写程序和调试程序太不爽了。不知Sniffer软件是否也是这样（这个软件我还没用过）这一点好像是Iris软件的一个Bug,我的也是这样，后来，我查了一下资料，改了一下comctl32.dll这个文件，就OK了，原因如下：代码问题在comctl32.dll中，Iris调用其中的一个SysIPAddress32控件。在中文Windows下，其中IP地址不能输入3位，原因是Edit控件在其ClientRect太小的时候，不能输入更多的字符，如果想输入更多的字符可以设置其Style为ES_AUTOHSCROLL。反汇编代码如下： 7735C492 \|. 50 \|PUSH EAX ; /lParam => NULL 7735C493 \|. FF71 04 \|PUSH DWORD PTR DS:[ECX+4] ; \|hInst 7735C496 \|. FF75 0C \|PUSH DWORD PTR SS:[EBP+C] ; \|hMenu 7735C499 \|. FF75 08 \|PUSH DWORD PTR SS:[EBP+8] ; \|hParent 7735C49C \|. 6A 64 \|PUSH 64 ; \|Height = 64 (100.) 7735C49E \|. 6A 64 \|PUSH 64 ; \|Width = 64 (100.) 7735C4A0 \|. 6A 0A \|PUSH 0A ; \|Y = A (10.) 7735C4A2 \|. 50 \|PUSH EAX ; \|X => 0 7735C4A3 \|. 68 01000040 \|PUSH 40000001 ; \|Style = WS_CHILD\|1 7735C4A8 \|. 50 \|PUSH EAX ; \|WindowName => NULL 7735C4A9 \|. 68 6C2D3777 \|PUSH comctl32.77372D6C ; \|Class = "Edit" 7735C4AE \|. 50 \|PUSH EAX ; \|ExtStyle => 0 7735C4AF \|. FF15 B8133177 \|CALL DWORD PTR DS:[<&USER32.CreateWindowExW>] ; \CreateWindowExW 将 7735C4A3 处的指令改为：PUSH 40000081 即可。 OD更改完毕后，保存到另一处。再转入...\system32\dllcache\ 目录中，将comctl32.dll删除，再将更改后的comctl32.dll 文件复制到 ...\system32\ 目录下,然后重启计算机，即可。注意：一定要重启计算机，不然，Iris的IP地址栏中还是只能输入两位数值。重启后，Iris的IP地址栏中就可以输入三位数值了。 ========================================================================== 在OD中定位comctl32.dll中上面那一段代码时，可以通过<ctrl+B>查找十六进制串: 68 01 00 00 40 来定位，这个串在这个文件中只有上面一处，一下子就可以找到。 2008-2-11 08:44 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 7 楼我机子上的Iris在不使用过滤条件时，机子也没有运行IExplore及其它网络程序，却捕获到大量的广播数据，如下图所示，这些数据传送很频繁，Iris每分钟都可以捕捉到几十帧，也不知道这些数据是干嘛的，有点奇怪。上传的附件： pic2.JPG （70.70kb，202次下载） 2008-2-11 09:08 0
海风日影雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 112 粉丝 0 关注私信	海风日影 8 楼那是广播建议楼上去看看TCP/IP协议详解三卷，普及基础知识 2008-2-11 09:55 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 9 楼谢谢，学到一招。那些arp，icmp，udp之类都是dns，广播通信和路由，mac之类用到，你可以看一些网络原理的书。如果只想看ie的，iris有个http filter，直接加载就好 2008-2-11 18:41 0
Tee8088 雪币： 510 活跃值： (433) 能力值： ( LV7，RANK：100 ) 在线值：发帖 41 回帖 410 粉丝 28 关注私信	Tee8088 2 10 楼终于知道了iris的这个毛病了，，filter不能用真是痛苦啊，现在爽了，哈，comctl32.dll TNND 2008-2-12 10:10 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 11 楼呵呵，谢谢各位指点。我学软件编程都是东一处，西一处的按工作需要学习，加上时间有限，从没有系统地学过软件，让大侠们见笑了。查了一下资料，上面那些广播数据的产生及用途基本上弄明白了. 在用Iris时，感觉还是有不懂的地方：比如：我在 Ping www.163.com时，如何用Iris捕捉在Ping过程中的通信数据呢？ www.163.com的IP地址为： 202.108.9.39 我将过滤条件中的两个IP地址分别设置为本机IP和 202.108.9.39，但是捕捉不到数据？不知过滤条件如何设置，请大侠们指点. 2008-2-12 10:36 0
海风日影雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 112 粉丝 0 关注私信	海风日影 12 楼过滤你本地IP， ICMP协议即可 2008-2-12 11:03 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 13 楼非常感谢！ 2008-2-12 16:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

szdbg

发帖

305

回帖

210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 2 楼貌似127.0.0.1数据包不走网络层，所以抓不到，你直接用本机ip看 2008-2-10 22:10 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 3 楼谢谢 Aker 的指点，我将Server程序的IP地址和Client程序的IP地址全部改为本机IP：222.125.36.74, 两者通信时，Iris还是捕捉不到数据，Iris设置的过滤条件如下图所示：上传的附件： pic1.JPG （40.19kb，214次下载） 2008-2-10 22:28 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 4 楼你把不相关应用程序都关了，不用filter看能不能抓，另外filter里面其他选项看看有没有冲突的 2008-2-10 22:45 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 5 楼我试了下，iris要两个Ip才抓得到，我用的罗云彬的那个server-client tcp的例子不管127还是本机ip都抓不到，非要放到两个机子上另外很奇特的是我的ip filter不能输入3个数字，比如127。0.0.1中的127只能输入前面两个12 2008-2-10 23:02 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 6 楼谢谢 Aker, 如果这样的话，要两台机子，对于写程序和调试程序太不爽了。不知Sniffer软件是否也是这样（这个软件我还没用过）这一点好像是Iris软件的一个Bug,我的也是这样，后来，我查了一下资料，改了一下comctl32.dll这个文件，就OK了，原因如下：代码问题在comctl32.dll中，Iris调用其中的一个SysIPAddress32控件。在中文Windows下，其中IP地址不能输入3位，原因是Edit控件在其ClientRect太小的时候，不能输入更多的字符，如果想输入更多的字符可以设置其Style为ES_AUTOHSCROLL。反汇编代码如下： 7735C492 \|. 50 \|PUSH EAX ; /lParam => NULL 7735C493 \|. FF71 04 \|PUSH DWORD PTR DS:[ECX+4] ; \|hInst 7735C496 \|. FF75 0C \|PUSH DWORD PTR SS:[EBP+C] ; \|hMenu 7735C499 \|. FF75 08 \|PUSH DWORD PTR SS:[EBP+8] ; \|hParent 7735C49C \|. 6A 64 \|PUSH 64 ; \|Height = 64 (100.) 7735C49E \|. 6A 64 \|PUSH 64 ; \|Width = 64 (100.) 7735C4A0 \|. 6A 0A \|PUSH 0A ; \|Y = A (10.) 7735C4A2 \|. 50 \|PUSH EAX ; \|X => 0 7735C4A3 \|. 68 01000040 \|PUSH 40000001 ; \|Style = WS_CHILD\|1 7735C4A8 \|. 50 \|PUSH EAX ; \|WindowName => NULL 7735C4A9 \|. 68 6C2D3777 \|PUSH comctl32.77372D6C ; \|Class = "Edit" 7735C4AE \|. 50 \|PUSH EAX ; \|ExtStyle => 0 7735C4AF \|. FF15 B8133177 \|CALL DWORD PTR DS:[<&USER32.CreateWindowExW>] ; \CreateWindowExW 将 7735C4A3 处的指令改为：PUSH 40000081 即可。 OD更改完毕后，保存到另一处。再转入...\system32\dllcache\ 目录中，将comctl32.dll删除，再将更改后的comctl32.dll 文件复制到 ...\system32\ 目录下,然后重启计算机，即可。注意：一定要重启计算机，不然，Iris的IP地址栏中还是只能输入两位数值。重启后，Iris的IP地址栏中就可以输入三位数值了。 ========================================================================== 在OD中定位comctl32.dll中上面那一段代码时，可以通过<ctrl+B>查找十六进制串: 68 01 00 00 40 来定位，这个串在这个文件中只有上面一处，一下子就可以找到。 2008-2-11 08:44 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 7 楼我机子上的Iris在不使用过滤条件时，机子也没有运行IExplore及其它网络程序，却捕获到大量的广播数据，如下图所示，这些数据传送很频繁，Iris每分钟都可以捕捉到几十帧，也不知道这些数据是干嘛的，有点奇怪。上传的附件： pic2.JPG （70.70kb，202次下载） 2008-2-11 09:08 0
海风日影雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 112 粉丝 0 关注私信	海风日影 8 楼那是广播建议楼上去看看TCP/IP协议详解三卷，普及基础知识 2008-2-11 09:55 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 9 楼谢谢，学到一招。那些arp，icmp，udp之类都是dns，广播通信和路由，mac之类用到，你可以看一些网络原理的书。如果只想看ie的，iris有个http filter，直接加载就好 2008-2-11 18:41 0
Tee8088 雪币： 510 活跃值： (433) 能力值： ( LV7，RANK：100 ) 在线值：发帖 41 回帖 410 粉丝 28 关注私信	Tee8088 2 10 楼终于知道了iris的这个毛病了，，filter不能用真是痛苦啊，现在爽了，哈，comctl32.dll TNND 2008-2-12 10:10 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 11 楼呵呵，谢谢各位指点。我学软件编程都是东一处，西一处的按工作需要学习，加上时间有限，从没有系统地学过软件，让大侠们见笑了。查了一下资料，上面那些广播数据的产生及用途基本上弄明白了. 在用Iris时，感觉还是有不懂的地方：比如：我在 Ping www.163.com时，如何用Iris捕捉在Ping过程中的通信数据呢？ www.163.com的IP地址为： 202.108.9.39 我将过滤条件中的两个IP地址分别设置为本机IP和 202.108.9.39，但是捕捉不到数据？不知过滤条件如何设置，请大侠们指点. 2008-2-12 10:36 0
海风日影雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 112 粉丝 0 关注私信	海风日影 12 楼过滤你本地IP， ICMP协议即可 2008-2-12 11:03 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 13 楼非常感谢！ 2008-2-12 16:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复