При получении таблицы из GetExtendedTcpTable, GetTcpTable, GetTcpTable2, у всех процессов которые подключились внешне, антивирус заменяет PID на свой.
Вот нужно узнать 'настоящий PID' процесса, то есть до того, как Касперский заменил его на свой.
Re: GetExtendedTcpTable, GetTcpTable, GetTcpTable2 и антивир
X>Всем привет. X>Стоит антивирус Касперского.
X>При получении таблицы из GetExtendedTcpTable, GetTcpTable, GetTcpTable2, у всех процессов которые подключились внешне, антивирус заменяет PID на свой. X>Вот нужно узнать 'настоящий PID' процесса, то есть до того, как Касперский заменил его на свой.
Он не меняет. У него есть драйвер который перенаправляет соединения на локальный прокси, коим сам процесс avp.exe и является. Прокси естественно переустанавливает соединениея от своего имени. Так что вы видите актуальную информацию. Если внимательно поищите в таблице, найдете скорей всего соответствующие соединения на локолхост — результат работы перенаправляющего драйвера. Установить соответствие между парами соединений ( на локал хост и от прокси ) без каких нибудь мегахаков — нереально. Единственный вариант — иметь собственный TDI фильтр и расположить его выше касперского. И не парится вызовами GetTcpTable.
Re: GetExtendedTcpTable, GetTcpTable, GetTcpTable2 и антивир
Здравствуйте, Xuxuxuxux, Вы писали:
X>Всем привет. X>Стоит антивирус Касперского.
X>При получении таблицы из GetExtendedTcpTable, GetTcpTable, GetTcpTable2, у всех процессов которые подключились внешне, антивирус заменяет PID на свой. X>Вот нужно узнать 'настоящий PID' процесса, то есть до того, как Касперский заменил его на свой.
Мда.... прошло 7 дней, не ответа, не привета. Где же мне найти этих умных людей...
Re[2]: GetExtendedTcpTable, GetTcpTable, GetTcpTable2 и анти
развёрнуто, что ещё?
X>Где же мне найти этих умных людей
Бабло есть? Приходи, обсудим. Иначе твои претензии несколько беспочвенны.
JID: x64j@jabber.ru
Re[2]: GetExtendedTcpTable, GetTcpTable, GetTcpTable2 и анти
От:
Аноним
Дата:
19.02.11 06:41
Оценка:
Здравствуйте, Xuxuxuxux, Вы писали:
X>Здравствуйте, Xuxuxuxux, Вы писали:
X>>Всем привет. X>>Стоит антивирус Касперского.
X>>При получении таблицы из GetExtendedTcpTable, GetTcpTable, GetTcpTable2, у всех процессов которые подключились внешне, антивирус заменяет PID на свой. X>>Вот нужно узнать 'настоящий PID' процесса, то есть до того, как Касперский заменил его на свой.
X>Мда.... прошло 7 дней, не ответа, не привета. Где же мне найти этих умных людей...
Я задался тем же вопросом и пока ничего лучше, чем сопоставлять соединения по портам недодумался(ведь каспер не даст собой управлять, а также эту функцию фключать ой как не рекомендую). Вот что я имею ввиду:
допустим есть такое соединение приложение 192.168.0.1:2203 out интернет 74.57.86.120:80
Таблица с касперским будет выглядеть так приложение 127.0.0.1:2203 out KIS 127.0.0.1:1110
KIS 127.0.0.1:1110 in приложение 127.0.0.1:2203
KIS 192.168.0.1:2204 out интернет 74.57.86.120:80
Схемытически построить можно так: приложение 127.0.0.1:2203 => KIS 127.0.0.1:1110 = KIS 192.168.0.1:2204 => интернет 74.57.86.120:80
Обратим внимание на порты приложения и капера на исходящих соединениях. Различия на еденицу, т. е. если исходящий порт приложения равен 2203, то исходящий порт каспера будет равет 2203+1=2204.
Вот таким образом можно сопоставлять соединеия и формировать в вид:
приложение 192.168.0.1:2203 out интернет 74.57.86.120:80
P.S. Хочу заметить что бывают случаи, когда порт каспера может быть больше не на 1, а на 2, т. е. будет равен не 2203+1, 2203+2. Такчто методом увеличения на 1 и поиск в таблице соответствия.
