Opera https траффик

Интересно, как можно получить весь https траффик в опере - для остальных всё ясно, в лисе PR_Read/PR_Write, осёл HttpSendRequest, а вот опера тёмный лес. Великий гугл молчит. Где-то проскакивала идея что хукается OpStart из opera.dll, только непонятно что это даёт. Видно надо искать неэкспортируемую функцию именно в opera.dll

 

Не большие подсказки:

 

А вообще рекомендую снять upx с opera.dll , там много чего интересного Либо просто сдампить и в hiew строчки глянуть )

 

вообще рекомендую сделать небольшой мониторинг вызовов WSA* функций. Идея которого в следующем:
1) перехват функций получения\отправки сообщений
2) Детект момента получения ClientHello
3) С этого момент начинать логировать стек вызовов в лог
4) прекратить как встретилось ServerHello

Этого очень даже достаточно, дальше уже будет слишком большой лог, в котором можно заблудиться )

 

Ммм...
• Опера шлёт|принимает данные через ws2_32.dll WSASend|WSARecv
• Лучший прот юпкс с opera.dll снят
• Найдены подозрительные упоминания об OpenSSL внутри opera.dll
• Поиск SSL_Write по сигнатуре за неимением имени функции
• мыслю далее

 

d2k9

Врятле она юзала бы иные способы.

 

Clerk
Мне от этого не легче, там ведь весь трафф уже пошифрован будет - если есть что-то кроме булочек велком! Как вариант бектрейс от самих вызовов WSASend|WSARecv до нахождения данных в девственном виде - но ИМХО изврат, сдохну пока отдебажу.

P.S. Если хочется пооффтопить, то как такой вариант: NtDeviceioControlFile на \Device\Afd
^_^
Ладно, вернёмся к нашим баранам...

 

Она статически слинкована с OpenSSL. Реверсится за несколько часов при желании.

 

d2k9
Раз есть упомянание о OpenSSL , то что мешает сходить на страничку этой либы и глянуть как все организовано?

вот, нужная хрень:

тута есть более высокуровневые Recv, Send и очевидно они юзаются, а не WSA*

на будущее в других прогах, рекомендую смотреть и в :

 

dendi
Да, статическое линкование - за пару часов понятие растяжимое, может хотите проявить свои способности? оО
EvilsInterrupt
Чё за хрень-то? Мне надо https траффик, а не http который везде достаётся путём перехвата функций винсок.

P.S. Версия оперы над которой идёт изврат 10.51

 

Код купить хотите или чего?

 

dendi
Лучше подумать мозгами

 

d2k9
по фиксали ;-P

 

EvilsInterrupt
Уважаемый,
каким боком это in middle относится к технике перехвата хуками OpenSSL на оси конечного юзвера?)
Вы бы лучше оперу раскурочили до внятного состояния раз взялись, а не даркнет читали... Вот наработки по опере для дальнейших мыслей:
*кто успел, тот и съел*
Ничего нереального не бывает =)

З.Ы. И на будущее - опера schannel.dll даже не грузит и в опенссл зав-тей нету от неё.

 

d2k9
На конечном юзере, это вандализм! Если есть возможность не трогая юзеров и по середке, то как бы это сложно не было надо втыкать!

 

EvilsInterrupt
Цель оправдывает средства! Победителей не судят! И возможности нету - сто раз уже обсуждалось, что ругань на сертификат по-любому будет при подмене, а иначе гарантированно никак.

 

передумали показывать ?

 

чистое имхо, сообщение о ругани скрыть проще, чем писать много процедур под каждый браузер

 

да буйня там была

 

>>да буйня там была
а где не буйня? ты выложи, посмотрим, поправим Интересно же )