本文探讨了WPEPRO在网络数据截取方面的改进,特别是针对不同版本中recv函数处理的不同之处,解释了为何某些应用的数据无法被正确捕获。
以前用WPE PRO 0.7,发现总是不能截取进程的网络接收数据,相当郁闷,最近下载了1.0版,正常了。
仔细分析了一下,原来WPE获取进程网络数据并不是通过驱动,服务等等复杂的东西,而是简单的把几个传输数据的socket函数改写了,转到自己的处理函数里。
tcp中使用的接受数据函数有2个,分别是:位于WSOCK32.dll里的recv与位于ws2_32.dll里的recv。都叫recv,以前的版本只对WSOCK32.dll里的recv进行了处理,但通如网络游戏等程序通常使用的是ws2_32.dll里的recv,所以就截取不到接受数据。
更无语的就是在OllyDbg里直接使用命令bp recv下断点也是下在WSOCK32.dll里的recv上,开始始终想不明白为什么,甚至怀疑socket里还有别的什么不知道的接受数据函数。所以在OllyDbg里下ws2_32.dll里recv的断点要使用bp ws2_32.recv,或者直接在模块里去找
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
