Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | |
[Win32] Писать NDIS минипорт фильтр ненамного проще :-)) 31.01.03 22:34 Число просмотров: 1066
Автор: amirul <Serge> Статус: The Elderman
|
> Во, по делу, а то я уже потом посмотрел на то, что ветка
> programming, аж удалил свой пост сгоряча... :) Но подмена
Гы, а я кстати успел ответить тебе, и удивился когда после того как страница перезагрузилась я не увидел своего ответа :-))))
Хотя кусочек своего ты можешь увидеть в начале моего поста :-)))
> dll-ки - это очень муторное занятие, слишком много хлопот
> IMHO.
|
|
<programming>
|
[Win32] Outgoing connections 31.01.03 17:52
Автор: TRESPASSER[CfK] Статус: Незарегистрированный пользователь
|
|
И как узнать что какая то прога(конкретно какая) лезет в инет, и по какому протоколу(тоже узнать точно).И главное как потом разрешить \запретить оправку пакетов.
|
Дополнение 31.01.03 18:22
Автор: amirul <Serge> Статус: The Elderman
|
> Ставишь файрволл и смотришь его логи, а потом настраиваешь
> его в соответствии с собственными пожеланиями.
Тот же Outpost позволяет даже в логи не смотреть: поставить запрет для всех и режим, чтоб каждый раз спрашивал что делать - так в ходе работы и настроится
ЗЫ: Раз уж ветка в программинг, наверное имелось в виду программное отслеживание. Вот варианты:
1) Ключевое слово WinSock2 Layered Service Provider
2) Ключевое слово NDIS miniport
3) (самый легкий, но довольно бестолковый :-))) ) подменить wsock32.dll на свою, экспортирующую все те же самые функции, а старую переименовать. При этом функции, которые фильтровать не надо можно в stub-ах перенаправлять в старую (а можно еще и export-forwarding использовать - только не все о нем знают :-)) ). А socket() (WSASocket()) и другие фильтровать - и если что-то не нравится - возвращать ошибку.
Вообще в мелкософте любят руки отрывать всем, кто пытается подменить системную dll-ку (и вообще любой системный файл) - для расширения функциональности системы практически всегда есть стандартные интерфейсы и пути
ЗЗЫ: Какой длинный ЗЫ получился :-))
|
|
[Win32] Outgoing connections 31.01.03 18:28
Автор: amirul <Serge> Статус: The Elderman
|
> Ставишь файрволл и смотришь его логи, а потом настраиваешь
> его в соответствии с собственными пожеланиями.
Тот же Outpost позволяет даже в логи не смотреть: поставить запрет для всех и режим, чтоб каждый раз спрашивал что делать - так в ходе работы и настроится
ЗЫ: Раз уж ветка в программинг, наверное имелось в виду программное отслеживание. Вот варианты:
1) Ключевое слово WinSock2 Layered Service Provider
2) Ключевое слово NDIS miniport
3) (самый легкий, но довольно бестолковый :-))) ) подменить wsock32.dll на свою, экспортирующую все те же самые функции, а старую переименовать. При этом функции, которые фильтровать не надо можно в stub-ах перенаправлять в старую (а можно еще и export-forwarding использовать - только не все о нем знают :-)) ). А socket() (WSASocket()) и другие фильтровать - и если что-то не нравится - возвращать ошибку.
Вообще в мелкософте любят руки отрывать всем, кто пытается подменить системную dll-ку (и вообще любой системный файл) - для расширения функциональности системы практически всегда есть стандартные интерфейсы и пути
ЗЗЫ: Какой длинный ЗЫ получился :-))
|
| |
[Win32] Outgoing connections 31.01.03 18:32
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
> > Ставишь файрволл и смотришь его логи, а потом
> настраиваешь
> > его в соответствии с собственными пожеланиями.
> Тот же Outpost позволяет даже в логи не смотреть: поставить
> запрет для всех и режим, чтоб каждый раз спрашивал что
> делать - так в ходе работы и настроится
>
> ЗЫ: Раз уж ветка в программинг, наверное имелось в виду
> программное отслеживание. Вот варианты:
> 1) Ключевое слово WinSock2 Layered Service Provider
> 2) Ключевое слово NDIS miniport
> 3) (самый легкий, но довольно бестолковый :-))) ) подменить
> wsock32.dll на свою, экспортирующую все те же самые
> функции, а старую переименовать. При этом функции, которые
> фильтровать не надо можно в stub-ах перенаправлять в старую
> (а можно еще и export-forwarding использовать - только не
> все о нем знают :-)) ). А socket() (WSASocket()) и другие
> фильтровать - и если что-то не нравится - возвращать
> ошибку.
> Вообще в мелкософте любят руки отрывать всем, кто пытается
> подменить системную dll-ку (и вообще любой системный файл)
> - для расширения функциональности системы практически
> всегда есть стандартные интерфейсы и пути
Во, по делу, а то я уже потом посмотрел на то, что ветка programming, аж удалил свой пост сгоряча... :) Но подмена dll-ки - это очень муторное занятие, слишком много хлопот IMHO.
|
| | |
[Win32] Писать NDIS минипорт фильтр ненамного проще :-)) 31.01.03 22:34
Автор: amirul <Serge> Статус: The Elderman
|
> Во, по делу, а то я уже потом посмотрел на то, что ветка
> programming, аж удалил свой пост сгоряча... :) Но подмена
Гы, а я кстати успел ответить тебе, и удивился когда после того как страница перезагрузилась я не увидел своего ответа :-))))
Хотя кусочек своего ты можешь увидеть в начале моего поста :-)))
> dll-ки - это очень муторное занятие, слишком много хлопот
> IMHO.
|
| | |
[Win32] Outgoing connections 31.01.03 18:50
Автор: SerpentFly <Vadim Smirnov> Статус: Member
Отредактировано 31.01.03 18:50 Количество правок: 1
|
Firewall Development
|
|
|
подробно о проекте
Анализ криптографических сетевых...
