Перехват сетевого траффика Winsock 2 Layered Service Provider (LSP)
Ключевые слова: Winsock, LSP, Layered, Microsoft
Как скомпилировать пример?
При установленном Microsoft Visual Studio 6.0 запустите 1.bat (пропишите там правильные пути к файлам программы). Там уже лежат откомпилированные файлы, но исходники, из которых можно собрать их заново, тоже есть.
Что можно изменять в примере
По сравнению с микрософтовским примером я изменял файл SPI.Cpp, чтобы добавить в него перехват вызовов системной функции WSPSend (посылает байты в сокет).
Оригинальный файл содержится в SPI.Cpp_ (то же с подчеркиванием).
По аналогии можно перехватывать и остальные функции WinSock, которые там представлены (чтение байтов, подключение к сокету и т.д.) с необходимыми изменениями.
Включение перехвата функций
Скопируйте spi.dll в папку System32 и запустите SpOrder.Exe
Результат работы программы
Текстовый журнал запросов HTTP (результат работы программы) ведется в файле c:\spi.log.
Отключение программы
Повторно запустите SpOrder.Exe. Она должна отключить перехват функций и освободить spi.dll (возможно потребуется перезагрузка).
Контроль "шпионских" обращений Opera и FireFox на сервера Google
Одним из интересных результатов, которые можно наблюдать в журнале выдачи этой программы-перехватчика, является траффик с интернет-адресами всех посещаемых страниц, который генерируют программы FireFox и Opera в направлении серверов Google. Этот траффик "официально" служит для антивирусной и антифишинговой защиты, но некоторые исследователи (в частности, К.Касперски) ставят эту версию под сомнение, и считают, что пользователи находятся "под колпаком" у Гугла.
http://www.insidepro.com/kk/167/167r.shtml
Так или иначе, все ваши посещения страниц, если вы пользователей этих браузеров, уходят на заокеанский сервер Google. В настройках указанных браузеров (Opera и FireFox) эту функцию "большого всевидящего брата" можно отключить.
Файл для скачивания:
http://kb.mista.ru/files/727/Layered.rar (295 килобайт) |