Здравствуйте, подскажите программу, с помощью которой можно узнать, куда программа отсылает запросы и какие? Вообщем перехватить данные программы. Спасибо.
Отслеживать
3,270 12 12 серебряных знаков 18 18 бронзовых знаков
задан 3 мар 2013 в 14:08
Rakzin Roman Rakzin Roman
5,680 11 11 золотых знаков 77 77 серебряных знаков 169 169 бронзовых знаков
2 ответа 2
Сортировка: Сброс на вариант по умолчанию
Wireshark is the world’s foremost network protocol analyzer. It lets you capture and interactively browse the traffic running on a computer network. It is the de facto (and often de jure) standard across many industries and educational institutions.
Ну пошло редактирование сообщений, то я заодно переведу:
Wireshark — наиболее известный анализатор сетевого трафика. Он позволяет перехватывать и в режиме реального времени просматривать сетевые сообщения. Wireshark де факто (и зачастую де юре) является стандартом при использовании во множестве индустрий и образовательных институтах.
Как отследить что делает программа на компьютере.
Источник: ru.stackoverflow.com
Взлом голыми руками
Как известно, кракинг большинства шаровар начинается с отслеживания того, куда прога помещает свой триальный счетчик (в файл и/или реестр). Повсеместно для этого предлагается использовать утилиты, типа Regmon и Filemon. Еще Крис Касперски в своей знаменитой книге «Техника и философия хакерских атак» со смаком описывал юзанье этих утилит.
Глядя на все это, так и хочется сказать: «И не стыдно господа кракеры?». Зачем вообще нужны какие либо утилиты для простейших операций, легко осуществляемых средствами голой Винды?
Например, нам нужно отследить к каким файлам обращается программа. Смотрим время на часах (допустим это 5:36) и запускаем шаровару. Затем закрываем ее (можно и не закрывать) и делаем Пуск->Найти->Файлы и папки, включаем поиск измененных за последний день файлов. Внимательно смотрим на файлы, которые были изменены со временем от 5:36 и выше.
Понятно, что в этот период к файлам могла обращаться только наша подопытная прога(!). Данное утверждение справедливо, если в этот момент у тебя не работал какой-нибудь хитрый сервис, который мог бы юзать файлы. Поэтому, перед проведением всех описываемых здесь СЛОЖНЫХ процедур, все лишнее должно быть отключено, чтобы не сбивало с толку. Должен заметить, что в список измененных файлов за отслеживаемый отрезок времени практически всегда будут входить файлы в которых хранится реестр, причем независимо от того пишет в них наша шаровара или нет. Просто к реестру практически постоянно обращается сама операционная система.
Как обнаружить вредоносные программы в Windows
Ламеру на заметку: В Win9x реестр хранится в двух файлах System.dat и User.dat, а в NT/2000/XP ветки реестра разнесены по файлам Ntuser, Userdiff, Default, System, Software, Security, Sam (я не указал расширения, т. к. они могут либо совсем отсутствовать, либо принимать любой вид из трех: alt, log, sav).
Таким образом, мы отследили файлы, настала очередь реестра. Для этого экспортируем весь реестр в файл. Здесь одна тонкость: в 2000/XP при экспортировании нужно выбрать тип файла «Win9x/NT4», т. к. этот формат более удобный для последующих манипуляций (если мне не веришь, можешь попробовать другой ;)). Затем запускаем и закрываем шаровару, и снова экспортируем реестр.
Таким образом, мы имеем два файла, например, reestr1.reg и reestr2.reg. Один сделан до запуска шаровары, второй — после. Думаю понятно, что их нужно сравнить. Сделать это можно с помощью стандартной ДОСовской команды FC:
fc /L reestr1.reg reestr2.reg>1.txt
Все различия будут перенаправлены в файл 1.txt. Опция /L означает сравнение в тестовом (ASCII) режиме. В этом режиме несовпадающие фрагменты выводятся на экран в следующем виде:
***** file1
Последняя совпадающая строка
Отличающийся фрагмент первого файла
Первая вновь совпадающая строка
***** file2
Последняя совпадающая строка
Отличающийся фрагмент первого файла
Первая вновь совпадающая строка
Выше я говорил, что операционная система постоянно обращается к реестру (особенно этим страдает Win2000/XP), поэтому файл 1.txt будет содержать множество фрагментов не принадлежащих нашей шароваре. Для того чтобы понять какие ключи принадлежат Windows, достаточно сделать несколько раз экспортирование реестра, с последующим сравнением, без запуска шаровары.
Вообще при сравнении главное не лохануться, так, например, если программа привязана к счетчику, который изменяется по дням, то ты не увидишь никаких изменений в реестре пока не переведешь дату
хотя бы на один день. Думай, на это голова и дана.
Источник: xakep.ru
Узнайте, по каким URL-адресам обращается программа? — Windows 7
Можно ли узнать, какой URL (не IP-адрес и порт) программа запрашивает в Windows 7?
изменён Community 1
задан Propeller 580
4 ответа 4
Я использовал Fiddler 2 довольно много раз для таких целей. Также очень удобно возиться с запросами и посмотреть, что именно идет по проводам с HTTP.
ответ дан Joey 33k
Например, прокси-сервер отладки Charles может перехватывать и отображать URL-адреса и данные, к которым обращается программа. Я считаю, что он может настроить себя как системный прокси-сервер Windows, поэтому должен иметь возможность перехватывать все URL-вызовы, сделанные программами.
Существует множество других отладочных прокси — Google найдет их для вас. С Чарльзом у нас были отличные результаты, так что, возможно, начнем с них.
ответ дан Faelkle 205
Установите Wireshark — он позволит вам отслеживать весь исходящий и входящий трафик, а также способен анализировать трафик для извлечения URL-адреса, к которому осуществляется доступ.
Обратите внимание, что это не может быть сделано для защищенных веб-сайтов https, поскольку URL-адрес зашифрован. Таким образом, вы получите IP-адрес только в таких ситуациях.
ответ дан PhonicUK 3k
Я использовал Wireshark, Fiddler 2, Charles и HTTP Analyzer.
Charles и Fiddler 2 имеют больше функций отладки, чем HTTP-анализатор, например, возможность запретить поступление запросов или их редактирование, они также могут просматривать HTTPS через браузер. Насколько я понимаю, они оба работают как прокси и перехватывают таким образом, когда все HTTP/HTTPS передаются через них, а затем к месту назначения. Fiddler2 использует Windows-прокси по умолчанию, поэтому для установки требуется дополнение Firefox.
Wireshark является наиболее технической, но отображает каждый бит информации, которую вы можете получить из сети, такой как протоколы TCP и UDP. Это не рекомендуемое решение, если все, что вам нужно, это HTTP(S).
Иногда, когда Charles или Fiddler 2 не работают должным образом, например, когда приложение использует несовместимый HTTP-запрос. Мой типичный переход к приложению — Http Analyzer Standalone.
Я думаю, что он работает, фактически внедряя себя в приложение и читая вызовы WinINet и / или других API, поэтому нет необходимости перенаправлять сеть на отладочный прокси. HTTP Analyzer также может читать HTTPS, если он проходит через WinINet. Основная проблема этого решения заключается в том, что у него есть только 30-дневная пробная версия, и тогда вы больше не можете получить доступ к необработанным данным — где, как я думаю, fiddler2 и wireshark являются бесплатными, а Чарльз работает как обычно, но только с раздражающим заставкой и автоматически закрывается через определенный промежуток времени.
Источник: poweruser.guru