LYSHARK

摘要： NPCAP 库是一种用于在`Windows`平台上进行网络数据包捕获和分析的库。它是`WinPcap`库的一个分支，由`Nmap`开发团队开发，并在`Nmap`软件中使用。与`WinPcap`一样，NPCAP库提供了一些`API`，使开发人员可以轻松地在其应用程序中捕获和处理网络数据包。NPCAP库可以通过`WinPcap API`进行编程，因此现有的WinPcap应用程序可以轻松地迁移到NPCAP库上。与WinPcap相比，NPCAP库具有更好的性能和可靠性，支持最新的操作系统和硬件。它还提供了对`802.11`无线网络的本机支持，并可以通过`Wireshark`等网络分析工具进行使用。 NPCAP库是在`MIT`许可证下发布的，因此可以在免费和商业软件中使用。 阅读全文

摘要： Scapy 是一款使用纯Python编写的跨平台网络数据包操控工具，它能够处理和嗅探各种网络数据包。能够很容易的创建，发送，捕获，分析和操作网络数据包，包括TCP，UDP，ICMP等协议，此外它还提供了许多有用的功能，例如嗅探网络流量，创建自定义协议和攻击网络的安全测试工具。使用Scapy可以通过Python脚本编写自定义网络协议和攻击工具，这使得网络安全测试变得更加高效和精确。网络端口扫描用于检测目标主机上开放的网络端口。端口扫描可以帮助安全专业人员识别存在的网络漏洞，以及识别网络上的服务和应用程序。在进行端口扫描时，扫描程序会发送特定的网络数据包，尝试与目标主机的每个端口进行通信。如果端口处于打开状态，则扫描程序将能够成功建立连接。否则，扫描程序将收到一条错误消息，表明目标主机上的该端口未开放。 阅读全文

摘要： 原生套接字抓包的实现原理依赖于`Windows`系统中提供的`ioctlsocket`函数，该函数可将指定的网卡设置为混杂模式，网卡混杂模式（`Promiscuous Mode`）是常用于计算机网络抓包的一种模式，也称为监听模式。在混杂模式下，网卡可以收到经过主机的所有数据包，而非只接收它所对应的`MAC`地址的数据包。一般情况下，网卡会根据`MAC`地址过滤数据包，只有`MAC`地址与网卡所对应的设备的通信数据包才会被接收和处理，其他数据包则会被忽略。但在混杂模式下，网卡会接收经过它所连接的网络中所有的数据包，这些数据包可以是面向其他设备的通信数据包、广播数据包或多播数据包等。混杂模式可以通过软件驱动程序或网卡硬件实现。启用混杂模式的主要用途之一是网络抓包分析，使用混杂模式可以捕获网络中所有的数据包，且不仅仅是它所连接的设备的通信数据包。因此，可以完整获取网络中的通信内容，便于进行网络监控、安全风险感知、漏洞检测等操作。 阅读全文

摘要： GeoIP2是一种IP地址定位库，它允许开发人员根据`IP`地址查找有关位置和地理位置的信息。它使用`MaxMind`公司的IP地址数据库，并提供一个方便的Python API。GeoIP2可以用于许多不同的应用程序，例如网站分析、广告定位和身份验证。GeoIP2提供了许多不同的信息，例如国家、城市、邮政编码、经纬度、时区等等。它还可以使用IPv6地址进行查询。 阅读全文

摘要： 相对于外部绘图技术的不稳定性，内部绘制则显得更加流程与稳定，在`Dx9`环境中，函数`EndScene`是在绘制`3D`场景后，用于完成将最终的图像渲染到屏幕的一系列操作的函数。它会将缓冲区中的图像清空，设置视口和其他渲染状态，执行顶点和像素着色器，最后在后台缓冲区中生成一张完整的渲染图像，然后将其呈现到屏幕上，完成一次绘制操作。而`EndScene`是`IDirect3DDevice9`第`43`个函数，我们通过对该函数进行挂钩，并将该函数绘制之前的流程劫持到自身进程内的`MyEndScene`函数内做图形的增加工作，当我们增加好所需功能后再将该函数指向原来的函数入口，此时`EndScene`函数再次渲染则会出现我们所新增的功能，利用这种方式即可实现屏幕图形绘制效果，至于笔者是如何确定该函数是第43个的，读者可以在`IDirect3DDevice9`上面右键查看定义，至此即可看到函数所在位置； 阅读全文

摘要： 组播模式相比单播模式可以提高网络的效率和带宽利用率，因为组播数据包只需要发送一次，就可以被多个接收者接收，而不需要每个接收者都单独发送一份数据包。这在需要同时向多个接收者发送相同数据的场景下特别有用，如视频会议、在线教育、流媒体等。组播模式可以减少网络拥塞，降低网络延迟，并且可以减少网络中的冗余数据。通过构建组播服务器端与客户端，并配合键盘鼠标控制接口，当服务器端执行一个操作时客户端同步执行，通过此方法读者可轻易的实现一个简单的镜像服务器，当服务器规模庞大而主机系统版本相同时，该功能可实现服务器端执行一次客户端即可实现批量部署的效果。 阅读全文

摘要： WSASocket无管道反向`CMD`，与无管道正向`CMD`相反，这种方式是在远程主机上创建一个`TCP`套接字，并绑定到一个本地地址和端口上。然后在本地主机上，使用`WSASocket`函数连接到远程主机的套接字，并将标准输入、输出和错误输出重定向到套接字的句柄上。这样，本地主机就可以通过网络连接到远程主机的套接字，发送`CMD`命令并获取命令输出结果。这种方式称为无管道反向`CMD`，因为`CMD`进程的输入输出是通过套接字而非管道进行的。 阅读全文

摘要： WSASocket 无管道正向CMD，使用`WSASocket`函数创建一个TCP套接字，并绑定到一个本地地址和端口上。然后使用`CreateProcess`函数创建一个新的`CMD`进程，并将标准输入、输出和错误输出重定向到套接字的句柄上。这样，客户端可以通过网络连接到这个套接字，发送`CMD`命令并获取命令输出结果。这种方式称为无管道正向`CMD`，因为`CMD`进程的输入输出是通过套接字而非管道进行的。WSASocket 函数用于创建重叠IO套接字，重叠 `I/O（Overlapped I/O）`是一种异步 `I/O（Asynchronous I/O）`机制，它可以在执行 `I/O`操作时同时进行其他的操作或处理，提高了系统的并发性和效率。 阅读全文

摘要： 本章内容涉及使用`Socket API`和`CMD`命令行工具实现本地`CMD`命令执行、无管道正向`CMD`和无管道反向`CMD`三种功能。执行本地`CMD`实现使用`CreateProcess`函数创建一个新的`CMD`进程，并将标准输入、输出和错误输出重定向到当前进程的标准输入、输出和错误输出。无管道正向`CMD`和无管道反向`CMD`使用`WSASocket`函数创建`TCP`套接字，并将`CMD`进程的标准输入、输出和错误输出重定向到套接字的句柄上，通过网络连接实现远程命令执行功能。首先来实现一个`CMD`命令行运行功能，通过使用`CreatePipe`创建匿名管道，并使用`CreateProcess`函数创建一个新的`CMD`进程，然后将标准输入、输出和错误输出重定向到当前进程的标准输入、输出和错误输出。这样就可以通过当前进程的输入输出来执行`CMD`命令并获取命令输出结果。 阅读全文

摘要： C/C++语言是一种通用的编程语言，具有高效、灵活和可移植等特点。C语言主要用于系统编程，如操作系统、编译器、数据库等；C语言是C语言的扩展，增加了面向对象编程的特性，适用于大型软件系统、图形用户界面、嵌入式系统等。C/C++语言具有很高的效率和控制能力，但也需要开发人员自行管理内存等底层资源，对于初学者来说可能会有一定的难度。 阅读全文

摘要： C/C++语言是一种通用的编程语言，具有高效、灵活和可移植等特点。C语言主要用于系统编程，如操作系统、编译器、数据库等；C语言是C语言的扩展，增加了面向对象编程的特性，适用于大型软件系统、图形用户界面、嵌入式系统等。C/C++语言具有很高的效率和控制能力，但也需要开发人员自行管理内存等底层资源，对于初学者来说可能会有一定的难度。 阅读全文

摘要： C/C++语言是一种通用的编程语言，具有高效、灵活和可移植等特点。C语言主要用于系统编程，如操作系统、编译器、数据库等；C语言是C语言的扩展，增加了面向对象编程的特性，适用于大型软件系统、图形用户界面、嵌入式系统等。C/C++语言具有很高的效率和控制能力，但也需要开发人员自行管理内存等底层资源，对于初学者来说可能会有一定的难度。 阅读全文

摘要： C/C++语言是一种通用的编程语言，具有高效、灵活和可移植等特点。C语言主要用于系统编程，如操作系统、编译器、数据库等；C语言是C语言的扩展，增加了面向对象编程的特性，适用于大型软件系统、图形用户界面、嵌入式系统等。C/C++语言具有很高的效率和控制能力，但也需要开发人员自行管理内存等底层资源，对于初学者来说可能会有一定的难度。 阅读全文

摘要： C/C++语言是一种通用的编程语言，具有高效、灵活和可移植等特点。C语言主要用于系统编程，如操作系统、编译器、数据库等；C语言是C语言的扩展，增加了面向对象编程的特性，适用于大型软件系统、图形用户界面、嵌入式系统等。C/C++语言具有很高的效率和控制能力，但也需要开发人员自行管理内存等底层资源，对于初学者来说可能会有一定的难度。 阅读全文

摘要： C/C++语言是一种通用的编程语言，具有高效、灵活和可移植等特点。C语言主要用于系统编程，如操作系统、编译器、数据库等；C语言是C语言的扩展，增加了面向对象编程的特性，适用于大型软件系统、图形用户界面、嵌入式系统等。C/C++语言具有很高的效率和控制能力，但也需要开发人员自行管理内存等底层资源，对于初学者来说可能会有一定的难度。 阅读全文

摘要： ARP （Address Resolution Protocol，地址解析协议），是一种用于将 `IP` 地址转换为物理地址（`MAC地址`）的协议。它在 `TCP/IP` 协议栈中处于链路层，为了在局域网中能够正确传输数据包而设计，由协议数据单元和对应的操作命令组成。`ARP` 既可以由操作系统处理，也可以由网卡处理。该协议的作用是通过一个局域网上的互联网协议(IP)地址来查询对应的物理硬件地址，如数据包发送到路由器时，ARP 协议将使用嵌入在数据包中的目的 IP 地址查找对应的物理地址，路由器根据获取的 MAC 地址转发数据包到下一个网络。 阅读全文

摘要： dpkt项目是一个`Python`模块，主要用于对网络数据包进行解析和操作。它可以处理多种协议，例如`TCP`、`UDP`、`IP`等，并提供了一些常用的网络操作功能，例如计算校验和、解析`DNS`数据包等。由于其简单易用的特性，`dpkt`被广泛应用于网络安全领域，例如流量分析、漏洞利用、入侵检测等。使用该库可以快速解析通过各类抓包工具抓到的数据包，从而提取分析包内的参数。在分析数据包之前我们需要抓取特定数据包并保存为`*.pcap`格式，通常情况下这种数据包格式可通过`WireShark`等工具抓取到，当然也可以使用上一篇提到的`Scapy`库实现，该库中存在一个`sniff`函数，该函数可以实现网络抓包功能，如下一个演示案例我们分别通过`sniff(count=2)`函数抓取两个数据包并使用`wrpcap()`函数将其保存到文件内，当需要分析时可通过调用`rdpcap()`函数打开数据包即可实现分析。 阅读全文

摘要： 端口扫描是一种网络安全测试技术，该技术可用于确定对端主机中开放的服务，从而在渗透中实现信息搜集，其主要原理是通过发送一系列的网络请求来探测特定主机上开放的`TCP/IP`端口。具体来说，端口扫描程序将从指定的起始端口开始，向目标主机发送一条`TCP`或`UDP`消息（这取决于端口的协议类型）。如果目标主机正在监听该端口，则它将返回一个确认消息，这表明该端口是开放的。如果没有响应，则说明该端口是关闭的或被过滤。 阅读全文

摘要： PeFile模块是`Python`中一个强大的便携式第三方`PE`格式分析工具，用于解析和处理`Windows`可执行文件。该模块提供了一系列的API接口，使得用户可以通过`Python`脚本来读取和分析PE文件的结构，包括文件头、节表、导入表、导出表、资源表、重定位表等等。此外，PEfile模块还可以帮助用户进行一些恶意代码分析，比如提取样本中的字符串、获取函数列表、重构导入表、反混淆等等。PEfile模块是Python中处理PE文件的重要工具之一，广泛应用于二进制分析、安全研究和软件逆向工程等领域。由于该模块为第三方模块，在使用之前读者需要在命令行下执行`pip install pefile`命令安装第三方库，当安装成功后即可正常使用，如下所示则是该模块的基本使用方法，读者可自行学习理解。 阅读全文

摘要： Ping 使用 `Internet` 控制消息协议（`ICMP`）来测试主机之间的连接。当用户发送一个 `ping` 请求时，则对应的发送一个 `ICMP Echo` 请求消息到目标主机，并等待目标主机回复一个 `ICMP Echo` 回应消息。如果目标主机接收到请求并且网络连接正常，则会返回一个回应消息，表示主机之间的网络连接是正常的。如果目标主机没有收到请求消息或网络连接不正常，则不会有回应消息返回。Ping的实现依赖于`ICMP`协议，Internet控制消息协议（Internet Control Message Protocol，简称 ICMP）是一种在`IP`网络上发送控制消息的协议。主要是用于在 `IP` 网络上进行错误处理和诊断。ICMP协议是运行在网络层的协议，它的主要作用是向源主机和目标主机发送控制消息，帮助网络诊断和监控。这些控制消息通常是由网络设备（如路由器、交换机、防火墙等）生成或捕获，并在整个网络传输。 阅读全文

摘要： 在之前的代码中我们并没有对套接字进行加密，在未加密状态下我们所有的通信内容都是明文传输的，这种方式在学习时可以使用但在真正的开发环境中必须要对数据包进行加密，此处笔者将演示一种基于时间的加密方法，该加密方法的优势是数据包每次发送均不一致，但数据包内的内容是一致的，当抓包后会发现每次传输的数据包密文是随机变化的，但内容始终保持一致，也就是说两个拥有相同内容的数据被加密后，数据包密文不同，其主要运用了基于当前时间戳的通信机制。 阅读全文

摘要： 对于网络通信中的服务端来说，显然不可能是一对一的，我们所希望的是服务端启用一份则可以选择性的与特定一个客户端通信，而当不需要与客户端通信时，则只需要将该套接字挂到链表中存储并等待后续操作，套接字服务端通过多线程实现存储套接字和选择通信，可以提高服务端的并发性能，使其能够同时处理多个客户端的请求。在实际应用场景中，这种技术被广泛应用于网络编程、互联网应用等领域。该功能的具体实现思路可以总结为如下流程；在服务端启动时，创建套接字并进行绑定，然后开启一个线程（称为主线程）用于监听客户端的连接请求。主线程在接收到新的连接请求后，会将对应的套接字加入一个数据结构（例如链表、队列、哈希表等）中进行存储。同时，主线程会将存储套接字的数据结构传递给每个子线程，并开启多个子线程进行服务，每个子线程从存储套接字的数据结构中取出套接字，然后通过套接字与客户端进行通信。 阅读全文

摘要： 首先我们来实现一个`DNS`查询功能，该功能的目的是传入一个网站域名自动将该域名解析为对应的`IP`地址，该功能的实现依赖于`gethostbyname`函数，该函数将主机名作为参数，并返回一个指向`hostent`类型结构的指针，结构包含有关主机的信息。结构包含许多字段，其中最重要的是`h_name`和`h_addr_list`。`h_name`是主机名，`h_addr_list`是一个指向具有主机`IP`地址的地址列表的指针。 阅读全文

摘要： 网络上的文件传输功能也是很有必要实现一下的，网络传输文件的过程通常分为客户端和服务器端两部分。客户端可以选择上传或下载文件，将文件分块并逐块发送到服务器，或者从服务器分块地接收文件。服务器端接收来自客户端的请求，根据请求类型执行对应的操作，并根据发送的文件名或其他标识来确定要传输的文件。在实现文件传输之前，需要先打开要传输的文件，并获取文件的大小信息，也可以通过其他方式获取文件的信息。在客户端和服务器端都准备就绪后，可以通过套接字来发送文件数据。在传输文件的过程中，可以将文件分解为若干个数据包进行传输，以减少数据传输中的丢包或传输错误。每个数据包的长度可以根据实际情况进行选择，通常选择`1024`字节或更大，也可以设置成更小的值。传输文件的过程中，还需要实现一定的错误处理机制，例如检测传输过程中的超时、丢包、不完整数据等情况，并在必要时进行错误重传或协商其他解决方案。 阅读全文

摘要： 通常情况下我们在编写套接字通信程序时都会实现一收一发的通信模式，当客户端发送数据到服务端后，我们希望服务端处理请求后同样返回给我们一个状态值，并以此判断我们的请求是否被执行成功了，另外增加收发同步有助于避免数据包粘包问题的产生，在多数开发场景中我们都会实现该功能。Socket粘包是指在使用TCP协议传输数据时，发送方连续向接收方发送多个数据包时，接收方可能会将它们合并成一个或多个大的数据包，而不是按照发送方发送的原始数据包拆分成多个小的数据包进行接收。 阅读全文