Можно ли читать исходящие пакеты из выбранного процесса на С#? Если да, то какой API мне использовать? Заранее спасибо.
Чтение исходящих пакетов от выбранного процесса
Ответы (3)
Я предполагаю, что вы пытаетесь сделать что-то похожее на WireShark или Winsock Packet Editor.
Короткий ответ: нет. Определенно нет пространства имен или сборки со встроенной функциональностью.
Длинный ответ: да, но вам придется немного запачкать руки. Вам, скорее всего, придется создать C++ DLL для внедрения в процесс, чтобы «шпионить» за ним. Однако вы можете взаимодействовать с этой DLL через C# и сделать весь интерфейс в .NET.
Первым шагом будет создание C++ DLL, для которого потребуется всего несколько операций экспорта:
bool InitialzeHook()
{
// TODO: Patch the Import Address Table (IAT) to overwrite
// the address of Winsock's send/recv functions
// with your SpySend/SpyRecv ones instead.
}
bool UninitializeHook()
{
// TODO: Restore the Import Address Table (IAT) to the way you found it.
}
// This function will be called instead of Winsock's recv function once hooked.
int SpySend(SOCKET s, const char *buf, int len, int flags)
{
// TODO: Do something with the data to be sent, like logging it.
// Call the real Winsock send function.
int numberOfBytesSent = send(s, buf, len, flags);
// Return back to the calling process.
return numberOfBytesSent;
}
// This function will be called instead of Winsock's recv function once hooked.
int SpyRecv(SOCKET s, char *buf, int len, int flags)
{
// Call the real Winsock recv function to get the data.
int numberOfBytesReceived = recv(s, buf, len, flags);
// TODO: Do something with the received data, like logging it.
// Return back to the calling process.
return numberOfBytesReceived;
}
Самой сложной частью всего этого является функция, которая исправит Таблицу адресов импорта (IAT). Существуют различные ресурсы о том, как пройти по нему и найти внутри него импорт функций. СОВЕТ. Вам придется исправлять импорт Winsock по порядку, а не по имени.
Ознакомьтесь с Внутри Windows PE Format (часть 2) и Пример кода C++.
Когда вы все это сделаете, вам нужно будет внедрить созданную вами DLL в целевой процесс. Вот псевдокод C++ для этого (в голову не приходит):
// Get the target window handle (if you don't have the process ID handy).
HWND hWnd = FindWindowA(NULL, "Your Target Window Name");
// Get the process ID from the target window handle.
DWORD processId = 0;
DWORD threadId = GetWindowThreadProcessId(hWnd, &processId);
// Open the process for reading/writing memory.
DWORD accessFlags = PROCESS_VM_OPERATION |
PROCESS_VM_READ |
PROCESS_VM_WRITE |
PROCESS_QUERY_INFORMATION;
HANDLE hProcess = OpenProcess(accessFlags, false, processId);
// Get the base address for Kernel32.dll (always the same for each process).
HMODULE hKernel32 = GetModuleHandleA("kernel32");
// Get the address of LoadLibraryA (always the same for each process).
DWORD loadLibraryAddr = GetProcAddress(hKernel32, "LoadLibraryA");
// Allocate some space in the remote process and write the library string to it.
LPVOID libraryNameBuffer = VirtualAllocEx(hProcess, NULL, 256,
MEM_COMMIT | MEM_RESERVE,
PAGE_EXECUTE_READWRITE);
LPCSTR libraryName = L"MySpyLibrary.dll\0";
DWORD numberOfBytesWritten = 0;
BOOL writeResult = WriteProcessMemory(hProcess, libraryNameBuffer,
(LPCVOID)libraryName,
strlen(libraryName) + 1,
&numberOfBytesWritten);
// Create a thread in the remote process, using LoadLibraryA as the procedure,
// and the parameter is the library name we just wrote to the remote process.
DWORD remoteThreadId = 0;
HANDLE hRemoteThread = CreateRemoteThread(hProcess, NULL, 0,
(LPTHREAD_START_ROUTINE)loadLibraryAddr,
libraryNameBuffer,
0, &remotThreadId);
// Wait for our thread to complete and get the exit code (which is the return value).
DWORD loadedLibraryAddr = 0;
BOOL waitResult = WaitForSingleObject(hRemoteThread, INFINITE);
BOOL exitResult = GetExitCodeThread(hRemoteThread, &loadedLibraryAddr);
// TODO: Check that it was loaded properly
// if(lodadedLibraryAddr == NULL) { ... }
// Cleanup our loose ends here.
VirtualFreeEx(hProcess, libraryNameBuffer, 256, MEM_RELEASE);
CloseHandle(hRemoteThread);
CloseHandle(hProcess);
Однако вы можете сделать то же самое с помощью вызова платформы C# (pInvoke). Вам решать, как вы хотите регистрировать и передавать данные обратно в вашу программу мониторинга C#. Вы можете использовать межпроцессное взаимодействие, например Именованные каналы, NamedPipeClientStream
в C#.
Тем не менее, это сработает, и самое приятное то, что он будет работать практически для любой программы. Этот же метод можно применять для любого типа прослушивания, а не только для Winsock.
Конечно, вы можете... но только если у процесса есть "общедоступный хук" для слушателя. В противном случае пришлось бы создавать сниффер: отлаживать исполняемый файл, находить смещение буфера отправки сокета и прицеплять к нему ридер. Легче сделать это с помощью приложения, похожего на брандмауэр.
Для этого вы можете использовать поток данных TPL.