Jak przy pomocy jakiegoś sniffera sprawdzić url strony z którą łączy się program?

0

Mamy dany program, patcher do gry. On sobie ściąga jakiś tam plik z jakiejś strony (lub ftpa - nie wiadomo). Coś mi tam dzwoniło w uszach że od takich rzeczy są sniffery (nigdy ich wcześniej nie używałem). Ściągnąłem WireShark, odpaliłem i wyszkoczyło mi gimbazylion wpisów, i nie wiem jak cokolwiek z tego odczytać. Próbowałem szukać w googlach (pod wpisem how to monitor visited websites wireshark) i wprowadziłem zmiany (z jakimiś filtrami) do programu, ale też nie byłem w stanie odczytać adresu servera z którego pobierany był patch.

Czy ktoś zaznajomiony z tematem może mi powiedzieć co dokładnie należy zrobić?

0

Może http://fiddler2.com/ ?

0

Microsoft Network Monitor ma wbudowane trochę fajnych filtrów, m. in. ze względu na program, który się łączy.

0

Ale to musisz jednak mieć trochę danych, żeby faktycznie odszukać ten url... Znasz nazwę pliku? Fragment nazwy? Cokolwiek o hoście, z którym się łączy? No bo tak filtrować w ślepo to ciężko...

Albo podejdź do tego od drugiej strony. Wyłącz wszystkie usługi, które mogą korzystać z internetu, albo postaw wirtualną maszynę. Chyba najprościej byłoby skonfigurować firewalla tak, by nie przepuszczał absolutnie niczego, poza połączeniami z tego patchera. W wiresharku powinno być znacząco mniej requestów... A jeżeli wykorzystywany jest protokół http/ftp to już całkiem prosto powinno być odszukać te ciebie interesujące.

1

Ja bym ten program poddał inżynierii wstecznej (np. w OllyDbg) - ewentualnie odpalił w ProcExplorerze w zakładce strings znalazł adresy url z którymi się łączy:
http://voila.pl/index.php?f=1756067

0

Albo przy pomocy ProcExlorera zaznaczasz dany proces i wchodzisz w menu Proces->Properties i na zakładkę TCP/IP:
http://oi39.tinypic.com/auz4ep.jpg

0

@dzek69
A to co jest(proces mozilla firefox)?:
http://postimg.org/image/ilgebgq2h/

0

Domena (przetłumaczona z IP) i port (przetłumaczony z "80"). Netstat chyba nie zna domyślnych portów usług (ten Twój program nie pokaże "http" gdy połączysz się portem np. 83), więc tu masz ficzer, którego netstat nie ma, poza tym działa jak netstat.

A co wg Ciebie to jest? Pełen adres URL przechwycony z żądania HTTP? ;)

1 użytkowników online, w tym zalogowanych: 0, gości: 1