Просмотр полной версии : Дайте наводку как реализован сниффер
Кто подскажет как именно работают снифферы типа l2on и l2wh..
Они как то вмешиваются в работу клиента или только пассивно анализируют траффик?
Любые подсказки-идеи приветствуются, просто хочу понять как работает..
Может быть кто то здесь на самом деле знает как они устроены изнутри?
Vimmer, l2wh работает если память не изменяет через программу снифинга - pcap
l2on через LSP/SPI провайдера как и мой aionon снифер)
ЗЫ на руофе из за доп шифрации фроста приходиться не сам трафик снифать немножко клиент тревожить, но фрост такое мини вмешательство врятли когданить научиться детектить...
тогда вопрос!!! тамтарара! почему тогда дроп/spoil в l2on очень часто врет?!или тупо не показан споил.
Vimmer, Снифер - только смотрит за трафиком без возможности вмешательства, а если нужно блокировать или изменять пакеты тогда тебе нужен proxy.
Я ещё не дорос до такого, но xkor скорее всего знает как отправить пакет используя только снифер причём от имени другого процесса (пища для мозгов ;)).
[B]
ЗЫ на руофе из за доп шифрации фроста приходиться не сам трафик снифать немножко клиент тревожить, но фрост такое мини вмешательство врятли когданить научиться детектить...
значит они всеравно что то хукают по минимому?
тогда вопрос!!! тамтарара! почему тогда дроп/spoil в l2on очень часто врет?!или тупо не показан споил.врёт по сравнению с чем?
Добавлено через 41 секунду
значит они всеравно что то хукают по минимому?ну без этого не разобрать то что натворил фрост
xkor, интересно чем это минивмешательство отличается от вмешательства других ботов за которые с недавнего времени пошли автобаны?
alexteam
17.09.2010, 16:53
тем что вмешательство не хукает адднетворквери.
alexteam, если ПО замешанное вмешательстве выходит в массы то заполучив данное по разработчикам фроста думаю не составить труда детектить это вмешательство, если программа меняет хоть 1 байт в функциях л2.
alexteam
17.09.2010, 17:18
главное не вздумай перечитывать то что написал :D
alexteam, в шифрописании я мастер :D
значит они всеравно что то хукают по минимому?
Не обязательно.
врёт по сравнению с чем?
чем на самом деле! хотя тот же l2wiki.info тож не ахти...
alexteam, если ПО замешанное вмешательстве выходит в массы то заполучив данное по разработчикам фроста думаю не составить труда детектить это вмешательство, если программа меняет хоть 1 байт в функциях л2.в том то и дело что для снифа трафика перехватывать функцию л2 или aion нужно только одну и не меня при этом ни одного байта ни в каких функциях этой л2, подробнее рассказать не могу ибо тогда действительно могут разобраться как мы это делаем и даже если попыхтят написать детектор)
xkor, если не меняя ни одного байта то это делается на уровне виндового апи? как то так?
xkor, ХМ, вот загадка, в функциях ничего не меняем, тоесть никакой не сплайсинг. Таблицу вызовов смею предположить тоже не трогаем так как это уже не в "моде". Вобщем я в растерянности. Тут мои знания закончились.
Yegor, ну я тож не сам до этого способа дошел, мне автор снифера l2on намекнул, хотя способ не сложный и лежит на поверхности если хоть немного знаешь ассемблер, но чтот я и в инете не встречал упоминаний о нём, хотя может не там искал.
xkor, да уж заинтриговал. Теперь я точно ХЗ :confused:
Yegor, сори но более подробно не могу, по крайней мере на публике...
unknowned
19.09.2010, 10:50
Чтобы просто собрать информацию достаточно открыть процесс, разрешить чтение из памяти и далее читать структуры и таблички в памяти.
unknowned, вот только бы еще разобратся с структурой этиих табличек и знать их расположение.
vBulletin® v3.6.11, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot