Modyfikowanie/Wstrzymywanie/Niszczenie pakietów

[adrian_134]

Witam!

Mam pytanie odnośnie edycji lub wstrzymywania pakietów wysłanych/odbieranych przez jakąś aplikacje np. Gadu-Gadu. Chodzi mi o coś takiego, program wysyła jakiś pakiet no ale on zostaje zatrzymany(na jakiś czas albo czeka na potwierdzenie przepuszczenia), zniszczony albo zmodyfikowany. No dobra ale jak się dobrać do tego pakietu ? Rootkit ? Hook ? W książce Rootkity Sabotowanie Jądra Systemu Windows był opisany kod który pracował na kopii pakietu a do tego trzeba mieć orginał. Może wykorzystać sterowniki warstwowe ? A Może jakiś hook. Ma ktoś jakieś pojęcie o tym ?

 

[g3t_d0wn]

jeśli chcesz zablokować odbieranie pakietów przez np gg to po prostu zablokuj port na którym działa. Jeśli chcesz zaś aby manewrować pakietem to nasłu**** na porcie/portach na których działa aplikacja lub załóż tzw hook na funkcję "recv" i wykonaj inną operację niż ta która spełnia funkcja.

 

[swap.context]

Jeśli chcesz pracować na poszczególnych surowych pakietach to faktycznie najlepszym rozwiązaniem może okazać się sterownik warstwowy. W celu uzyskania pakietu, który zostanie skopiowany i odpowiednio zmodyfikowany (jeśli istnieje taka potrzeba) warto skorzystać z gotowego szkieletu dostępnego z DDK 2003 uwzględniając następujące zmiany konieczne do poprawnej filtracji - http://www.techreplies.com/drivers-43/ndis-passthru-packet-redirection-340519/

swap

 

[adrian_134]

załóż tzw hook na funkcję "recv" i wykonaj inną operację niż ta która spełnia funkcja.

To jest prostsze rozwiązanie, i działa nie zależnie od wersji klienta GG na którego zakładam hook'a?

Tak czy inaczej widzę że z tym będzie troche zabawy.

Jeszcze pytanie, w jaki sposób filtrować pakiety żebym dostawał tylko te z GG ?

 

[grzonu]

Zwlaszcza ze nowe gg juz nie kozysta z recv. GG 8 w pierwszej publicznej wersji juz niego nie kozystalo za to kozystalo bezposrednio z WSARecv a najnowsze kozysta juz z QT do prowadzenia rozmowy.