3

C#で選択したプロセスから送信パケットを読み取ることは可能ですか?はいの場合、どのAPIを使用する必要がありますか?前もって感謝します。

4

3 に答える 3

2

WireSharkまたはWinsock Packet Editorに似た何かをしようとしていると思います。

短い答えはノーです。機能が組み込まれた名前空間やアセンブリは絶対にありません。

長い答えは「はい」ですが、手を少し汚す必要があります。おそらく、C++ DLLを作成してプロセスに挿入し、プロセスを「スパイ」する必要があります。ただし、このDLLをC#経由でインターフェイスし、インターフェイスをすべて.NETにすることができます。

最初のステップは、C++ DLLを作成することです。これには、いくつかのエクスポートが必要です。

bool InitialzeHook()
{
  // TODO: Patch the Import Address Table (IAT) to overwrite
  //       the address of Winsock's send/recv functions
  //       with your SpySend/SpyRecv ones instead.
}

bool UninitializeHook()
{
  // TODO: Restore the Import Address Table (IAT) to the way you found it.
}

// This function will be called instead of Winsock's recv function once hooked.
int SpySend(SOCKET s, const char *buf, int len, int flags)
{
  // TODO: Do something with the data to be sent, like logging it.

  // Call the real Winsock send function.
  int numberOfBytesSent = send(s, buf, len, flags);

  // Return back to the calling process.
  return numberOfBytesSent;
}

// This function will be called instead of Winsock's recv function once hooked.
int SpyRecv(SOCKET s, char *buf, int len, int flags)
{
  // Call the real Winsock recv function to get the data.
  int numberOfBytesReceived = recv(s, buf, len, flags);

  // TODO: Do something with the received data, like logging it.

  // Return back to the calling process.
  return numberOfBytesReceived;
}

このすべての中で最も難しい部分は、インポート アドレス テーブル(IAT) にパッチを適用する機能です。それをトラバースしてその中の関数インポートを見つける方法については、さまざまなリソースがあります。ヒント:名前ではなく序数でWinsockインポートにパッチを適用する必要があります。

Inside the Windows PE Format (Part 2)C++ Code Exampleを確認してください。

すべて完了したら、作成したDLLをターゲット プロセスに挿入する必要があります。これを行うためのC++疑似コードを次に示します (頭の中で):

// Get the target window handle (if you don't have the process ID handy).
HWND hWnd = FindWindowA(NULL, "Your Target Window Name");

// Get the process ID from the target window handle.
DWORD processId = 0;
DWORD threadId = GetWindowThreadProcessId(hWnd, &processId);

// Open the process for reading/writing memory.
DWORD accessFlags = PROCESS_VM_OPERATION | 
                    PROCESS_VM_READ | 
                    PROCESS_VM_WRITE | 
                    PROCESS_QUERY_INFORMATION;

HANDLE hProcess = OpenProcess(accessFlags, false, processId);

// Get the base address for Kernel32.dll (always the same for each process).
HMODULE hKernel32 = GetModuleHandleA("kernel32");

// Get the address of LoadLibraryA (always the same for each process).
DWORD loadLibraryAddr = GetProcAddress(hKernel32, "LoadLibraryA");

// Allocate some space in the remote process and write the library string to it.
LPVOID libraryNameBuffer = VirtualAllocEx(hProcess, NULL, 256, 
                                          MEM_COMMIT | MEM_RESERVE,
                                          PAGE_EXECUTE_READWRITE);

LPCSTR libraryName = L"MySpyLibrary.dll\0";
DWORD numberOfBytesWritten = 0;
BOOL writeResult = WriteProcessMemory(hProcess, libraryNameBuffer,
                                                (LPCVOID)libraryName,
                                                strlen(libraryName) + 1,
                                                &numberOfBytesWritten);

// Create a thread in the remote process, using LoadLibraryA as the procedure,
// and the parameter is the library name we just wrote to the remote process.
DWORD remoteThreadId = 0;
HANDLE hRemoteThread = CreateRemoteThread(hProcess, NULL, 0,
                                          (LPTHREAD_START_ROUTINE)loadLibraryAddr,
                                          libraryNameBuffer,
                                          0, &remotThreadId);

// Wait for our thread to complete and get the exit code (which is the return value).
DWORD loadedLibraryAddr = 0;
BOOL waitResult = WaitForSingleObject(hRemoteThread, INFINITE); 
BOOL exitResult = GetExitCodeThread(hRemoteThread, &loadedLibraryAddr);

// TODO: Check that it was loaded properly
// if(lodadedLibraryAddr == NULL) { ... }

// Cleanup our loose ends here.
VirtualFreeEx(hProcess, libraryNameBuffer, 256, MEM_RELEASE);
CloseHandle(hRemoteThread);
CloseHandle(hProcess);

ただし、 C# プラットフォーム呼び出し(pInvoke)を介して同じことを行うことができます。データをログに記録してC#監視プログラムに送信する方法は、ユーザー次第です。C#では、Named Pipesのようなプロセス間通信を使用できます。NamedPipeClientStream

ただし、これで十分です。素晴らしい点は、ほぼすべてのプログラムで機能することです。これと同じ手法は、 Winsockだけでなく、あらゆる種類のスニッフィングに適用できます。

于 2013-01-14T01:41:53.583 に答える
1

もちろんできます...ただし、プロセスにリスナーへの「パブリックフック」がある場合のみです。それ以外の場合は、スニファーを作成する必要があります。実行可能ファイルをデバッグし、ソケット送信バッファーのオフセットを見つけて、リーダーをそれにフックします。ファイアウォールのようなアプリケーションを使用すると、より簡単に実行できます。

于 2013-01-14T00:07:50.260 に答える
0

TPL データフローを使用してそれを行うことができます。

于 2013-01-13T23:39:27.237 に答える