cs_Booster
Messages postés235Date d'inscriptionmercredi 30 octobre 2002StatutMembreDernière intervention 6 octobre 2009
-
15 août 2007 à 13:42
cs_Booster
Messages postés235Date d'inscriptionmercredi 30 octobre 2002StatutMembreDernière intervention 6 octobre 2009
-
16 août 2007 à 19:45
Bonjour à tous,
Alors voilà vous connaissez surement le programme WPE Pro qui arrive à sniffer les trames qui sorte d'un programme juste avec son pid ? Ben voilà j'aimerais savoir comment fait il ??
Quelqu'un à une petite idée de la manière dont s'y prend le programmeur pour arriver à sniffer tous les paquets qui sorte de l'executable ?
Est ce une possibilité windows ?
Merci d'avance de vos réponses.
PS: j'ai essayé de voir ça dll (WpeSpy.dll) et pouvez vous me dire qu'elles sont les fonctions pour visual studio 2005 équivalente à celle ci : implib impdef sous borland ?
cs_Booster
Messages postés235Date d'inscriptionmercredi 30 octobre 2002StatutMembreDernière intervention 6 octobre 2009 15 août 2007 à 17:43
Je te remercie pour ta réponse mais si je viens vous voir c'est que effectivement j'ai un problème que je ne trouve pas sur le net.
Enfet voila en gros j'ai coder une application avec winpcap qui sniff, rien de bien compliqué.
Puis par hazard je suis tombé sur WpeSpy... ce sniffer ce dégage des autres par ça simplicité (Aucune configuration requise) MAIS SURTOUT car il n'écoute pas une interface en réalité il écoute une application .... plutôt original et moi j'aimerais faire la même chose.
Bien entendu sur cppfrance il n'y a rien n'y même cher vos confrére tel que developpez.com et autre... même google sèche sur ça donc est ce que quelqu'un aurait un site ou autre qui parle du moyen de programmer ceci... (Je n'attend pas de code tout fait, je me débrouillerais mais au moins un indice, une route, une focntion ?)
Merci d'avance.
Et encore merci pour ta réponse BruNews.
cs_rt15
Messages postés3874Date d'inscriptionmardi 8 mars 2005StatutModérateurDernière intervention 7 novembre 201413 16 août 2007 à 12:33
Salut,
Une idée comme ça : Ils font peut être un hook des routines de Winsock pour se démarquer.
Autrement dit, chaque fois qu'on fait un appel sur Winsock, paf, ça passe dans leur routine, il regarde les arguments, puis appellent l'original.
Comment savoir si c'est ce qu'ils ont fait ?
Pas facile.
Commencer par regarder si l'appli n'est pas fournie avec une petite dll, exportant quelques fonctions au nom évoquateur.
Regarder la table d'import de leur exe pour voire si ils y a présence des fonctions suceptibles d'être utilisées pour une injection, genre du CreateRemoteThread, WriteProcessMemory, SetWindowHookEx...