首页
社区
课程
招聘
[原创]另类挂钩-RING3数据包监视
发表于: 2009-2-1 15:20 182587

[原创]另类挂钩-RING3数据包监视

2009-2-1 15:20
182587
收藏
免费 8
支持
分享
最新回复 (178)
雪    币: 219
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
126
收藏先 谢谢楼主
2009-11-4 22:51
0
雪    币: 54
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
127
  
  我想请教一下关于你的《原创】另类挂钩-RING3数据包监视》一贴,相关问题!

  我想在本贴提供的代码基础上、实现将接收到的TCP包作相应的URL替换,请问能实现吗?

  有人把代码翻译成delphi版了,但我多次跟程序师进行交流和沟通都谈到缓冲区的内容替换过后、导致TCP包将无法正常请求,需要对包进行重新构造!

  请大家给于一定思路!谢谢、交流QQ:544588699
2009-11-4 23:14
0
雪    币: 558
活跃值: (46)
能力值: ( LV2,RANK:16 )
在线值:
发帖
回帖
粉丝
128
楼主太好了。。。
开源
2009-11-4 23:32
0
雪    币: 54
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
129
木桩的DELPHI版也开源了!
2009-11-7 11:39
0
雪    币: 69
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
130
太深了。我得好好看看下吧
2009-11-7 18:01
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
131
用处很大的.
2009-11-7 18:51
0
雪    币: 276
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
132
报告,我直接exe里LoadLibrary("mj0011.dll");
在DV里没看到输出
2009-11-11 17:49
0
雪    币: 220
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
133
偶测试了下,貌似2000下有问题?
2003倒是很不错滴说
2009-12-3 08:04
0
雪    币: 122
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
134
思路比较另类,不错。。。
2009-12-3 09:20
0
雪    币: 224
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
135
厉害厉害~佩服佩服果然ring3最底层
2009-12-3 10:15
0
雪    币: 6
活跃值: (1125)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
136
方法很不错,不过有个问题,就是 LookupSendPacket函数的实现问题,对于tcp数据流来说,像"HTTP"这类关键字数据一定在buf的开始吗?也可能出现在任意位置呢,请MJ大侠指教.
  PAFD_INFO AfdInfo = (PAFD_INFO)InputBuffer ;
    PVOID Buffer = AfdInfo->BufferArray->buf ;
    ULONG Len = AfdInfo->BufferArray->len;

    if (IoControlCode == AFD_SEND)
    {
      if (LookupRecvPacket(Buffer , Len))
2009-12-12 00:09
0
雪    币: 54
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
137
通过Dbgview监测表现为~~~

开启任何一个网页、会产生多个HOST~ 具体多少个HOST视网页内容(比如有些图片或JS脚本使用了绝对路径也会导致产生新的HOST数据)

不过使用消息提示框将HOST抛出来看~ 它最先抛出来的就是主机域名~

至于你所讲的"HTTP"字符串、OutputDebugString后也是明文可见的~ 
感觉在实际应用中它的作用并不大~不随意改变包的格式就好(否则你得重新效验包)

欢迎交流~
2009-12-12 09:47
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
138
学习了。

请问安装器,如何做?
2009-12-29 09:25
0
雪    币: 247
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
139
有谁看过Understanding-and-Replaying-Network-Traffic-in-Windows-XP-for-Dynamic-Anaylsis?里面貌似对windows网络底层调用有详细介绍
2010-1-14 16:32
0
雪    币: 750
活跃值: (228)
能力值: ( LV9,RANK:780 )
在线值:
发帖
回帖
粉丝
140
占座学习中。。
2010-1-14 20:00
0
雪    币: 107
活跃值: (404)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
141
是很另类........
2010-1-15 12:00
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
142
有人根据这个代码 能修改封包的吗?
2010-4-1 02:05
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
143
MJ就是不一般…连抓包都这么与众不同
2010-4-5 23:54
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
144
久违的汇编 我又回来了
2010-4-11 14:01
0
雪    币: 317
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
145
支持楼主,改天实验一下
2010-4-11 21:26
0
雪    币: 81
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
146
赞一个,挺好用的!
2010-4-17 22:16
0
雪    币: 253
活跃值: (169)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
147
请问一下InputBuffer 的结构 在masm里该怎么定义
2010-5-20 22:40
0
雪    币: 288
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
148
网络抓包,Mark
2010-5-20 23:21
0
雪    币: 91
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
149
这么短!必须要顶的
2010-5-21 10:26
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
150
标记一下,这应该是最直接的底层Hook 网路数据包的方法了,立马换掉自己的那些挫的很的方法...
2010-6-16 17:31
0
游客
登录 | 注册 方可回帖
返回
//