SPI拦截网络封包(EXE安装篇)

最新推荐文章于 2021-10-26 09:59:24 发布
最新推荐文章于 2021-10-26 09:59:24 发布
阅读量2.3k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 程序备忘 文章标签: exe 网络 path null byte winapi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/classfree/article/details/318469

//以下是安装类

/*InsPkgCls.h*/

#include <tchar.h>
#include <stdio.h>
#include <winsock2.h>

#define MY_DLL_NAME _T("spidll.dll")
#define MY_DLL_PATH _T("//spidll.dll")
#define MY_VAR_PATH _T("//myvar.dat")
#define REG_INSTALL_KEY    _T("SYSTEM//CurrentControlSet//Services//WinSock2//MySpi")
#define REG_INSTALL_PATH_ITEM  _T("PathName")
#define REG_PROTOCOL_CATALOG_KEY _T("SYSTEM//CurrentControlSet//Services//WinSock2//Parameters//Protocol_Catalog9//Catalog_Entries")
#define REG_PROTOCOL_CATALOG_ITEM _T("PackedCatalogItem")

#define MAX_PROTOCOL_CATALOG_LENTH  sizeof(WSAPROTOCOL_INFOW) + MAX_PATH

#define DLLPKG_SUCCESS    1
#define DLLPKG_NOT_SUPPORT   -800
#define DLLPKG_NOT_INSTALL   -801
#define DLLPKG_ALREADY_INSTALL  -802
#define DLLPKG_OPEN_REG_FAILED  -803
#define DLLPKG_SAVE_PATH_FAILED  -804
#define DLLPKG_READ_VALUE_FAILED  -805
#define DLLPKG_CREATE_ITEM_FAILED -806
#define DLLPKG_SET_VALUE_FAILED  -807
#define DLLPKG_REG_DELETE_FAILED  -808

class CInstallPkg
{
private:
 BOOL IsInstalled(TCHAR *sInstallPath = NULL);
 int SaveConfig(BOOL bIsRemove);
 int SaveEnumKey(HKEY hkey, LPCTSTR sSubKey, BOOL bIsRemove = FALSE);
public:
 int Install(TCHAR *sInstallPath = NULL);
 int UnInstall();
 BOOL IsSupport();

 BOOL ReadReg(
  TCHAR *sKey,
  BYTE *pBuffer,
  DWORD dwBufSize,
  HKEY hkey = HKEY_LOCAL_MACHINE,
  TCHAR *sSubKey = REG_INSTALL_KEY,
  DWORD ulType = REG_BINARY
  );

 BOOL SaveReg(
  TCHAR *sKey,
  BYTE *pBuffer,
  DWORD dwBufSize,
  HKEY hkey = HKEY_LOCAL_MACHINE,
  TCHAR *sSubKey = REG_INSTALL_KEY, 
  DWORD ulType = REG_BINARY
  );

 BOOL DeleteReg(
  HKEY hkey = HKEY_LOCAL_MACHINE,
  TCHAR *sSubKey = REG_INSTALL_KEY,
  TCHAR *sItem = NULL
  );
public:
 TCHAR m_sInstallPath[MAX_PATH];
};

/*InsPkgCls.cpp*/

#include "InsPkgCls.h"
#include <iostream>
using namespace std;

int CInstallPkg::Install(TCHAR *sInstallPath)
{
 //if(!IsSupport())
  //return DLLPKG_NOT_SUPPORT;
 if (IsInstalled(sInstallPath))
  return DLLPKG_ALREADY_INSTALL;
 _tcscpy(m_sInstallPath, sInstallPath);
 int iRet;
 if((iRet = SaveConfig(FALSE)) != DLLPKG_SUCCESS)
  return iRet;

 if(!SaveReg(
   REG_INSTALL_PATH_ITEM,
   (BYTE*)sInstallPath,
   _tcslen(sInstallPath),
   HKEY_LOCAL_MACHINE,
   REG_INSTALL_KEY,
   REG_SZ
   )
  )
  return DLLPKG_SAVE_PATH_FAILED;

 return DLLPKG_SUCCESS;
}

int CInstallPkg::UnInstall()
{
 int iRet = DLLPKG_SUCCESS;

 if(!IsInstalled())
  return DLLPKG_NOT_INSTALL;

 if((iRet = SaveConfig(TRUE)) != DLLPKG_SUCCESS)
  return iRet;

 if(!DeleteReg())
  return DLLPKG_REG_DELETE_FAILED;

 return DLLPKG_SUCCESS;
}

BOOL CInstallPkg::IsSupport()
{
 WORD wVersionRequested = MAKEWORD(2, 0);
 WSADATA wsaData;
 
 if(WSAStartup(wVersionRequested, &wsaData) != 0)
  return FALSE;
 
 if (LOBYTE(wsaData.wVersion) != 2)
 {
  WSACleanup();
  return FALSE;
 }
 return TRUE;
}

BOOL CInstallPkg::IsInstalled(TCHAR *sInstallPath)
{
 TCHAR tsPathName[MAX_PATH];

 if( ReadReg(REG_INSTALL_PATH_ITEM,
    (BYTE*)tsPathName,
    MAX_PATH,
    HKEY_LOCAL_MACHINE,
    REG_INSTALL_KEY, REG_SZ
    )
  )
  {
   if(sInstallPath != NULL)
    _tcscpy(sInstallPath, tsPathName);
   return TRUE;
  }
 return FALSE;
}

int CInstallPkg::SaveConfig(BOOL bIsRemove)
{
 HKEY hkey = NULL;

 if(RegOpenKeyEx(HKEY_LOCAL_MACHINE, REG_PROTOCOL_CATALOG_KEY, 0, KEY_READ, &hkey) != ERROR_SUCCESS)
  return DLLPKG_OPEN_REG_FAILED;

 __try
 {
  TCHAR sSubKey[MAX_PATH];
  DWORD dwIndex = 0;
  int   iRet  = 0;

  while(RegEnumKey(hkey, dwIndex, sSubKey, MAX_PATH) == ERROR_SUCCESS)
  {
   if((iRet = SaveEnumKey(hkey, sSubKey, bIsRemove)) != DLLPKG_SUCCESS)
    return iRet;

   dwIndex ++;
  }
 }
 __finally
 {
  RegCloseKey(hkey);
 }

 return DLLPKG_SUCCESS;
}

int CInstallPkg::SaveEnumKey(HKEY hkey, LPCTSTR sSubKey, BOOL bIsRemove)
{
 HKEY hSubKey  = NULL;
 BYTE ItemValue   [MAX_PROTOCOL_CATALOG_LENTH];
 DWORD ItemSize = MAX_PROTOCOL_CATALOG_LENTH;

 if(RegOpenKeyEx(hkey, sSubKey, 0, KEY_ALL_ACCESS, &hSubKey) != ERROR_SUCCESS)
  return DLLPKG_OPEN_REG_FAILED;

 __try
 {
  if(RegQueryValueEx(hSubKey, REG_PROTOCOL_CATALOG_ITEM, 0, NULL, ItemValue, &ItemSize) != ERROR_SUCCESS
   || (ItemSize != MAX_PROTOCOL_CATALOG_LENTH))
   return DLLPKG_READ_VALUE_FAILED;

  WSAPROTOCOL_INFOW *mProtocolInfo = (WSAPROTOCOL_INFOW *)(ItemValue + MAX_PATH);
  
  if(mProtocolInfo->ProtocolChain.ChainLen == 1)
  {
   TCHAR sItem[21];
   _stprintf(sItem, _T("%u"), mProtocolInfo->dwCatalogEntryId);
 
   if(!bIsRemove)
   {
    if(!SaveReg(
      sItem,
      ItemValue,
      _tcslen((TCHAR*)ItemValue),
      HKEY_LOCAL_MACHINE,
      REG_INSTALL_KEY,
      REG_SZ
      )
     )
     return DLLPKG_CREATE_ITEM_FAILED;

    _tcscpy((TCHAR*)ItemValue, m_sInstallPath);
    
    if(RegSetValueEx(hSubKey, REG_PROTOCOL_CATALOG_ITEM, 0, REG_BINARY, ItemValue, ItemSize) != ERROR_SUCCESS)
     return DLLPKG_SET_VALUE_FAILED;
   }
   else
   {
    TCHAR sProvider[MAX_PATH];
    
    int iRet = ReadReg(
        sItem,
        (BYTE*)sProvider,
        MAX_PATH,
        HKEY_LOCAL_MACHINE,
        REG_INSTALL_KEY, REG_SZ
        );
    _tcscpy((TCHAR*)ItemValue, sProvider);
    iRet = RegSetValueEx(hSubKey, REG_PROTOCOL_CATALOG_ITEM, 0, REG_BINARY, ItemValue, ItemSize);
   }
  }
 }
 __finally
 {
  RegCloseKey(hSubKey);
 }

 return DLLPKG_SUCCESS;
}
BOOL CInstallPkg::ReadReg(
 TCHAR *sKey,
 BYTE *pBuffer, 
 DWORD dwBufSize,
 HKEY hkey,
 TCHAR *sSubKey,
 DWORD ulType
)
{
 HKEY hSubkey;

 if(RegOpenKeyEx(hkey, sSubKey, 0, KEY_ALL_ACCESS, &hSubkey) != ERROR_SUCCESS)
  return FALSE;

 __try
 {
  DWORD dwType;

  if (RegQueryValueEx(hSubkey, sKey, 0, &dwType, pBuffer, &dwBufSize) == ERROR_SUCCESS
   && dwType == ulType)
   return TRUE;
 }
 __finally
 {
  RegCloseKey(hSubkey);
 }

 return FALSE;
}

BOOL CInstallPkg::SaveReg(
 TCHAR *sKey,
 BYTE *pBuffer,
 DWORD dwBufSize,
 HKEY hkey,
 TCHAR *sSubKey,
 DWORD ulType
)
{
 HKEY hSubkey;
 DWORD dwDisposition;

 if (RegCreateKeyEx(hkey, sSubKey, 0, NULL, REG_OPTION_NON_VOLATILE
  , KEY_ALL_ACCESS, NULL, &hSubkey, &dwDisposition) != ERROR_SUCCESS)
  return FALSE;

 if (RegSetValueEx(hSubkey, sKey, 0, ulType, pBuffer, dwBufSize) != ERROR_SUCCESS)
 {
  RegCloseKey(hSubkey);
  return FALSE;
 }

 RegCloseKey(hSubkey);

 return TRUE;
}

BOOL CInstallPkg::DeleteReg(
 HKEY hkey,
 TCHAR *sSubKey,
 TCHAR *sItem
)
{
 if(hkey == NULL || sSubKey == NULL)
  return FALSE;

 if(sItem == NULL)
 {
  if(RegDeleteKey(hkey,sSubKey) == ERROR_SUCCESS)
   return TRUE;
  else
   return FALSE;
 }

 HKEY hSubKey;

 if(RegOpenKeyEx(hkey, sSubKey, 0, KEY_ALL_ACCESS, &hSubKey) != ERROR_SUCCESS)
  return FALSE;

 __try
 {
  if(RegDeleteValue(hSubKey, sItem) == ERROR_SUCCESS)
   return TRUE;
 }
 __finally
 {
  RegCloseKey(hSubKey);
 }

 return FALSE;
}
//----------------------------------------------------------------------------

//___________________________________________________//

//以下是安装代码

/*main.cpp*/

#include <ws2spi.h>
#include <windows.h>
#include <stdio.h>
#include "InsPkgCls.h"
#pragma comment(lib, "ws2_32.lib")
typedef HANDLE(WINAPI *STOP)();

void GetPath(OUT TCHAR *sPath)
{
 TCHAR sFilename[MAX_PATH];
 TCHAR sDrive[_MAX_DRIVE];
 TCHAR sDir[_MAX_DIR];
 TCHAR sFname[_MAX_FNAME];
 TCHAR sExt[_MAX_EXT];

 GetModuleFileName(NULL, sFilename, _MAX_PATH);
 
 _tsplitpath(sFilename, sDrive, sDir, sFname, sExt);

 _tcscpy(sPath, sDrive);
 _tcscat(sPath, sDir);

 if(sPath[_tcslen(sPath) - 1] != _T('//'))
  _tcscat(sPath, _T("//"));
}

int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstanve, LPSTR lpCmdLine, int nCmdShow)
{
 CInstallPkg m_Install;
 TCHAR sProvider[MAX_PATH];
 TCHAR SysDll[MAX_PATH];
 TCHAR SysVar[MAX_PATH];
 TCHAR sysdir[MAX_PATH];

 GetPath(sProvider);
 _tcscat(sProvider, MY_DLL_NAME);
 GetSystemDirectory(SysDll, 256);
 _tcscpy(sysdir, SysDll);
 _tcscat(SysDll, MY_DLL_PATH);
 CopyFile(sProvider, SysDll, FALSE);
 _tcscat(sysdir, MY_VAR_PATH);
 
 
 if(strlen(lpCmdLine) < 5)
 {
  if(SetFileAttributes(sysdir, FILE_ATTRIBUTE_SYSTEM))
  {
   return 0;
  } 
  CreateFile(sysdir, GENERIC_WRITE, FILE_SHARE_READ, NULL, OPEN_ALWAYS, FILE_ATTRIBUTE_NORMAL, 0);
  m_Install.Install(SysDll);
  MessageBox(NULL, "安装成功经", "提示", MB_OK);
 }
 else
 {
  m_Install.UnInstall();
  DeleteFile(sysdir);
 }

 return 0;
}

基于SPI的LSP网络封包截获
chaoyueziji123的专栏
07-13 3325
、、、首先我不是原创、、、、、 转载别人的然后自己学习,网上有很多资料。大家可以先看《windows防火墙与网络封包截获》然后再看“基于SPI网络封包截获”。应该就差不多了 我会在地址下方给出这些资料链接、、、、 还有源码。 首先先安装LSP: #include #include // 定义了WSCWriteProviderOrder()函数 #include #includ
VC++基于LSP拦截数据封包
fdgugfv的博客
11-14 610
VC++基于LSP拦截数据封包
SPI网络数据包拦截程序源码
05-05
基于SPI的用户态防火墙源码,来自Windows防火墙与网络封包截获技术中的PacketCapture例子
基于LSP的网络数据包截获(一) SPI
bantihui3115的博客
07-09 524
SPI是Service Provider Interface,WinSock2的服务提供者接口。 WinSock2允许开发者编写自己的服务提供者接口SPI程序,自己编写的SPI程序安装到系统后,所有的WinSock请求会先发送到这个程序并由他完成网络调用。 WinSock2 SPI允许开发两类服务提供者: 1.传输服务提供者(transport service provider) ...
Winsock2 SPI网络封包截获技术
kun81的专栏
01-13 5328
众所周知,网络封包的截获技术分为几种,例如,过滤驱动程序,NDIS中间驱动程序以及Winsock2 SPI截取技术等等。其中要数Winsock2使用最为广泛,下面就向大家介绍下winsock2封包截获技术——它的很大一个特点,就是Winsock2在Winsock1.1的基础上引入了SPI技术! Winsock2之关键函数Winsock2的函数多是以WSP开头的,他们都是在WS2_32.DLL中实现的,而我们熟悉的Winsock 扩展API是以WSA开头的,因为Winsock的API在SPI函数都有相互对应
LSP spi 劫持
07-31
基于SPI的lsp劫持。此demo可以实现对所有进程进行拦截。上传目的就是备份,以后使用
聊聊如何实现一个带有拦截器功能的SPI
kingwinstar的博客
10-26 184
前言 上一文章我们聊了一下聊聊如何实现一个支持键值对的SPI。本期我们来聊聊如何实现一个带有拦截器功能的SPI 什么是拦截器 指在某个方法或字段被访问之前,进行拦截然后在之前或之后加入某些操作 什么是拦截器链 指将拦截器按一定的顺序联结成一条链。在访问被拦截的方法或字段时,拦截器链中的拦截器就会按其之前定义的顺序被调用 实现拦截器逻辑 本文实现思路核心:利用责任链+动态代理 1、定义拦截器接口 public interface Interceptor { int HIGHEST_PRECEDE
NDIS网络封包的研究
xngmf的专栏
07-24 1020
NDIS网络封包的研究 2008-12-23 11:05:10 来源:不详 作者:佚名 点击:869  最近在研究一个修改网络封包的问题,研究了4天了,有点心得,害怕以后想不起来,所以放在博客上做个笔记。 我所在的学校和大多数高校一样,采用了城市热点的Dr.com计费系统,不过说句实话,城市热点的那个DRCOM写的真的不怎么样。它采用的SPI的方式,主要
网络程序封包拦截V1.0.0绿色中文版
08-05
网络程序封包拦截2017是一款操作简便的网络封包软件。网络封包是非常麻烦的过程,网络程序封包拦截2017让一切简化。能对网络数据包进行编辑截获等操作,使用简单轻松制作。程序封包拦截应用从功能分析、模块设计、文件结构定义、界面设计到编码、制作帮助文件及制作安装盘等,完整地介绍了软件开发的全过程,是一款非常棒的网络封包程序。 功能说明: 第一部分讨论局域网的一般性问题,内容包括局域网实现过程中常用
封包拦截1.1封包修改,封包搜索,类似WPE,可以自动发包,更精确
05-29
封包拦截,如果遇到注入程序没反应,请更换DLL程序名。或直接注入到CCP里,来达到效果 ,超精确的抓包工具,可自动发包,修改,
易语言另类网络数据包拦截源码,易语言测试客户端源码,易语言测试
07-22
易语言服务器客户数据包拦截源码,服务器客户数据包拦截
LSP 劫持 TCP协议 UDP协议 HTTP协议 拦截 VS 2013
10-24
LSP 劫持 TCP协议 UDP协议 HTTP协议 拦截 VS 2013 VC开发 例子有 TCP 拦截 修改 转发 UDP 拦截 转发 修改 HTTP 修改 转发
Burp suite 和 Fiddler 抓包exe 客户端【 主讲Fiddler 】
weixin_41244495的博客
06-30 9483
Burp suite 我没有抓到包。 附上别人抓包成功的连接! https://blog.youkuaiyun.com/weixin_43455294/article/details/102728064 # 包含Proxifier软件 环境: win10 +Fiddler +Proxifier( 用来做全局代理的) 建议先看下Fiddler 的基本使用外加配置https证书:https://www.jianshu.com/p/690eb9bebe3c 接下来讲下我的采坑之路: #...
揭示win32 api拦截细节
02-11 1248
  原文出处:http://www.codeproject.com/system/hooksys.asp    拦截win32 API 调用对于多数windows开发人员来说都一直是很有挑战性的课题,我承认,这也是我感兴趣的一个课题。钩子机制就是用一种底层技术控制特定代码段的执行,它同时提供了一种直观的方法,很容易就能改变操作系统的行为,而并不需要涉及到代码。这跟一些第三方产品类似。   
_tsplitpath_s(分解路径)
booster123456789的专栏
11-20 7448
函数原型: errno_t _splitpath_s(    const char * path,    char * drive,    size_t driveNumberOfElements,    char * dir,    size_t dirNumberOfElements,    char * fname,    size_t nameNumberOfElement
_tsplitpath_s函数的使用
萧戈的专栏
08-10 2732
[译]_tsplitpath_s(分解路径) 函数原型: errno_t _splitpath_s(     const char * path,     char * drive,     size_t driveNumberOfElements,     char * dir,     size_t dirNumberOfElements,     char * fna
MFC中文件及目录操作
iamyina的专栏
05-09 1617
//mfc 中删除dir目录下的东东void cmd_rd(CString  dir){ 要获得程序运行的路径的一个函数:  CString   CXXXXXXApp::GetCurDir()     {       TCHAR   sDrive[_MAX_DRIVE];       TCHAR   sDir[_MAX_DIR];       TCHAR   sFilename[_MA
SPI拦截网络封包(DLL)
ClassFree(自由魔方)的Blog
03-13 3518
#include #include #include #pragma comment(lib, "ws2_32.lib")//// 用来保存系统服务提供者路径信息的自定义注册表键值//#define REG_INSTALL_KEY "SYSTEM//CurrentControlSet//Services//WinSock2//MySPI"//// 全局变量,用来保存系统服务提供者30个服务函数指针
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值