[原创]另类挂钩-RING3数据包监视-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]另类挂钩-RING3数据包监视

发表于: 2009-2-1 15:20 182416

[原创]另类挂钩-RING3数据包监视

qihoocom

2009-2-1 15:20

182416

查看主题内容

收藏・270

免费・8

支持

最新回复 (178) ◀ 1 2 3 4 5 6 7 8 ▶
lankiny 雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 76 粉丝 0 关注私信	lankiny 126 楼收藏先谢谢楼主 2009-11-4 22:51 0
西南雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 104 粉丝 0 关注私信	西南 127 楼　　　　我想请教一下关于你的《原创】另类挂钩-RING3数据包监视》一贴，相关问题！　　我想在本贴提供的代码基础上、实现将接收到的TCP包作相应的URL替换，请问能实现吗？　　有人把代码翻译成delphi版了，但我多次跟程序师进行交流和沟通都谈到缓冲区的内容替换过后、导致TCP包将无法正常请求，需要对包进行重新构造！　　请大家给于一定思路！谢谢、交流ＱＱ：544588699 2009-11-4 23:14 0
kinglord 雪币： 558 活跃值： (46) 能力值： ( LV2，RANK：16 ) 在线值：发帖 1 回帖 266 粉丝 0 关注私信	kinglord 128 楼楼主太好了。。。开源 2009-11-4 23:32 0
西南雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 104 粉丝 0 关注私信	西南 129 楼木桩的DELPHI版也开源了！ 2009-11-7 11:39 0
姻脂小妆雪币： 69 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	姻脂小妆 130 楼太深了。我得好好看看下吧 2009-11-7 18:01 0
TheL 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	TheL 131 楼用处很大的. 2009-11-7 18:51 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 132 楼报告，我直接exe里LoadLibrary("mj0011.dll"); 在DV里没看到输出 2009-11-11 17:49 0
radarhp 雪币： 220 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 96 粉丝 1 关注私信	radarhp 133 楼偶测试了下，貌似2000下有问题？ 2003倒是很不错滴说 2009-12-3 08:04 0
Campaign 雪币： 122 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 222 粉丝 0 关注私信	Campaign 134 楼思路比较另类，不错。。。 2009-12-3 09:20 0
jwtck 雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 65 粉丝 0 关注私信	jwtck 135 楼厉害厉害~佩服佩服果然ring3最底层 2009-12-3 10:15 0
lookzo 雪币： 6 活跃值： (1099) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 136 楼方法很不错，不过有个问题，就是 LookupSendPacket函数的实现问题，对于tcp数据流来说，像"HTTP"这类关键字数据一定在buf的开始吗？也可能出现在任意位置呢，请MJ大侠指教. PAFD_INFO AfdInfo = (PAFD_INFO)InputBuffer ; PVOID Buffer = AfdInfo->BufferArray->buf ; ULONG Len = AfdInfo->BufferArray->len; if (IoControlCode == AFD_SEND) { if (LookupRecvPacket(Buffer , Len)) 2009-12-12 00:09 0
西南雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 104 粉丝 0 关注私信	西南 137 楼通过Dbgview监测表现为~~~ 开启任何一个网页、会产生多个HOST~ 具体多少个HOST视网页内容（比如有些图片或JS脚本使用了绝对路径也会导致产生新的HOST数据）不过使用消息提示框将HOST抛出来看~　它最先抛出来的就是主机域名~ 至于你所讲的"HTTP"字符串、OutputDebugString后也是明文可见的~　感觉在实际应用中它的作用并不大~不随意改变包的格式就好（否则你得重新效验包）欢迎交流~ 2009-12-12 09:47 0
nntnn 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	nntnn 138 楼学习了。请问安装器，如何做？ 2009-12-29 09:25 0
suwuhao 雪币： 247 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 18 粉丝 0 关注私信	suwuhao 1 139 楼有谁看过Understanding-and-Replaying-Network-Traffic-in-Windows-XP-for-Dynamic-Anaylsis？里面貌似对windows网络底层调用有详细介绍 2010-1-14 16:32 0
非安全雪币： 750 活跃值： (228) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 11 关注私信	非安全 17 140 楼占座学习中。。 2010-1-14 20:00 0
Fido 雪币： 107 活跃值： (326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 141 楼是很另类........ 2010-1-15 12:00 0
lazyxi 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	lazyxi 142 楼有人根据这个代码能修改封包的吗？ 2010-4-1 02:05 0
hotnetbar 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	hotnetbar 143 楼 MJ就是不一般…连抓包都这么与众不同 2010-4-5 23:54 0
hsb爱问雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	hsb爱问 144 楼久违的汇编我又回来了 2010-4-11 14:01 0
mzydcg 雪币： 317 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 53 粉丝 0 关注私信	mzydcg 145 楼支持楼主，改天实验一下 2010-4-11 21:26 0
wwwwly 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 43 粉丝 0 关注私信	wwwwly 146 楼赞一个，挺好用的！ 2010-4-17 22:16 0
sharenpk 雪币： 253 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 37 粉丝 1 关注私信	sharenpk 147 楼请问一下InputBuffer 的结构在masm里该怎么定义 2010-5-20 22:40 0
hejiwen 雪币： 288 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 79 粉丝 0 关注私信	hejiwen 2 148 楼网络抓包，Mark 2010-5-20 23:21 0
fishlee 雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 40 粉丝 0 关注私信	fishlee 149 楼这么短！必须要顶的 2010-5-21 10:26 0
镜中人雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	镜中人 150 楼标记一下，这应该是最直接的底层Hook 网路数据包的方法了，立马换掉自己的那些挫的很的方法... 2010-6-16 17:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

qihoocom

发帖

1165

回帖

420

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (178) ◀ 1 2 3 4 5 6 7 8 ▶
lankiny 雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 76 粉丝 0 关注私信	lankiny 126 楼收藏先谢谢楼主 2009-11-4 22:51 0
西南雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 104 粉丝 0 关注私信	西南 127 楼　　　　我想请教一下关于你的《原创】另类挂钩-RING3数据包监视》一贴，相关问题！　　我想在本贴提供的代码基础上、实现将接收到的TCP包作相应的URL替换，请问能实现吗？　　有人把代码翻译成delphi版了，但我多次跟程序师进行交流和沟通都谈到缓冲区的内容替换过后、导致TCP包将无法正常请求，需要对包进行重新构造！　　请大家给于一定思路！谢谢、交流ＱＱ：544588699 2009-11-4 23:14 0
kinglord 雪币： 558 活跃值： (46) 能力值： ( LV2，RANK：16 ) 在线值：发帖 1 回帖 266 粉丝 0 关注私信	kinglord 128 楼楼主太好了。。。开源 2009-11-4 23:32 0
西南雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 104 粉丝 0 关注私信	西南 129 楼木桩的DELPHI版也开源了！ 2009-11-7 11:39 0
姻脂小妆雪币： 69 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	姻脂小妆 130 楼太深了。我得好好看看下吧 2009-11-7 18:01 0
TheL 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	TheL 131 楼用处很大的. 2009-11-7 18:51 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 132 楼报告，我直接exe里LoadLibrary("mj0011.dll"); 在DV里没看到输出 2009-11-11 17:49 0
radarhp 雪币： 220 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 96 粉丝 1 关注私信	radarhp 133 楼偶测试了下，貌似2000下有问题？ 2003倒是很不错滴说 2009-12-3 08:04 0
Campaign 雪币： 122 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 222 粉丝 0 关注私信	Campaign 134 楼思路比较另类，不错。。。 2009-12-3 09:20 0
jwtck 雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 65 粉丝 0 关注私信	jwtck 135 楼厉害厉害~佩服佩服果然ring3最底层 2009-12-3 10:15 0
lookzo 雪币： 6 活跃值： (1099) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 136 楼方法很不错，不过有个问题，就是 LookupSendPacket函数的实现问题，对于tcp数据流来说，像"HTTP"这类关键字数据一定在buf的开始吗？也可能出现在任意位置呢，请MJ大侠指教. PAFD_INFO AfdInfo = (PAFD_INFO)InputBuffer ; PVOID Buffer = AfdInfo->BufferArray->buf ; ULONG Len = AfdInfo->BufferArray->len; if (IoControlCode == AFD_SEND) { if (LookupRecvPacket(Buffer , Len)) 2009-12-12 00:09 0
西南雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 104 粉丝 0 关注私信	西南 137 楼通过Dbgview监测表现为~~~ 开启任何一个网页、会产生多个HOST~ 具体多少个HOST视网页内容（比如有些图片或JS脚本使用了绝对路径也会导致产生新的HOST数据）不过使用消息提示框将HOST抛出来看~　它最先抛出来的就是主机域名~ 至于你所讲的"HTTP"字符串、OutputDebugString后也是明文可见的~　感觉在实际应用中它的作用并不大~不随意改变包的格式就好（否则你得重新效验包）欢迎交流~ 2009-12-12 09:47 0
nntnn 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	nntnn 138 楼学习了。请问安装器，如何做？ 2009-12-29 09:25 0
suwuhao 雪币： 247 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 18 粉丝 0 关注私信	suwuhao 1 139 楼有谁看过Understanding-and-Replaying-Network-Traffic-in-Windows-XP-for-Dynamic-Anaylsis？里面貌似对windows网络底层调用有详细介绍 2010-1-14 16:32 0
非安全雪币： 750 活跃值： (228) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 11 关注私信	非安全 17 140 楼占座学习中。。 2010-1-14 20:00 0
Fido 雪币： 107 活跃值： (326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 141 楼是很另类........ 2010-1-15 12:00 0
lazyxi 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	lazyxi 142 楼有人根据这个代码能修改封包的吗？ 2010-4-1 02:05 0
hotnetbar 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	hotnetbar 143 楼 MJ就是不一般…连抓包都这么与众不同 2010-4-5 23:54 0
hsb爱问雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	hsb爱问 144 楼久违的汇编我又回来了 2010-4-11 14:01 0
mzydcg 雪币： 317 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 53 粉丝 0 关注私信	mzydcg 145 楼支持楼主，改天实验一下 2010-4-11 21:26 0
wwwwly 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 43 粉丝 0 关注私信	wwwwly 146 楼赞一个，挺好用的！ 2010-4-17 22:16 0
sharenpk 雪币： 253 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 37 粉丝 1 关注私信	sharenpk 147 楼请问一下InputBuffer 的结构在masm里该怎么定义 2010-5-20 22:40 0
hejiwen 雪币： 288 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 79 粉丝 0 关注私信	hejiwen 2 148 楼网络抓包，Mark 2010-5-20 23:21 0
fishlee 雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 40 粉丝 0 关注私信	fishlee 149 楼这么短！必须要顶的 2010-5-21 10:26 0
镜中人雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	镜中人 150 楼标记一下，这应该是最直接的底层Hook 网路数据包的方法了，立马换掉自己的那些挫的很的方法... 2010-6-16 17:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复