首页
社区
课程
招聘
[原创]另类挂钩-RING3数据包监视
发表于: 2009-2-1 15:20 182599

[原创]另类挂钩-RING3数据包监视

2009-2-1 15:20
182599
收藏
免费 8
支持
分享
最新回复 (178)
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
26
AFD_GET_SOCK_NAME (0x0001202F)

AFD_GET_TDI_HANDLES (0x00012037)

AFD_SET_INFO (0x0001203B)
2009-2-2 21:26
0
雪    币: 255
活跃值: (49)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
27
感谢分享 ^_^
2009-2-2 21:29
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
28
0x1200B
AFD_START_LISTEN

0x1207B
AFD_GET_INFO

0x1201B
AFD_RECVFROM

好像就这么多了吧~
2009-2-2 21:30
0
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
29
这些code在nt4代码中一查即知~
另外很多纯R0的也有了

老V漏了很多UDP的 呵呵
2009-2-2 21:45
0
雪    币: 208
活跃值: (18)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
30
值得学习!谢谢分享~~
2009-2-2 22:30
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
31
NT4代码早扔了,现在一般情况下连机器都不开了~~
2009-2-2 22:50
0
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
32
最近都改在东北二人转小棚里走穴了?
2009-2-2 22:58
0
雪    币: 301
活跃值: (300)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
33
[QUOTE=木桩;571841]这个还真没见过,立即改个Delphi的去瞧瞧。

果然好用,膜拜一下!明天试试修改数据包内容
翻译的Delphi版源码见附件,这是我GET百度的数据。[/QUOTE]

支持楼主。更要支持兄弟,只会delphi
2009-2-2 23:07
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
34
我也~占个座位
2009-2-3 00:59
0
雪    币: 243
活跃值: (209)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
35
很好很强大,立即下载下来试下
我要获取同一个socket的send/recv的完整数据,
在NtDeviceIoControlFile中用哪个参数标识数据包是同一个socket?
2009-2-3 08:29
0
雪    币: 296
活跃值: (89)
能力值: ( LV15,RANK:340 )
在线值:
发帖
回帖
粉丝
36
我找到的几个,不过没有更进一步的资料了。
/*
  AFD_BIND (0x00012003)
  AFD_GET_SOCK_NAME (0x0001202F)
  AFD_SET_INFO (0x0001203B)
  AFD_GET_INFO (0x0001207B)
  AFD_CONNECT (0x00012007)
  AFD_RECVFROM (0x0001201B)
  AFD_SENDTO (0x00012023)
  AFD_SELECT (0x00012024)
  AFD_GET_TDI_HANDLES (0x00012037)
  AFD_SET_CONTEXT (0x00012047)
  AFD_SEND (0x0001201F)
  AFD_RECV (0x00012017)
*/

要是有人知道更详细的,比如 AFD_BIND 时InputBuffer和OutputBuffer里内容,也请共享一下。
还有,如何取该数据包的IP、端口等信息(这个Buffer里实际取出的是TCP/UDP的负载,而没有以太网头部、TCP头)?网上看到一种方法是用 IOCTL_TCP_QUERY_INFORMATION_EX 查询,还没验证过,不敢瞎说
2009-2-3 09:07
0
雪    币: 362
活跃值: (25)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
37
好贴,学习了。
2009-2-3 09:40
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
38
学习了,坐马扎
2009-2-3 09:55
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
39
一切结构定义很简单,找找就有了~
2009-2-3 14:24
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
40
Handle和进程~~
2009-2-3 14:26
0
雪    币: 45
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
41
被标题诱惑了  以为是类似HIJACK的  原来还是HOOK
2009-2-3 17:25
0
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
42
hijack也没什么技术含量
2009-2-3 18:09
0
雪    币: 2316
活跃值: (129)
能力值: (RANK:410 )
在线值:
发帖
回帖
粉丝
43
学习,顶一下。
2009-2-3 18:31
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
44
路过,学习ing...
2009-2-3 20:25
0
雪    币: 171
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
45
好东西啊
2009-2-4 10:32
0
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
46
学习了。。。
2009-2-4 11:27
0
雪    币: 291
活跃值: (169)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
47
好东西,长见识
2009-2-9 23:41
0
雪    币: 243
活跃值: (209)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
48
我在LookupSendPacket(Buffer , Len)里修改数据包,貌似对方接收到的没有改变
2009-2-11 23:33
0
雪    币: 247
活跃值: (10)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
49
IAT hook + Filter,不错不错,,,够底层的
2009-2-12 09:26
0
雪    币: 258
活跃值: (16)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
50
代码写得太漂亮的
2009-2-12 09:46
0
游客
登录 | 注册 方可回帖
返回
//