題:
當應用程序調用主目錄時,如何查看正在傳輸哪些數據?
GuYY
2013-04-06 18:45:41 UTC
view on stackexchange narkive permalink

總是想知道如何通過調用home的應用程序來回傳輸哪些數據。

假設我們通過主機文件重定向來模擬服務器。

是否還可以查看應用程序發出了哪些請求?

還可以在真實服務器到達應用程序之前截取來自真實服務器的響應(並查看數據)嗎?

這裡的一切似乎都與HTTP檢查有關。對於更多自定義協議,您也可以分別鉤住ws32.recv和ws32.send。我不認為這是一個完整的答案,但這是一個值得我注意的選項。
@CallmeV我沒有在問題中看到任何特定於HTTP的內容。
@JonathonReinhart-澄清:許多答案主要涉及網絡代理
七 答案:
Denis Laskov
2013-04-06 19:08:20 UTC
view on stackexchange narkive permalink

您可以使用數據包嗅探器捕獲流量,以捕獲客戶端\服務器應用程序的所有通信,也可以使用反向代理實時攔截和更改數據。

簡單來說,網絡嗅探器允許您查看客戶端和服務器之間的數據流,對其進行分析並逆轉協議通信反向代理攔截客戶端和服務器之間的通信,允許更改請求並重新發送,實時操作和檢查。

網絡嗅探器:

WireShark

tcpdump

WinDump

反向代理:

ZAP(OWASP項目)

禿鷹

Burp代理

提琴手(最推薦用於Web \惡意軟件分析)

您可能會在此處看到成功使用該技術的示例

攔截Blackberry應用流量

使用WebScarab攔截SSL流量

iOS數據攔截

Mick
2013-04-06 19:00:53 UTC
view on stackexchange narkive permalink

有兩種方法可以想到。第一種是在運行應用程序的實際客戶端上使用網絡數據包分析器。一些眾所周知的數據包分析器是 Wireshark tcpdump甚至是 Microsoft Network Monitor

另一種替代方法是攔截通過中間人(M.)的流量。最簡單的方法(如果您控制客戶端)是將基於Linux的筆記本電腦變成無線接入點,並攔截客戶端的流量,對其進行分析並路由它將需要2張網卡,其中至少一張是無線網卡。

這裡有一個教程,可幫助您開始以這種方式進行mitm攻擊: http: //www.backtrack-linux.org/forums/showthread.php?t=1939

mitmproxy是另一種出色的工具(它們支持SSL),並在其網站上有很多示例。

ixje
2013-04-06 19:22:07 UTC
view on stackexchange narkive permalink

就在發布此答案之前,我意識到他正在詢問如何在Windows上執行此操作,而我的答案適用於Mac。我發布它的原因是,我認為它對嘗試執行相同操作但使用Mac的其他人可能有用

如果您使用的是Mac,那麼這樣做真的很容易遠程虛擬接口(rvi)和Wireshark的組合。請注意,如果您的應用程序使用HTTP / SSL,這將不起作用,在這種情況下,請執行@MickGrove的建議並執行MITM。

假設您有Mac,請嘗試以下操作:

  1. 通過USB連接手機/ ipad / ipod
  2. 轉到系統信息(使用Spotlight或通過Apple徽標->關於此Mac的蘋果),然後在硬件-> USB下找到您的iPhone並複制序列號(這是一個很長的十六進制數字)
  3. 打開終端並輸入 rvictl -s <serialnumber> 這將創建一個名為rvi0的網絡接口。
  4. 打開wireshark並開始在rvi0上進行嗅探
  5. 完成後,鍵入 rvictl -x <serialnumber> 即可刪除界面
    6. ol>
Jason Geffner
2013-04-09 06:48:48 UTC
view on stackexchange narkive permalink

如果網絡通信使用“純文本”格式(未加密),則理想的網絡嗅探器(例如Wireshark)。

如果網絡通信通過SSL加密,但是您擁有私鑰(或如果客戶端應用程序未驗證服務器的公鑰),則可以使用 Burp之類的代理。

如果網絡流量是通過SSL加密的,而您沒有私有密鑰隨時可用,並且客戶端驗證服務器的公共密鑰,然後您可以使用諸如 Echo Mirage之類的程序,該程序掛接Winsock的發送和接收功能,從而使您可以在加密純文本之前對其進行訪問或者,如果使用SSL以外的其他方式對網絡流量進行加密,則您需要對客戶端軟件進行反向工程以確定如何執行加密和解密。最好的選擇是找到對Winsock的發送和接收功能的交叉引用,並確定客戶端在發送之前如何加密數據,並在接收到數據後對其解密。

mrduclaw
2013-04-09 11:51:59 UTC
view on stackexchange narkive permalink

@CallMeV在上面的註釋中指出的另一個選項是使用掛鉤。在Windows上,您可以考慮使用 EasyHook

rslite
2013-04-06 19:11:40 UTC
view on stackexchange narkive permalink

如果他們使用HTTP協議,則可以將HTTP代理 Fiddler添加到列表中

Gunther
2013-04-06 19:07:52 UTC
view on stackexchange narkive permalink

好吧,您知道惡意軟件試圖將其用作家的IP地址或域是什麼嗎?您可以嘗試更改位於%systemroot%\ system32 \ drivers \ etc \的主機文件。那樣,它將無法打電話回家。

然後使用Wireshark嗅探流量。一旦知道了IP地址和端口號,就可以使用過濾器使其變得更加舒適。眼睛,更容易找到所需的信息。

更好的方法是透明代理,它也可以攔截DNS查詢。我知道在我工作的反惡意軟件公司使用過的此類系統。但是,它是專有的。
我不會用惡意軟件來做到這一點:您不會阻止它打電話給您,除非您完全確定它不會與您阻止的主機聯繫(如果它嘗試IP地址,則更改“主機”會成功)。幫不上忙)。無論如何,這不是一個非常有用的方法,因為阻止應用程序打電話回家很可能會抑制您嘗試觀察的有趣行為-如果它無法啟動連接,就不會有任何流量在監聽。


該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到,我們感謝它分發的cc by-sa 3.0許可。
Loading...