Можно ли восстановить протокол?

kira_K

1. Имеется клиентская прога с закрытым исходным текстом (по ходу Delphi).
2. Она наглым образом обменивается пакетами с сервером (данные по-видимому не шифруются, что не может не радовать).
3. Меня почему-то заинтересовало в каком виде эти данные пересылаются и возможность написания клиента-клона.
4. Какие инструменты (окромя отладчика и дизасма - по-видимому потребуется перехватывать пакеты и узнать стандартные функции дельфи отвечающие за такое сообщение) и какой алгоритм копания в кишках вы могли бы посоветовать?

yolki

Через какой-нибудь Resource Browser (например, для Far-а ) выдрать из экзешника формы. из форм понять, какие компоненты используются. если верися больше Delphi6 => с вероятностью 99% используются сетевые компоненты Indy.
Дальше либо писать свой снифер на winpcap либо использовать готовые - Sniff'em например и анализировать сетевой трафик.

Codcod

Любой снифер тебе поможет и немного мозгов.

sergey_m

Если там TCP, то удобно будет перехватить вызов write точнее его аналог в винде, и таким образом видеть какими именно кусками пишет приложение. Это более удобно нежели сниффер, потому что TCP потоковый протокол, и сообщения могут склеиваться в пакеты или наоборот разрезаться на пакеты.

Ivan8209

Вроде бы, перехватывать библиотечный вызов должно быть проще, чем ядерный.
Тогда и зависимость от TCP пропадёт, если вообще была.
---
...Я работаю антинаучным аферистом...

sergey_m

Я разве говорил слово "ядерный"?

Ivan8209

Убедил.
---
...Я работаю...

evgen5555

Сниферы в винде уже давно склеивают пакеты

sergey_m

> Сниферы в винде уже давно склеивают пакеты
Поздравляю! Как это поможет в анализе протокола?

Codcod

Точно так как отлавливать что отсылает программа. дальше руками.

sergey_m

Я говорю, что склеивание пакетов сниффером никак не помогает в анализе протокола.