Реализация антишипона

[DeEgo]

Всем доброго времени суток.
Хотелось реализовать программу антишпион, которая бы сканировала весь исходящий трафик компьютера и в случае передачи какой либо программой файла с компьютера, говорила бы об этом пользователю.

Реально ли такое написать вообще? хотелось бы писать на borland builder с++.
Если реально то что стоит почитать.? Может у кого нибудь есть советы.. поскажите..

Заранее спасибо.

[rpy3uH]

при передаче инфа как правило шифруется, бессмысленное занятие

[DeEgo]

Да я понимаю, но мне главное какую нибудь ламерскую программу написать, скажем наш троян не шифрует ничего и передает по детски =) то так можно? буду примного благодарен оч надо=)

[zotox]

Цитата:

скажем наш троян не шифрует ничего и передает по детски

Первое что пришло в голову:
1. Перехватываем ReadFile и send/sendto (winapi) (если не ошибаюсь то вообще перехватывать надо более "низкие" функции (т.к. ReadFile это всего лишь обертка над функцией)) (тут нужно уметь писать драйвера).
2. Если срабатывает перехват ReadFile (т.е. если какое то приложение прочитала файл) - получаем уникальный хеш (hash) первых нескольких десятков байтов (прочитаных)(к примеру это будет 30 байт).
3. Если срабатывает перехват send/sendto (отправка пакета на сервер) - составляем массив хешей отправляемого пакета. (как составляется массив хешей: программируем цикл чтобы крутил с нулевой позиции по размер_пакета байт минус 30 байт, и с каждой позиции составляем хеш и кладем в массив (если не понятно - могу дать примерный код))
Сверяем хеш (который получили во втором пункте) с хешами, если какой то хеш совпадет - возможно отправляется файл, сверяем отправляемые байты с байтами которая программа прочитала.

Если что не понятно - спрашивай. (используем хеши, так как в общем все программы читают много байтов)

[DeEgo]

Спасибо за ответ) да, было бы не плохо посмотреть на примерный код.. Выложите исходник пожалуйста Хорошо, начну писать и сюда выкладывать результаты

[Rock-n-Rolla]

DeEgo, гугли - "TDI фильтр"

[DeEgo]

Всем снова здравствуйте =) не стал создавать новую тему, т.к. она является логической связкой с предыдущем вопросом.
Вообщем подскажите, пожалуйста, как вообще писать клиент-серверные приложения.

Создаю Сервер, бросаю на форму ServerSocket. Присваиваю ему порт, активирую. И сервер ждет когда придет ему информация..
Создаю клиента бросаю на форму компонент ClientSocket, присваиваю ему тот же порт, активирую и по логике необходимо задать адрес ip компа на котором находится сервер. Можно ли сделать чтобы этот айпи получал клиент от сервера как нибудь? Ведь не всегда можно узнать адресс, к тому же он в моем случае динамический и постоянно его менять вообще "не айс".

И как быть в случае когда ком к инету подключен через роутер? получается что у компа вообще как бы и нет ip адреса, только локальный с роутером.

Вообщем подскажите как быть или куда копать =)

ps в гугле лазил и пока без результатов( те исходники, которые находил требовали ручного ввода ip адреса а мне это вообще никак не приемлемо..

[Rock-n-Rolla]

Цитата:

Сообщение от DeEgo

И как быть в случае когда ком к инету подключен через роутер? получается что у компа вообще как бы и нет ip адреса, только локальный с роутером.

читайте про NAT, например в педивикии

Цитата:

Сообщение от DeEgo

ps в гугле лазил и пока без результатов( те исходники, которые находил требовали ручного ввода ip адреса а мне это вообще никак не приемлемо..

по другому никак. но и эта поблема тоже решена

[DeEgo]

Спасибо, но это все теория.. а практику где можно посмотреть?)

[rpy3uH]

какую именно практику? конкретно что?