WPE Pro (Mais comment fait il ?)

Question

Bonjour à tous,

Alors voilà vous connaissez surement le programme WPE Pro qui arrive à sniffer les trames qui sorte d'un programme juste avec son pid ? Ben voilà j'aimerais savoir comment fait il ??

Quelqu'un à une petite idée de la manière dont s'y prend le programmeur pour arriver à sniffer tous les paquets qui sorte de l'executable ?

Est ce une possibilité windows ?

Merci d'avance de vos réponses.

PS: j'ai essayé de voir ça dll  (WpeSpy.dll) et pouvez vous me dire qu'elles sont les fonctions pour visual studio 2005 équivalente à celle ci : implib impdef sous borland ?

BruNews · Answer

Recherche sur sniff, sniffer, etc...
http://www.google.com/custom?domains=cppfrance.com&q=sniff&sa=Rechercher&sitesearch=cppfrance.com
http://www.google.com/custom?domains=cppfrance.com&q=sniffer&sa=Rechercher&sitesearch=cppfrance.com

ciao...
BruNews, MVP VC++

cs_Booster · Answer

Je te remercie pour ta réponse mais si je viens vous voir c'est que effectivement j'ai un problème que je ne trouve pas sur le net.

Enfet voila en gros j'ai coder une application avec winpcap qui sniff, rien de bien compliqué.

Puis par hazard je suis tombé sur WpeSpy... ce sniffer ce dégage des autres par ça simplicité (Aucune configuration requise) MAIS SURTOUT car il n'écoute pas une interface en réalité il écoute une application .... plutôt original et moi j'aimerais faire la même chose.

Bien entendu sur cppfrance il n'y a rien n'y même cher vos confrére tel que developpez.com et autre... même google sèche sur ça donc est ce que quelqu'un aurait un site ou autre qui parle du moyen de programmer ceci... (Je n'attend pas de code tout fait, je me débrouillerais mais au moins un indice, une route, une focntion ?)

Merci d'avance.
Et encore merci pour ta réponse BruNews.

cs_rt15 · Answer

Salut,

Une idée comme ça : Ils font peut être un hook des routines de Winsock pour se démarquer.

Autrement dit, chaque fois qu'on fait un appel sur Winsock, paf, ça passe dans leur routine, il regarde les arguments, puis appellent l'original.

Comment savoir si c'est ce qu'ils ont fait ?

Pas facile.
Commencer par regarder si l'appli n'est pas fournie avec une petite dll, exportant quelques fonctions au nom évoquateur.
Regarder la table d'import de leur exe pour voire si ils y a présence des fonctions suceptibles d'être utilisées pour une injection, genre du CreateRemoteThread, WriteProcessMemory, SetWindowHookEx...

cs_Booster · Answer

HAAAA je crois que tu à raison ! je ne savais pas que l'on pouvais hook winsock, d'ailleur il y à une source sur ça :

http://www.cppfrance.com/codes/SNIFFER-MSN-MESSENGER-GRACE-HOOK-FONCTIONS-WINSOCK_32374.aspx

Elle à était créer pour MSN mais je vais voir si je ne peu pas la modifier pour mon utilisation.

Je pense que le gars utilise le hook vu les configurations et l'utilisation de son programme...

Aussi pour la dll tu avais raison il y en a une qui ce nome :WPESPY.DLL et dont voiçi ses fonctions :

EXPORTS
    GetFilterState                 @1   ; GetFilterState
    SetClientHwnd                  @2   ; SetClientHwnd
    SetFilter                      @3   ; SetFilter
    SetFilterState                 @4   ; SetFilterState
    SetLoggingActi                 @5   ; SetLoggingActi
    SetTargetPid                   @6   ; SetTargetPid

Merci beaucoup pour ton aide ;)

PS : pour voir les fonction de la dll j'ai utilisé impdef (Borland). Existe t'il la meme ligne de commande mais pour Visual c++ 2005 ?

Encore merci :)

BruNews · Answer

Cherche 'depends' par google, c'est libre download.

ciao...
BruNews, MVP VC++

cs_Booster · Answer

GENIAL !!! merci beaucoup BruNews :)

WPE Pro (Mais comment fait il ?)

6 réponses

Votre réponse

Discussions similaires