eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 1 марта!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Medsft, CDK1234, vden (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Запретить программе доступ в интернет
Посл.ответ Сообщение

Ранг: 10.5 (новичок)
Статус: Участник

Создано: 24 декабря 2014 00:23 New!
Цитата · Личное сообщение · #1

Есть программа.
При запуске рвётся в интернет.
Запрос выглядит как :
Например

Сервер: 23.37.43.28 - TCP
Порт: http(80)

Блокирую фаерволом.
Но хотелось бы узнать как пропатчить что бы обойтись без фаервола.
Как найти откуда в программе идёт запрос ?


Статус: Пришелец

Создано: 24 декабря 2014 00:35 New!
Цитата #2

Зависит от того, как она стучит в сеть, вы хотя бы импорт скинули.
А так, смотрите в импорте Ws2_32.dll, Wininet.dll.. какой нибудь curl или дровина, когда определите как именно идет соединение, то вместе проверки соединения возвращайте отсутствие сети, а тут уже зависит от используемой технологии.

Ранг: 10.5 (новичок)
Статус: Участник

Создано: 24 декабря 2014 00:52 New!
Цитата · Личное сообщение · #3

F_a_u_s_t, спасибо.
Да некоторые элементы присутствуют
Ws2_32.dll,
WinHTTP.dll,


Code:
  1. ...то вместе проверки соединения возвращайте отсутствие сети...

А можно об этом немного поподробнее?


Статус: Пришелец

Создано: 24 декабря 2014 01:22 New!
Цитата #4

WSAStartup, connect, send, в приоритетном порядке, тут опять, многое зависит от кода, от того, как разработчик составил условия.
Загружайте программу в отладчик и ставьте BP на перечисленные апишки, когда сработает, то смотрите ниже на условия jnz\je соединение есть прыгаем\не прыгаем, аналогично при отсутствии, хотя разработчик мог засунуть проверку в отдельную функции, но это довольно редкое явление.
C WinHTTP аналогично.
Проверка идет на ноль, если ноль то выполняем, иначе ошибка, список констант смотрим в хидеры или MSDN с последующим поиском в гугле.

| Сообщение посчитали полезным: tekton


Ранг: 221.5 (наставник)
Статус: Участник

Создано: 24 декабря 2014 15:23 New!
Цитата · Личное сообщение · #5

Пропатчи айпишник или DNS-имя куда она коннектится на 127.0.0.1 и все дела.

Ранг: 375.8 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 24 декабря 2014 17:42 New!
Цитата · Личное сообщение · #6

подобная тема была уже до этой темы, только найти не могу. там вроде более кардинальный способ предложен был-заменить системные длл'ки (которые в system32), которые отвечают за сеть

Ранг: 507.2 (!)
Статус: Модератор

Создано: 25 декабря 2014 00:18 New!
Цитата · Личное сообщение · #7

tekton пишет:
Как найти откуда в программе идёт запрос ?


запустить хороший API-логгер и узнать какую АПИ дергает прожка


Ранг: 110.0 (ветеран)
Статус: Участник

Создано: 25 декабря 2014 18:07 New!
Цитата · Личное сообщение · #8

sendersu пишет:
запустить хороший API-логгер и узнать какую АПИ дергает прожка


А лучше запилить свой - универсальный :D

Ранг: 10.5 (новичок)
Статус: Участник

Создано: 25 декабря 2014 18:15 New!
Цитата · Личное сообщение · #9

cppasm пишет:
Пропатчи айпишник или DNS-имя куда она коннектится на 127.0.0.1 и все дела.

Как найти в проге эти значения?
И в обычном виде искал и в Hex и в строках....
Если можно с конкретным примером.

Ранг: 488.4 (мудрец)
Статус: Участник

Создано: 25 декабря 2014 18:24 · Поправил: VodoleY New!
Цитата · Личное сообщение · #10

tekton вы задаете вопрос НО не потрудились описать исходные данные
1. на чем написана???
2. есть ли упаковка или навешен протектор?
3. нет файла, чтоб можно было самостоятельно посмотреть..
З,Ы, вот как вариант.. сожмите UPX любую программу, и потом строки можете искать до посинения. я так понимаю, что даже до варианта юникода у вас дело не дошло
З.Ы.Ы вот смотрите.. на вскидку вам варианты БЕЗ АПИ) нажмите.. пуск-стандартные-выполнить-www.google.com .. ни одного сетевого АПИ по факту не вызывалось, а потом окажется что вам плохо помогали


Статус: Пришелец

Создано: 26 декабря 2014 10:20 New!
Цитата #11

ELF_7719116 пишет: там вроде более кардинальный способ предложен был-заменить системные длл'ки (которые в system32

Есть другой не менее кардинальный способ, это эмулятор интернета (есть и такое).

Ранг: 0.2 (гость)
Статус: Участник

Создано: 7 января 2015 12:20 New!
Цитата · Личное сообщение · #12

если через DNS то можно просто хост на локальный в etc hosts заменить. Ну а так, можно и фаерволом. Давно не ставил себе, но всяко есть такой функционал

Ранг: 13.9 (новичок)
Статус: Участник

Создано: 12 января 2015 23:08 New!
Цитата · Личное сообщение · #13

ИМХО следует хукнуть open и WSAopen. Должно хватить. Если нужна готовая реализация - стучись в личку, есть наработки.
 eXeL@B —› Вопросы новичков —› Запретить программе доступ в интернет

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS