Odchycení a pozměnění komunikace v aplikaci

HackForum

Odchycení a pozměnění komunikace v aplikaci#
Zajímá mě, zda-li existuje něco, co odchytí komunikaci s internetem určitého procesu, a dokáže jí pozměnit.
Burp suite odchytává komunikaci v prohlížeči, ale co když například máme v počítači trojan, který odesílá data na server, a my je chceme odchytit a pozměnit.
Šlo by to ? Existuje něco takového?
Díky
(odpovědět)
_Shade_ | 37.77.225.*23.11.2015 15:08
re: Odchycení a pozměnění komunikace v aplikaci#
Z logiky věci: Jde to u prohlížeče, může to jít u jiné aplikace? Zřejmě ano. U trojanů je ale jiný problém. Dnes už je jistým standardem šifrování odesílaných dat. Proto bys musel data pozměnnit v okamžiku než dojde k zašifrování. A to už tak triviální není. Předpokládá to schopnost analýzy jednotlivých trojanů a implementaci hooku, který bude zajišťovat modifikaci dat před odesláním.

----------
Sec-Cave.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website23.11.2015 16:37
re: Odchycení a pozměnění komunikace v aplikaci#
Dobrá, tak popořádku. Na odchycení aplikace, která nic nezašifrovává, existuje nějaký program nebo nějaký článek o naprogramování ?
(odpovědět)
_Shade_ | 37.77.225.*23.11.2015 16:42
re: Odchycení a pozměnění komunikace v aplikaci#
Asi nejlepší program pro zachycení síťové komunikace je www.wireshark.org. Sice jsem se před pár lety nepohodl s jeho autorem a tak jsem do něj přestal přispívat, ale i tak je to špičkový program.

Pro modifikaci bych se podíval po nějaké "proxy" a přesměroval bych si komunikaci přes hosts. Nebo pro programátora pak je dobrá cesta pomocí driveru jako je WinPcap (wireshak jej též používá) nebo třeba WinpkFilter.
(odpovědět)
Hnz2 | 85.71.231.*23.11.2015 17:37
re: Odchycení a pozměnění komunikace v aplikaci#
Wireshark ti AFAIK nesdělí, jaká aplikace data vysílá/přijímá, na to je jeho ovladač (resp. ovladač Winpcap) moc nízko.

Ale žádnou aplikaci, která by toto uměla neznám. Naprogramovat se samozřejmě dá, ale pokud to chceš udělat slušně, tak musíš do jádra (Windows Filtering Platform pro Vista+, TDI pro XP). Což předpokládám, že nechceš.

----------
2 + 2 = 5, for extremely large values of 2
(odpovědět)
Vrtule | E-mail | Website | PGP | ICQ 33297004023.11.2015 19:05
re: Odchycení a pozměnění komunikace v aplikaci#
No k tomu účelu stačí klidně i TCPView od Sysinternals - [link] Za názorem, že na většinu věcí stačí Wireshark si stojím. Protože dle komunikace už člověk relativně dobře odhadne o co by se mohlo jednat.

Jinak pomocí Winpcap jdou pakety modifikovat velice snadno. Jedinou nevýhodou řešení s Winpcap je mírně nižší výkon. Protože se musí přepínat kontext (user/kernel).
(odpovědět)
Hnz2 | 85.71.231.*23.11.2015 19:50
re: Odchycení a pozměnění komunikace v aplikaci#
Sháním něco, co se přichytí k určitému programu, a může měnit jeho komunikaci.
Wireshark jí nemůže modifikovat :)
(odpovědět)
_Shade_ | 37.77.225.*23.11.2015 20:04
re: Odchycení a pozměnění komunikace v aplikaci#
No sice bych asi napsal neumí než nemůže (ona totiž API pro modifikaci paketů ve Wiresharku dříve byla. Tehdy se jmenoval ještě Ethereal.). Než ale budeš modifikovat pakety je nutné komunikaci nejprve porozumět. A k tomu je právě dobrý Wireshark.

Pokud se nepletu tak jsem někde viděl 2-3 roky zátky dokonce český tutorial na použití Winpcap pod .net. Dohledat si to musíš ale už sám.
(odpovědět)
Hnz2 | 85.71.231.*23.11.2015 20:39

Zpět
 
 
 

 
BBCode