Приветствую Всех!
Стоит задача просмотра передаваемых и принимаемых браузерами, mail-клиентами (Аутлук, например) данных.
Я тут видел не мало сообщений по поводу перехвата winsock функций. Попробовал реализовать dll с хуком и подменой реальных функций recv и send при помощи функции Рихтера, которая модифицирует PE-заголовок. Вот с ICQ работает, а со всем остальным — увы. Не подскажите, плиз, в чем может быть проблема и как ее можно разрешить? Исходник, если нужно, покажу.

Здравствуйте, EngenyEP, Вы писали:

Снифер? А вообще смысла мало, с каждым днем все меньше и меньше данные передаются в открытом формате

Здравствуйте, Аноним, Вы писали:

А>Здравствуйте, EngenyEP, Вы писали:

А>Снифер?

Ну не совсем снифер. Я использовал WinPCAP для перехвата трафика, да вот влом собирать TCP поток руками. Слышал про libnids, да вот не работает она у меня. А если перехватить recv, send, WSARecv, WSASend, то там прям целый буфер еще не раздробленный на пакеты. Его парсить лучше. Да и просто хочу разобраться с перехватом функций.

А> А вообще смысла мало, с каждым днем все меньше и меньше данные передаются в открытом формате

Ведь можно перехватывать и на уровень выше, чем шифрование. Разве не так? Попробую Detours поиспользовать...

Спасибо!

EEP>Ведь можно перехватывать и на уровень выше, чем шифрование. Разве не так?
В winsock функции инфа передается уже зашифрованная, а шифруется она в программе. Самый надежный способ снимать незашифрованную инфу с месенжера — распознавать текст в окне сообщений

Здравствуйте, EngenyEP, Вы писали:

EEP>Приветствую Всех!
EEP>Стоит задача просмотра передаваемых и принимаемых браузерами, mail-клиентами (Аутлук, например) данных.
EEP>Я тут видел не мало сообщений по поводу перехвата winsock функций. Попробовал реализовать dll с хуком и подменой реальных функций recv и send при помощи функции Рихтера, которая модифицирует PE-заголовок. Вот с ICQ работает, а со всем остальным — увы. Не подскажите, плиз, в чем может быть проблема и как ее можно разрешить? Исходник, если нужно, покажу.

Про шифрование уже написали. Чтобы получить информацию ДО шифрования нужно снифать инфу уровнем выше. Имеет смысл обрабатывать WinInet API (для IE, Outlook, etc) и Mozilla NSS API (firefox, thunderbird). В этом случае удается перехватить даже протоколы, работающие поверх SSL вроде https Для оперы я такого API не знаю — остаются только стандартные recv & send и придется отказаться от перехвата https.

Здравствуйте, Аноним, Вы писали:

EEP>>Ведь можно перехватывать и на уровень выше, чем шифрование. Разве не так?
А>В winsock функции инфа передается уже зашифрованная, а шифруется она в программе. Самый надежный способ снимать незашифрованную инфу с месенжера — распознавать текст в окне сообщений

Этот способ — кейлогер + идентификация процесса по имени (icq.exe например), куда dll-ка с хуком кейлогерским подгружена? Или какой-то другой способ?

Здравствуйте, Conr, Вы писали:

C>Здравствуйте, EngenyEP, Вы писали:

EEP>>Приветствую Всех!
EEP>>Стоит задача просмотра передаваемых и принимаемых браузерами, mail-клиентами (Аутлук, например) данных.
EEP>>Я тут видел не мало сообщений по поводу перехвата winsock функций. Попробовал реализовать dll с хуком и подменой реальных функций recv и send при помощи функции Рихтера, которая модифицирует PE-заголовок. Вот с ICQ работает, а со всем остальным — увы. Не подскажите, плиз, в чем может быть проблема и как ее можно разрешить? Исходник, если нужно, покажу.

C>Про шифрование уже написали. Чтобы получить информацию ДО шифрования нужно снифать инфу уровнем выше. Имеет смысл обрабатывать WinInet API (для IE, Outlook, etc) и Mozilla NSS API (firefox, thunderbird). В этом случае удается перехватить даже протоколы, работающие поверх SSL вроде https Для оперы я такого API не знаю — остаются только стандартные recv & send и придется отказаться от перехвата https.

Ок. Спасибо! А нету примерчика какого-нить? Желательно через Detours .