{"id":258778,"date":"2015-06-05T23:27:02","date_gmt":"2015-06-05T19:27:02","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=258778"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=258778","title":{"rendered":"\u0420\u0430\u0437\u0431\u0438\u0440\u0430\u0435\u043c\u0441\u044f \u0441 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u043e\u0439 x64 \u0432 WPE Pro"},"content":{"rendered":"<p>     \t<img decoding=\"async\" src=\"https:\/\/hsto.org\/files\/54b\/c68\/751\/54bc687514bf42f3bcc6deeeef9a7637.png\" alt=\"image\"\/><\/p>\n<p>  \u0414\u0443\u043c\u0430\u044e, \u0447\u0442\u043e \u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u043e \u0438\u0437 \u043c\u0435\u0441\u0442\u043d\u044b\u0445 \u043e\u0431\u0438\u0442\u0430\u0442\u0435\u043b\u0435\u0439 \u0437\u043d\u0430\u043a\u043e\u043c\u044b \u0441 \u043f\u043e\u043d\u044f\u0442\u0438\u0435\u043c <a href=\"https:\/\/ru.wikipedia.org\/wiki\/\u0410\u043d\u0430\u043b\u0438\u0437\u0430\u0442\u043e\u0440_\u0442\u0440\u0430\u0444\u0438\u043a\u0430\">\u0441\u043d\u0438\u0444\u0444\u0435\u0440\u0430<\/a>. \u041d\u0435\u0441\u043c\u043e\u0442\u0440\u044f \u043d\u0430 \u0442\u043e, \u0447\u0442\u043e \u043a\u043e\u043d\u0435\u0447\u043d\u0430\u044f \u0446\u0435\u043b\u044c \u0443 \u043d\u0438\u0445 \u043e\u0434\u043d\u0430 \u0438 \u0442\u0430 \u0436\u0435 (\u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442 \u043f\u0430\u043a\u0435\u0442\u043e\u0432, \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0445 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0451\u043d\u043d\u044b\u043c \u043a\u0440\u0438\u0442\u0435\u0440\u0438\u044f\u043c), \u0434\u043e\u0441\u0442\u0438\u0433\u0430\u044e\u0442 \u043e\u043d\u0438 \u0435\u0451 \u0441\u043e\u0432\u0435\u0440\u0448\u0435\u043d\u043d\u043e \u0440\u0430\u0437\u043d\u044b\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c. \u041a\u0430\u043a\u043e\u0439-\u0442\u043e \u0441\u043e\u0444\u0442 \u0441\u043b\u0443\u0448\u0430\u0435\u0442 \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u0439 \u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, <a href=\"https:\/\/www.wireshark.org\/\">Wireshark<\/a>, \u0433\u0434\u0435 \u044d\u0442\u043e \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043e \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 <a href=\"http:\/\/en.wikipedia.org\/wiki\/Pcap\">Pcap<\/a>), \u0430 \u043a\u0430\u043a\u043e\u0439-\u0442\u043e \u2014 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u0432\u044b\u0437\u043e\u0432\u044b \u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0445 \u0437\u0430 \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435 \u0441 \u0441\u0435\u0442\u044c\u044e WinAPI-\u0444\u0443\u043d\u043a\u0446\u0438\u0439. \u0418 \u0443 \u0442\u043e\u0433\u043e, \u0438 \u0443 \u0434\u0440\u0443\u0433\u043e\u0433\u043e \u043c\u0435\u0442\u043e\u0434\u0430 \u0435\u0441\u0442\u044c \u0441\u0432\u043e\u0438 \u043f\u043b\u044e\u0441\u044b \u0438 \u043c\u0438\u043d\u0443\u0441\u044b, \u043e\u0434\u043d\u0430\u043a\u043e \u0435\u0441\u043b\u0438 \u043f\u043e \u0437\u0430\u0434\u0430\u0447\u0435 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442 \u043f\u0430\u043a\u0435\u0442\u043e\u0432 \u043e\u0442 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u043e\u0433\u043e \u0437\u0430\u0440\u0430\u043d\u0435\u0435 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e\u0433\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u0442\u043e \u0432\u0442\u043e\u0440\u043e\u0439 \u0432\u0430\u0440\u0438\u0430\u043d\u0442, \u043a\u0430\u043a \u043f\u0440\u0430\u0432\u0438\u043b\u043e, \u0431\u0430\u043d\u0430\u043b\u044c\u043d\u043e \u0443\u0434\u043e\u0431\u043d\u0435\u0435. \u0412 \u044d\u0442\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u043d\u0435\u0442 \u043d\u0443\u0436\u0434\u044b \u0443\u0437\u043d\u0430\u0432\u0430\u0442\u044c IP-\u0430\u0434\u0440\u0435\u0441\u0430 \u0438 \u043f\u043e\u0440\u0442\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0434\u0430\u043d\u043d\u0430\u044f \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430 (\u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e \u0443\u0447\u0438\u0442\u044b\u0432\u0430\u044f \u0442\u043e\u0442 \u0444\u0430\u043a\u0442, \u0447\u0442\u043e \u0438\u0445 \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u043c\u043d\u043e\u0433\u043e), \u0438 \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u043e\u0441\u0442\u043e \u0441\u043a\u0430\u0437\u0430\u0442\u044c \u00ab\u044f \u0445\u043e\u0447\u0443 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u0442\u044c \u0432\u0441\u0435 \u043f\u0430\u043a\u0435\u0442\u044b \u0432\u043e\u0442 \u044d\u0442\u043e\u0433\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f\u00bb. \u0423\u0434\u043e\u0431\u043d\u043e, \u043d\u0435 \u043f\u0440\u0430\u0432\u0434\u0430 \u043b\u0438?<\/p>\n<p>  \u041f\u043e\u0436\u0430\u043b\u0443\u0439, \u0441\u0430\u043c\u044b\u043c \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u044b\u043c \u043d\u0430 \u0441\u0435\u0433\u043e\u0434\u043d\u044f\u0448\u043d\u0438\u0439 \u0434\u0435\u043d\u044c \u0441\u043d\u0438\u0444\u0444\u0435\u0440\u043e\u043c, \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0449\u0438\u043c \u043f\u043e \u043f\u0440\u0438\u043d\u0446\u0438\u043f\u0443 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0430 \u0432\u044b\u0437\u043e\u0432\u043e\u0432 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0451\u043d\u043d\u044b\u0445 WinAPI-\u0444\u0443\u043d\u043a\u0446\u0438\u0439, \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f <a href=\"http:\/\/wpepro.net\/\">WPE Pro<\/a>. \u0412\u043e\u0437\u043c\u043e\u0436\u043d\u043e, \u043c\u043d\u043e\u0433\u0438\u0435 \u0438\u0437 \u0432\u0430\u0441 \u0441\u043b\u044b\u0448\u0430\u043b\u0438 \u043e \u043d\u0451\u043c \u043d\u0430 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0445 \u0444\u043e\u0440\u0443\u043c\u0430\u0445, \u043f\u043e\u0441\u0432\u044f\u0449\u0451\u043d\u043d\u044b\u0445 \u043e\u043d\u043b\u0430\u0439\u043d-\u0438\u0433\u0440\u0430\u043c, \u0432\u0435\u0434\u044c \u0438\u043c\u0435\u043d\u043d\u043e \u0434\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u043f\u0440\u0435\u0438\u043c\u0443\u0449\u0435\u0441\u0442\u0432 \u0432 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0445 \u0438\u0433\u0440\u0430\u0445 \u044d\u0442\u043e\u0442 \u0441\u043d\u0438\u0444\u0444\u0435\u0440 \u0432 \u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u0435 \u0441\u043b\u0443\u0447\u0430\u0435\u0432 \u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f. \u0421\u0432\u043e\u044e \u0437\u0430\u0434\u0430\u0447\u0443 \u043e\u043d \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u043f\u0440\u0435\u043a\u0440\u0430\u0441\u043d\u043e, \u043e\u0434\u043d\u0430\u043a\u043e \u0443 \u043d\u0435\u0433\u043e \u0435\u0441\u0442\u044c \u043e\u0434\u0438\u043d \u043d\u0435\u043f\u0440\u0438\u044f\u0442\u043d\u044b\u0439 \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u043a \u2014 \u043e\u043d \u043d\u0435 \u0443\u043c\u0435\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 64-\u0431\u0438\u0442\u043d\u044b\u043c\u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f\u043c\u0438. \u0422\u0430\u043a \u0443\u0436 \u0432\u044b\u0448\u043b\u043e, \u0447\u0442\u043e \u043f\u043e \u043e\u0434\u043d\u043e\u0439 \u0438\u0437 \u0432\u043e\u0437\u043d\u0438\u043a\u0448\u0438\u0445 \u0437\u0430\u0434\u0430\u0447 \u043c\u043d\u0435 \u043a\u0430\u043a \u0440\u0430\u0437 \u043f\u043e\u043d\u0430\u0434\u043e\u0431\u0438\u043b\u043e\u0441\u044c \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u0442\u044c \u043f\u0430\u043a\u0435\u0442\u044b \u043e\u0442 64-\u0431\u0438\u0442\u043d\u043e\u0433\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u0438 \u044f \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u043b \u0432 \u0441\u0442\u043e\u0440\u043e\u043d\u0443 Wireshark. \u041a \u0441\u043e\u0436\u0430\u043b\u0435\u043d\u0438\u044e, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0435\u0433\u043e \u0432 \u0434\u0430\u043d\u043d\u043e\u0439 \u0441\u0438\u0442\u0443\u0430\u0446\u0438\u0438 \u0431\u044b\u043b\u043e \u043d\u0435 \u043e\u0447\u0435\u043d\u044c \u0443\u0434\u043e\u0431\u043d\u043e \u2014 \u0438\u0441\u0441\u043b\u0435\u0434\u0443\u0435\u043c\u043e\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u043b\u043e \u0434\u0430\u043d\u043d\u044b\u0435 \u043d\u0430 \u0440\u0430\u0437\u043d\u044b\u0435 IP-\u0430\u0434\u0440\u0435\u0441\u0430, \u043a\u0430\u0436\u0434\u044b\u0439 \u0440\u0430\u0437 \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u044f \u043d\u043e\u0432\u044b\u0439 \u043f\u043e\u0440\u0442. \u041f\u043e\u0433\u0443\u0433\u043b\u0438\u0432 \u043d\u0435\u043c\u043d\u043e\u0433\u043e, \u044f \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b, \u0447\u0442\u043e \u0433\u043e\u0442\u043e\u0432\u044b\u0445 \u0430\u043d\u0430\u043b\u043e\u0433\u043e\u0432 WPE Pro \u0441 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u043e\u0439 x64 \u043d\u0435\u0442 (\u0435\u0441\u043b\u0438 \u043e\u043d\u0438 \u0432\u0441\u0451 \u0436\u0435 \u0435\u0441\u0442\u044c, \u0431\u0443\u0434\u0443 \u043f\u0440\u0438\u0437\u043d\u0430\u0442\u0435\u043b\u0435\u043d \u0437\u0430 \u0441\u0441\u044b\u043b\u043a\u0438 \u0432 \u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u044f\u0445 \u2014 \u043e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435, \u0447\u0442\u043e \u0440\u0435\u0447\u044c \u0438\u0434\u0451\u0442 \u043e Windows). \u0410\u0432\u0442\u043e\u0440 WPE Pro \u043d\u0435 \u043e\u0441\u0442\u0430\u0432\u0438\u043b \u043d\u0438\u043a\u0430\u043a\u0438\u0445 \u043a\u043e\u043d\u0442\u0430\u043a\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u043d\u0430 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u043c \u0441\u0430\u0439\u0442\u0435 \u0438 \u0432 \u0441\u0430\u043c\u043e\u043c \u0441\u043d\u0438\u0444\u0444\u0435\u0440\u0435, \u0442\u0430\u043a \u0447\u0442\u043e \u044f \u043f\u0440\u0438\u043d\u044f\u043b \u0440\u0435\u0448\u0435\u043d\u0438\u0435 \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u0442\u044c\u0441\u044f \u0432 \u044d\u0442\u043e\u043c \u0432\u043e\u043f\u0440\u043e\u0441\u0435 \u0441\u0430\u043c\u043e\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u043e.<\/p>\n<p>  \u041a\u0430\u043a \u043f\u0440\u043e\u0442\u0435\u043a\u0430\u043b \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u0438 \u0447\u0442\u043e \u0438\u0437 \u044d\u0442\u043e\u0433\u043e \u0432\u044b\u0448\u043b\u043e, \u0447\u0438\u0442\u0430\u0439\u0442\u0435 \u043f\u043e\u0434 \u043a\u0430\u0442\u043e\u043c.<br \/>  <a name=\"habracut\"><\/a><br \/>  \u0418\u0442\u0430\u043a, \u0447\u0442\u043e \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u0432 \u043f\u0435\u0440\u0432\u0443\u044e \u043e\u0447\u0435\u0440\u0435\u0434\u044c? \u0412\u0435\u0440\u043d\u043e, \u0441\u043a\u0430\u0447\u0430\u0442\u044c \u0441\u0430\u043c WPE Pro. \u0421\u0434\u0435\u043b\u0430\u0442\u044c \u044d\u0442\u043e \u043c\u043e\u0436\u043d\u043e \u043d\u0430 <a href=\"http:\/\/wpepro.net\/\">\u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u043c \u0441\u0430\u0439\u0442\u0435<\/a> \u0441\u043d\u0438\u0444\u0444\u0435\u0440\u0430, \u0433\u0434\u0435 \u043f\u0440\u0435\u0434\u043b\u0430\u0433\u0430\u044e\u0442\u0441\u044f \u0434\u043b\u044f \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0441\u0440\u0430\u0437\u0443 \u0434\u0432\u0435 \u0432\u0435\u0440\u0441\u0438\u0438 \u2014 0.9a \u0438 1.3. \u041c\u044b \u0431\u0443\u0434\u0435\u043c \u0440\u0430\u0441\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u0442\u044c \u0432\u0435\u0440\u0441\u0438\u044e 0.9a, \u043f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u0438\u043c\u0435\u043d\u043d\u043e \u043e\u043d\u0430 \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u043d\u0430 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0445 \u0432\u0435\u0440\u0441\u0438\u044f\u0445 Windows.<\/p>\n<p>  \u0421\u043a\u0430\u0447\u0430\u043b\u0438? \u0422\u0435\u043f\u0435\u0440\u044c \u0434\u0430\u0432\u0430\u0439\u0442\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u0438\u043c, \u043d\u0435 \u043d\u0430\u043a\u0440\u044b\u0442 \u043b\u0438 \u043e\u043d \u043a\u0430\u043a\u0438\u043c-\u043d\u0438\u0431\u0443\u0434\u044c \u043f\u0430\u043a\u043e\u0432\u0449\u0438\u043a\u043e\u043c \u0438\u043b\u0438 \u043f\u0440\u043e\u0442\u0435\u043a\u0442\u043e\u0440\u043e\u043c:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/hsto.org\/files\/f24\/adf\/157\/f24adf157a5c443f871797cbdc8d0c05.png\" alt=\"image\"\/><\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/hsto.org\/files\/950\/d3d\/2b2\/950d3d2b24194efcba0191d4ea98f2c2.png\" alt=\"image\"\/><\/p>\n<p>  \u041f\u043e\u0445\u043e\u0436\u0435, \u043d\u0430 \u044d\u0442\u043e\u0442 \u0440\u0430\u0437 \u0441\u043d\u0438\u043c\u0430\u0442\u044c \u043d\u0430\u043c \u043d\u0438\u0447\u0435\u0433\u043e \u043d\u0435 \u043f\u0440\u0438\u0434\u0451\u0442\u0441\u044f. \u0422\u043e\u0433\u0434\u0430 \u0431\u0435\u0440\u0451\u043c \u0432 \u0440\u0443\u043a\u0438 <a href=\"http:\/\/www.ollydbg.de\/\">OllyDbg<\/a> \u0438 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u043c \u00abWpePro.net.exe\u00bb. \u0414\u0430\u0432\u0430\u0439\u0442\u0435 \u0434\u043b\u044f \u043f\u0440\u0438\u043c\u0435\u0440\u0430 \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u043c 64-\u0431\u0438\u0442\u043d\u0443\u044e \u0432\u0435\u0440\u0441\u0438\u044e <a href=\"http:\/\/www.dependencywalker.com\/\">Dependency Walker&#8217;\u0430<\/a> \u0438 \u0443\u0437\u043d\u0430\u0435\u043c, \u043f\u043e\u0447\u0435\u043c\u0443 WPE Pro \u043d\u0435 \u043c\u043e\u0436\u0435\u0442 \u043e\u0442\u043e\u0431\u0440\u0430\u0437\u0438\u0442\u044c \u0435\u0433\u043e \u0432 \u0441\u043f\u0438\u0441\u043a\u0435 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b\u0445 \u0434\u043b\u044f \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0430 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432.<\/p>\n<p>  \u041f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0441\u043f\u0438\u0441\u043e\u043a \u0442\u0435\u043a\u0443\u0449\u0438\u0445 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u0432 WinAPI \u043c\u043e\u0436\u043d\u043e \u0434\u0432\u0443\u043c\u044f \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u043c\u0438 \u043f\u0443\u0442\u044f\u043c\u0438:<\/p>\n<ul>\n<li>\u041f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 \u0441\u0432\u044f\u0437\u043a\u0438 \u0444\u0443\u043d\u043a\u0446\u0438\u0439 <a href=\"https:\/\/msdn.microsoft.com\/ru-ru\/library\/windows\/desktop\/ms682489(v=vs.85).aspx\">CreateToolhelp32Snapshot<\/a>, <a href=\"https:\/\/msdn.microsoft.com\/ru-ru\/library\/windows\/desktop\/ms684834(v=vs.85).aspx\">Process32First<\/a> \u0438 <a href=\"https:\/\/msdn.microsoft.com\/ru-ru\/library\/windows\/desktop\/ms684836(v=vs.85).aspx\">Process32Next<\/a> (\u043f\u0440\u0438\u043c\u0435\u0440 \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, <a href=\"https:\/\/msdn.microsoft.com\/en-us\/library\/windows\/desktop\/ms686701(v=vs.85).aspx\">\u0442\u0443\u0442<\/a>)<\/li>\n<li>\u041f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 <a href=\"https:\/\/msdn.microsoft.com\/ru-ru\/library\/windows\/desktop\/ms682629(v=vs.85).aspx\">EnumProcesses<\/a> (\u043f\u0440\u0438\u043c\u0435\u0440 \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, <a href=\"https:\/\/msdn.microsoft.com\/en-us\/library\/windows\/desktop\/ms682623(v=vs.85).aspx\">\u0442\u0443\u0442<\/a>)<\/li>\n<\/ul>\n<p>  \u041f\u0440\u0438 \u0436\u0435\u043b\u0430\u043d\u0438\u0438 \u043c\u043e\u0436\u0435\u0442\u0435 \u043f\u043e\u0447\u0438\u0442\u0430\u0442\u044c \u043e \u0440\u0430\u0437\u043d\u0438\u0446\u0435 \u043c\u0435\u0436\u0434\u0443 \u0434\u0430\u043d\u043d\u044b\u043c\u0438 \u0441\u043f\u043e\u0441\u043e\u0431\u0430\u043c\u0438, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, <a href=\"http:\/\/stackoverflow.com\/questions\/4021307\/enumprocesses-vs-createtoolhelp32snapshot\">\u0442\u0443\u0442<\/a>.<\/p>\n<p>  \u0421\u043c\u043e\u0442\u0440\u0438\u043c \u043d\u0430 intermodular calls \u043c\u043e\u0434\u0443\u043b\u044f \u00abWpePro.net.exe\u00bb \u0438 \u0432\u0438\u0434\u0438\u043c, \u0447\u0442\u043e \u043d\u0438 <b>CreateToolhelp32Snapshot<\/b>, \u043d\u0438 <b>EnumProcesses<\/b> \u0442\u0443\u0442 \u043d\u0435\u0442. \u0412\u043e\u0437\u043c\u043e\u0436\u043d\u043e, \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u0438\u0445 \u0430\u0434\u0440\u0435\u0441 \u0432 run-time \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 WinAPI-\u0444\u0443\u043d\u043a\u0446\u0438\u0438 <a href=\"https:\/\/msdn.microsoft.com\/ru-ru\/library\/windows\/desktop\/ms683212(v=vs.85).aspx\">GetProcAddress<\/a>, \u0442\u0430\u043a \u0447\u0442\u043e \u0434\u0430\u0432\u0430\u0439\u0442\u0435 \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043d\u0430 referenced text strings. \u041d\u0430 \u044d\u0442\u043e\u0442 \u0440\u0430\u0437 \u0432\u0441\u0451 \u0441 \u0442\u043e\u0447\u043d\u043e\u0441\u0442\u044c\u044e \u043d\u0430\u043e\u0431\u043e\u0440\u043e\u0442 \u2014 \u043d\u0430\u0448\u043b\u0430\u0441\u044c \u043a\u0430\u043a \u0441\u0442\u0440\u043e\u043a\u0430 \u00abCreateToolhelp32Snapshot\u00bb, \u0442\u0430\u043a \u0438 \u00abEnumProcesses\u00bb. \u0421\u0442\u0430\u0432\u0438\u043c \u0431\u0440\u044f\u043a\u0438 \u043d\u0430 \u043c\u0435\u0441\u0442\u0430, \u0433\u0434\u0435 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u0435 \u043a \u0434\u0430\u043d\u043d\u044b\u043c \u0441\u0442\u0440\u043e\u043a\u0430\u043c, \u043d\u0430\u0436\u0438\u043c\u0430\u0435\u043c \u043d\u0430 \u043a\u043d\u043e\u043f\u043a\u0443 \u00abTarget program\u00bb \u0432 WPE Pro \u0438 \u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043d\u0430 \u043c\u0435\u0441\u0442\u043e, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u043c\u044b \u043e\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u043b\u0438\u0441\u044c:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/hsto.org\/files\/7b0\/14f\/a12\/7b014fa120a241a8b1a5b1fdeb2c02b8.PNG\" alt=\"image\"\/><\/p>\n<p>  \u0415\u0441\u043b\u0438 \u043f\u043e\u043d\u0430\u0436\u0438\u043c\u0430\u0442\u044c F9, \u0442\u043e \u043c\u044b \u0443\u0432\u0438\u0434\u0438\u043c, \u0447\u0442\u043e \u044d\u0442\u043e\u0442 \u0436\u0435 \u0431\u0440\u044f\u043a \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u0435\u0449\u0451 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0440\u0430\u0437, \u043f\u0440\u0435\u0436\u0434\u0435 \u0447\u0435\u043c \u043d\u0430\u043a\u043e\u043d\u0435\u0446 \u043f\u043e\u044f\u0432\u0438\u0442\u0441\u044f \u043e\u043a\u043d\u043e \u0441\u043e \u0441\u043f\u0438\u0441\u043a\u043e\u043c \u0442\u0435\u043a\u0443\u0449\u0438\u0445 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432. \u0414\u0430\u0432\u0430\u0439\u0442\u0435 \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c, \u043f\u043e\u0447\u0435\u043c\u0443 \u0432 \u043d\u0451\u043c \u043d\u0435 \u043e\u043a\u0430\u0437\u0430\u043b\u043e\u0441\u044c Dependency Walker&#8217;\u0430. \u0417\u0430\u043a\u0440\u044b\u0432\u0430\u0435\u043c \u043e\u043a\u043d\u043e, \u0441\u043d\u043e\u0432\u0430 \u043d\u0430\u0436\u0438\u043c\u0430\u0435\u043c \u043d\u0430 \u043a\u043d\u043e\u043f\u043a\u0443 \u00abTarget program\u00bb \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u043c \u043f\u043e\u0448\u0430\u0433\u043e\u0432\u0443\u044e \u043e\u0442\u043b\u0430\u0434\u043a\u0443, \u043d\u0430\u0447\u0438\u043d\u0430\u044f \u0441 \u0442\u043e\u0433\u043e \u0436\u0435 \u0441\u0430\u043c\u043e\u0433\u043e \u0431\u0440\u044f\u043a\u0430. \u0412\u0441\u043a\u043e\u0440\u0435 \u043f\u043e\u0441\u043b\u0435 \u0432\u044b\u0437\u043e\u0432\u043e\u0432 <b>GetProcAddress<\/b> \u043c\u044b \u043f\u043e\u043f\u0430\u0434\u0430\u0435\u043c \u0432 \u0446\u0438\u043a\u043b, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u043f\u043e\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u043d\u043e \u0432\u044b\u0437\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u2014 <a href=\"https:\/\/msdn.microsoft.com\/ru-ru\/library\/windows\/desktop\/ms684320(v=vs.85).aspx\">OpenProcess<\/a>, <a href=\"https:\/\/msdn.microsoft.com\/ru-ru\/library\/windows\/desktop\/ms682631(v=vs.85).aspx\">EnumProcessModules<\/a>, \u0441\u043a\u0440\u044b\u0432\u0430\u044e\u0449\u0430\u044f\u0441\u044f \u0437\u0430 \u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u0435\u0439 <b>CALL DWORD PTR DS:[EDI+10]<\/b>, <a href=\"https:\/\/msdn.microsoft.com\/ru-ru\/library\/windows\/desktop\/ms683198(v=vs.85).aspx\">GetModuleFileNameEx<\/a> (\u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u044f <b>CALL DWORD PTR DS:[ECX+14]<\/b>) \u0438 <a href=\"https:\/\/msdn.microsoft.com\/ru-ru\/library\/windows\/desktop\/ms724211(v=vs.85).aspx\">CloseHandle<\/a>:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/hsto.org\/files\/656\/eb9\/e21\/656eb9e213254ac1a496b40fa467f634.PNG\" alt=\"image\"\/><\/p>\n<p>  \u0414\u0430\u0432\u0430\u0439\u0442\u0435 \u043f\u043e\u0441\u0442\u0430\u0432\u0438\u043c \u0431\u0440\u044f\u043a \u043f\u043e \u0430\u0434\u0440\u0435\u0441\u0443 <b>0x0042A910<\/b>, \u0433\u0434\u0435 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0437\u0430\u043d\u0435\u0441\u0435\u043d\u0438\u0435 \u043d\u0430 \u0441\u0442\u0435\u043a \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0433\u043e \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u0430 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 <b>OpenProcess<\/b> \u2014 PID, \u0438 \u043f\u043e\u043f\u0440\u043e\u0431\u0443\u0435\u043c \u0434\u043e\u0436\u0434\u0430\u0442\u044c\u0441\u044f \u043c\u043e\u043c\u0435\u043d\u0442\u0430, \u043a\u043e\u0433\u0434\u0430 \u0440\u0435\u0433\u0438\u0441\u0442\u0440 <b>EAX<\/b> \u043f\u0440\u0438\u043c\u0435\u0442 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435, \u0440\u0430\u0432\u043d\u043e\u0435 \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440\u0443 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 Dependency Walker&#8217;\u0430. \u041d\u0430 \u043c\u043e\u0435\u0439 \u043c\u0430\u0448\u0438\u043d\u0435 \u0432 \u044d\u0442\u043e\u0442 \u043c\u043e\u043c\u0435\u043d\u0442 \u043e\u043d \u0431\u044b\u043b \u0440\u0430\u0432\u0435\u043d 6600, \u0442.\u0435. 0x19C8.<\/p>\n<p>  \u0415\u0441\u043b\u0438 \u043f\u0440\u043e\u0431\u0435\u0436\u0430\u0442\u044c\u0441\u044f \u043f\u043e \u043a\u043e\u0434\u0443, \u0442\u043e \u043c\u044b \u0443\u0432\u0438\u0434\u0438\u043c, \u0447\u0442\u043e \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 Dependency Walker&#8217;\u0430 \u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u044f <b>TEST EAX,EAX<\/b>, \u043d\u0430\u0445\u043e\u0434\u044f\u0449\u0430\u044f\u0441\u044f \u043f\u043e \u0430\u0434\u0440\u0435\u0441\u0443 <b>0x0042A942<\/b> \u0438 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0430\u044f \u0437\u0430 \u0432\u044b\u0437\u043e\u0432\u043e\u043c WinAPI-\u0444\u0443\u043d\u043a\u0446\u0438\u0438 <b>EnumProcessModules<\/b>, \u0437\u0430\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439 \u0437\u0430 \u043d\u0435\u0439 \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440 \u0443\u0441\u043b\u043e\u0432\u043d\u043e\u0433\u043e \u043f\u0435\u0440\u0435\u0445\u043e\u0434\u0430 \u043f\u0440\u044b\u0433\u043d\u0443\u0442\u044c \u043f\u043e \u0430\u0434\u0440\u0435\u0441\u0443 <b>0x0042A9E7<\/b>, \u0433\u0434\u0435 \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0432\u044b\u0437\u043e\u0432 <b>CloseHandle<\/b>, \u0447\u0442\u043e, \u0440\u0430\u0437\u0443\u043c\u0435\u0435\u0442\u0441\u044f, \u043d\u0435 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043d\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u044b\u043c \u0445\u043e\u0434\u043e\u043c \u0440\u0430\u0431\u043e\u0442\u044b \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u0432\u0435\u0434\u044c \u043c\u044b \u0435\u0449\u0451 \u0434\u0430\u0436\u0435 \u043d\u0435 \u0434\u043e\u0448\u043b\u0438 \u0434\u043e \u0432\u044b\u0437\u043e\u0432\u0430 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 <b>GetModuleFileNameEx<\/b>:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/hsto.org\/files\/c34\/f5b\/334\/c34f5b3343a84591ab8c957fcaeda638.PNG\" alt=\"image\"\/><\/p>\n<p>  \u041e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435 \u043d\u0430 \u043a\u043e\u0434 \u043e\u0448\u0438\u0431\u043a\u0438 \u2014 0x12B (ERROR_PARTIAL_COPY). \u0414\u0430\u0432\u0430\u0439\u0442\u0435 \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c, \u043f\u043e\u0447\u0435\u043c\u0443 \u0442\u0430\u043a\u043e\u0435 \u043c\u043e\u0436\u0435\u0442 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442\u044c. \u041e\u0442\u043a\u0440\u044b\u0432\u0430\u0435\u043c \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u044e \u043a \u0444\u0443\u043d\u043a\u0446\u0438\u0438 <b>EnumProcessModules<\/b> \u0438 \u0432\u0438\u0434\u0438\u043c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0435:<\/p>\n<blockquote><p>If this function is called from a 32-bit application running on WOW64, it can only enumerate the modules of a 32-bit process. If the process is a 64-bit process, this function fails and the last error code is ERROR_PARTIAL_COPY (299)<\/p><\/blockquote>\n<p>  \u0414\u0430, \u044d\u0442\u043e \u043a\u0430\u043a \u0440\u0430\u0437 \u043d\u0430\u0448 \u0441\u043b\u0443\u0447\u0430\u0439.<\/p>\n<p>  \u041d\u0435\u0441\u043c\u043e\u0442\u0440\u044f \u043d\u0430 \u0442\u043e, \u0447\u0442\u043e \u0432 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u0438 \u043a \u0444\u0443\u043d\u043a\u0446\u0438\u0438 <b>GetModuleFileNameEx<\/b> \u043d\u0435 \u0441\u043a\u0430\u0437\u0430\u043d\u043e \u043d\u0438\u0447\u0435\u0433\u043e \u043f\u043e\u0445\u043e\u0436\u0435\u0433\u043e, \u0432\u0435\u0434\u0451\u0442 \u043e\u043d\u0430 \u0441\u0435\u0431\u044f \u0430\u043d\u0430\u043b\u043e\u0433\u0438\u0447\u043d\u044b\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u0447\u0442\u043e \u043e\u043f\u0438\u0441\u0430\u043d\u043e, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, <a href=\"http:\/\/winprogger.com\/getmodulefilenameex-enumprocessmodulesex-failures-in-wow64\/\">\u0442\u0443\u0442<\/a>. \u041e\u0434\u043d\u0438\u043c \u0438\u0437 \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u043e\u0432 \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u044d\u0442\u043e\u0439 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u044b \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 <a href=\"https:\/\/msdn.microsoft.com\/en-us\/library\/windows\/desktop\/ms684919(v=vs.85).aspx\">QueryFullProcessImageName<\/a>, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0431\u0443\u0434\u0435\u0442 \u043e\u0442\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0442\u044c \u043d\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u043e \u0434\u0430\u0436\u0435 \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 \u0432\u044b\u0437\u043e\u0432\u0430 \u0438\u0437 32-\u0431\u0438\u0442\u043d\u043e\u0433\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u0437\u0430\u043f\u0443\u0449\u0435\u043d\u043d\u043e\u0433\u043e \u0432 WOW64, \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 \u043f\u0440\u0438\u043c\u0435\u043d\u0435\u043d\u0438\u044f \u0435\u0451 \u043a 64-\u0431\u0438\u0442\u043d\u043e\u043c\u0443 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0443.<\/p>\n<p>  \u0422\u0435\u043f\u0435\u0440\u044c \u043c\u044b \u043c\u043e\u0436\u0435\u043c \u0437\u0430\u043d\u043e\u043f\u0438\u0442\u044c \u0432\u044b\u0437\u043e\u0432 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 <b>EnumProcessModules<\/b><\/p>\n<pre><code>0042A93F   .  FF57 10       CALL DWORD PTR DS:[EDI+10]               ;  EnumProcessModules 0042A942   .  85C0          TEST EAX,EAX 0042A944      90            NOP 0042A945      90            NOP 0042A946      90            NOP 0042A947      90            NOP 0042A948      90            NOP 0042A949      90            NOP 0042A94A   .  8B4424 14     MOV EAX,DWORD PTR SS:[ESP+14] 0042A94E   .  BE 00000000   MOV ESI,0 <\/code><\/pre>\n<p>  \u0438 \u043d\u0430\u043f\u0438\u0441\u0430\u0442\u044c code cave \u0434\u043b\u044f \u0437\u0430\u043c\u0435\u043d\u044b <b>GetModuleFileNameEx<\/b> \u0444\u0443\u043d\u043a\u0446\u0438\u0435\u0439 <b>QueryFullProcessImageName<\/b>:<\/p>\n<pre><code>0042A971     \/E9 DA3F0600   JMP WpePro_n.0048E950 0042A976     |90            NOP 0042A977     |90            NOP 0042A978     |90            NOP 0042A979     |90            NOP                                      ;  GetModuleFileNameEx 0042A97A     |90            NOP 0042A97B     |90            NOP 0042A97C     |90            NOP 0042A97D     |90            NOP 0042A97E     |90            NOP 0042A97F     |90            NOP 0042A980     |90            NOP 0042A981     |90            NOP 0042A982     |90            NOP 0042A983     |90            NOP 0042A984     |90            NOP 0042A985     |90            NOP 0042A986     |90            NOP 0042A987     |90            NOP 0042A988     |90            NOP 0042A989     |90            NOP 0042A98A     |90            NOP 0042A98B     |90            NOP 0042A98C     |90            NOP 0042A98D     |90            NOP 0042A98E   &gt; |6A 14         PUSH 14 0042A990   . |E8 7FCF0300   CALL WpePro_n.00467914 <\/code><\/pre>\n<p>  <\/p>\n<pre><code>0048E950      60            PUSHAD 0048E951      9C            PUSHFD 0048E952      8D5C24 AC     LEA EBX,DWORD PTR SS:[ESP-54] 0048E956      C74424 AC 040&gt;MOV DWORD PTR SS:[ESP-54],104 0048E95E      53            PUSH EBX 0048E95F      50            PUSH EAX 0048E960      6A 00         PUSH 0 0048E962      55            PUSH EBP 0048E963      E8 777CB675   CALL KERNEL32.QueryFullProcessImageNameA 0048E968      9D            POPFD 0048E969      61            POPAD 0048E96A    ^ E9 1FC0F9FF   JMP WpePro_n.0042A98E <\/code><\/pre>\n<p>  \u0422\u0435\u043f\u0435\u0440\u044c WPE Pro \u043e\u0442\u043e\u0431\u0440\u0430\u0436\u0430\u0435\u0442 \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u043e \u043d\u043e\u0432\u044b\u0445 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432, \u0432 \u0442\u043e\u043c \u0447\u0438\u0441\u043b\u0435 \u0438 \u043d\u0430\u0448 Dependency Walker:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/hsto.org\/files\/b01\/bce\/0f7\/b01bce0f7384467289413bb6f8c74993.PNG\" alt=\"image\"\/><\/p>\n<p>  \u041e\u0434\u043d\u0430\u043a\u043e \u043f\u0440\u0438 \u043f\u043e\u043f\u044b\u0442\u043a\u0435 \u043f\u0440\u0438\u0430\u0442\u0442\u0430\u0447\u0438\u0442\u044c\u0441\u044f \u043a \u0434\u0430\u043d\u043d\u043e\u043c\u0443 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0443 WPE Pro \u0432\u044b\u0434\u0430\u0451\u0442 \u043d\u0435\u043f\u0440\u0438\u044f\u0442\u043d\u043e\u0435 \u0434\u043b\u044f \u043d\u0430\u0441 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/hsto.org\/files\/4b0\/4c5\/760\/4b04c5760212472d9c0f53cf1768f06e.PNG\" alt=\"image\"\/><\/p>\n<p>  \u0422\u0443\u0442 \u043c\u044b \u0443\u0436\u0435, \u043a \u0441\u043e\u0436\u0430\u043b\u0435\u043d\u0438\u044e, \u043d\u0438\u0447\u0435\u0433\u043e \u043d\u0435 \u043c\u043e\u0436\u0435\u043c \u043f\u043e\u0434\u0435\u043b\u0430\u0442\u044c. <a href=\"http:\/\/en.wikipedia.org\/wiki\/DLL_injection\">DLL-\u0438\u043d\u044a\u0435\u043a\u0446\u0438\u044f<\/a> \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043f\u0443\u0442\u0451\u043c \u0432\u043d\u0435\u0434\u0440\u0435\u043d\u0438\u044f \u0441\u0432\u043e\u0435\u0439 DLL \u0432 \u0430\u0434\u0440\u0435\u0441\u043d\u043e\u0435 \u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0441\u0442\u0432\u043e target-\u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430, \u0430 \u043d\u0430 MSDN <a href=\"https:\/\/msdn.microsoft.com\/en-us\/library\/windows\/desktop\/aa384231(v=vs.85).aspx\">\u0441\u043a\u0430\u0437\u0430\u043d\u043e<\/a> \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0435:<\/p>\n<blockquote><p>On 64-bit Windows, a 64-bit process cannot load a 32-bit dynamic-link library (DLL). Additionally, a 32-bit process cannot load a 64-bit DLL<\/p><\/blockquote>\n<p>  \u041d\u0435\u0441\u043b\u043e\u0436\u043d\u043e \u0434\u043e\u0433\u0430\u0434\u0430\u0442\u044c\u0441\u044f, \u0447\u0442\u043e WPE Pro \u043f\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0442\u043e\u043b\u044c\u043a\u043e \u0441 32-\u0431\u0438\u0442\u043d\u043e\u0439 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u043e\u0439.<\/p>\n<p>  \u0427\u0442\u043e \u0436\u0435 \u0434\u0435\u043b\u0430\u0442\u044c? \u041f\u0438\u0441\u0430\u0442\u044c \u0441\u0432\u043e\u0439 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0447\u0438\u043a WinSock? \u0410 \u043f\u043e\u0447\u0435\u043c\u0443 \u0431\u044b \u0438 \u043d\u0435\u0442?<\/p>\n<p>  \u041d\u043e \u043a\u0430\u043a \u043c\u044b \u044d\u0442\u043e \u0431\u0443\u0434\u0435\u043c \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u043b\u044f\u0442\u044c? \u041f\u0435\u0440\u0432\u043e\u0435, \u0447\u0442\u043e \u043f\u0440\u0438\u0445\u043e\u0434\u0438\u0442 \u043d\u0430 \u0443\u043c \u2014 \u044d\u0442\u043e \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f <a href=\"http:\/\/research.microsoft.com\/en-us\/projects\/detours\/\">Detours<\/a>, \u043e\u0434\u043d\u0430\u043a\u043e \u043d\u0430 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u043c \u0441\u0430\u0439\u0442\u0435 \u0441\u0440\u0430\u0437\u0443 \u0436\u0435 \u0441\u043e\u043e\u0431\u0449\u0430\u0435\u0442\u0441\u044f, \u0447\u0442\u043e \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0430 64-\u0431\u0438\u0442\u043d\u044b\u0445 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439 \u0435\u0441\u0442\u044c \u0442\u043e\u043b\u044c\u043a\u043e \u0432 Professional Edition:<\/p>\n<blockquote><p>Detours Express is limited to 32-bit processes on x86 processors<\/p><\/blockquote>\n<p>  \u0422\u043e\u0433\u0434\u0430 \u0434\u0430\u0432\u0430\u0439\u0442\u0435 \u043f\u043e\u043f\u0440\u043e\u0431\u0443\u0435\u043c <a href=\"https:\/\/easyhook.codeplex.com\/\">EasyHook<\/a>. \u0421\u0440\u0435\u0434\u0438 \u0432\u0441\u0435\u0433\u043e \u043f\u0440\u043e\u0447\u0435\u0433\u043e, \u044d\u0442\u0430 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0430 \u043a\u0430\u043a \u0440\u0430\u0437 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 64-\u0431\u0438\u0442\u043d\u044b\u043c\u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f\u043c\u0438:<\/p>\n<blockquote><p>You will be able to write injection libraries and host processes compiled for AnyCPU, which will allow you to inject your code into 32- and 64-Bit processes from 64- and 32-Bit processes by using the very same assembly in all cases<\/p><\/blockquote>\n<p>  \u0421 \u043d\u0435\u0431\u043e\u043b\u044c\u0448\u0438\u043c\u0438 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f\u043c\u0438 \u043f\u0440\u0438\u043c\u0435\u0440\u0430, \u043f\u0440\u043e\u0434\u0435\u043c\u043e\u043d\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0432 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u043c <a href=\"https:\/\/easyhook.codeplex.com\/downloads\/get\/623723\">\u0442\u0443\u0442\u043e\u0440\u0438\u0430\u043b\u0435<\/a>, \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u043a\u043e\u0434, \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u044e\u0449\u0438\u0439 \u0432\u044b\u0437\u043e\u0432\u044b \u0444\u0443\u043d\u043a\u0446\u0438\u0439 <a href=\"https:\/\/msdn.microsoft.com\/en-us\/library\/windows\/desktop\/ms740121(v=vs.85).aspx\">recv<\/a> \u0438 <a href=\"https:\/\/msdn.microsoft.com\/ru-ru\/library\/windows\/desktop\/ms740149(v=vs.85).aspx\">send<\/a> \u0438\u0437 WinSock \u0438 \u0432\u044b\u0432\u043e\u0434\u044f\u0449\u0438\u0439 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0447\u0435\u043d\u043d\u044b\u0435 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f \u043f\u043e\u0431\u0430\u0439\u0442\u043e\u0432\u043e \u0432 \u0448\u0435\u0441\u0442\u043d\u0430\u0434\u0446\u0430\u0442\u0435\u0440\u0438\u0447\u043d\u043e\u043c \u0432\u0438\u0434\u0435:<\/p>\n<p>  <b>\u041a\u043e\u0434 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b, \u0441\u043e\u0432\u0435\u0440\u0448\u0430\u044e\u0449\u0435\u0439 DLL-\u0438\u043d\u044a\u0435\u043a\u0446\u0438\u044e<\/b><\/p>\n<pre><code>using EasyHook; using System; using System.Collections.Generic; using System.Diagnostics; using System.Linq; using System.Runtime.Remoting; using System.Text; using System.Threading.Tasks;  namespace Sniffer {     public enum MsgType { Recv, Send };      [Serializable]     public class Message     {         public byte[] Buf;         public int Len;         public MsgType Type;     }      public class InjectorInterface : MarshalByRefObject     {         public void OnMessages(Message[] messages)         {             foreach (Message message in messages)             {                 switch (message.Type)                 {                     case MsgType.Recv:                         Console.WriteLine(&quot;Received {0} bytes via recv function&quot;, message.Len);                         break;                      case MsgType.Send:                         Console.WriteLine(&quot;Sent {0} bytes via send function&quot;, message.Len);                         break;                      default:                         Console.WriteLine(&quot;Unknown action&quot;);                         continue;                 }                  foreach (byte curByte in message.Buf)                 {                     Console.Write(&quot;{0:x2} &quot;, curByte);                 }                  Console.WriteLine(&quot;=====================&quot;);             }         }          public void Print(string message)         {             Console.WriteLine(message);         }          public void Ping()         {          }     }      class Program     {         static void Main(string[] args)         {             if (args.Length != 1)             {                 Console.WriteLine(&quot;Usage: Sniffer.exe [pid]&quot;);                 return;             }              int pid = Int32.Parse(args[0]);              try             {                 string channelName = null;                 RemoteHooking.IpcCreateServer&lt;InjectorInterface&gt;(ref channelName, WellKnownObjectMode.SingleCall);                  RemoteHooking.Inject(                    pid,                    InjectionOptions.DoNotRequireStrongName,                    &quot;WinSockSpy.dll&quot;,                    &quot;WinSockSpy.dll&quot;,                     channelName);                  Console.ReadLine();             }             catch (Exception ex)             {                 Console.WriteLine(&quot;An error occured while connecting to target: {0}&quot;, ex.Message);             }         }     } } <\/code><\/pre>\n<p>  <b>\u041a\u043e\u0434 \u0441\u0430\u043c\u043e\u0439 DLL, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0431\u0443\u0434\u0435\u0442 \u0438\u043d\u0436\u0435\u043a\u0442\u0438\u0442\u044c\u0441\u044f \u0432 \u0446\u0435\u043b\u0435\u0432\u043e\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441<\/b><\/p>\n<pre><code>using EasyHook; using Sniffer; using System; using System.Collections.Generic; using System.Linq; using System.Runtime.InteropServices; using System.Text; using System.Threading; using System.Threading.Tasks;  namespace WinSockSpy {     public class Main : EasyHook.IEntryPoint     {         public Sniffer.InjectorInterface Interface;         public LocalHook RecvHook;         public LocalHook SendHook;         public LocalHook WSASendHook;         public Stack&lt;Message&gt; Queue = new Stack&lt;Message&gt;();          public Main(RemoteHooking.IContext InContext, String InChannelName)         {             Interface = RemoteHooking.IpcConnectClient&lt;Sniffer.InjectorInterface&gt;(InChannelName);         }          public void Run(RemoteHooking.IContext InContext, String InChannelName)         {             try             {                 RecvHook = LocalHook.Create(                     LocalHook.GetProcAddress(&quot;Ws2_32.dll&quot;, &quot;recv&quot;),                     new DRecv(RecvH),                     this);                  SendHook = LocalHook.Create(                     LocalHook.GetProcAddress(&quot;Ws2_32.dll&quot;, &quot;send&quot;),                     new DSend(SendH),                     this);                  RecvHook.ThreadACL.SetExclusiveACL(new Int32[] { 0 });                 SendHook.ThreadACL.SetExclusiveACL(new Int32[] { 0 });             }             catch (Exception ex)             {                 Interface.Print(ex.Message);                 return;             }              \/\/ Wait for host process termination...             try             {                 while (true)                 {                     Thread.Sleep(500);                      if (Queue.Count &gt; 0)                     {                         Message[] messages = null;                         lock (Queue)                         {                             messages = Queue.ToArray();                             Queue.Clear();                         }                                                  Interface.OnMessages(messages);                     }                     else                     {                         Interface.Ping();                     }                 }             }             catch (Exception)             {                 \/\/ NET Remoting will raise an exception if host is unreachable             }         }          \/\/int recv(         \/\/  _In_  SOCKET s,         \/\/  _Out_ char   *buf,         \/\/  _In_  int    len,         \/\/  _In_  int    flags         \/\/);         [DllImport(&quot;Ws2_32.dll&quot;)]         public static extern int recv(             IntPtr s,             IntPtr buf,             int len,             int flags         );          \/\/int send(         \/\/  _In_       SOCKET s,         \/\/  _In_ const char   *buf,         \/\/  _In_       int    len,         \/\/  _In_       int    flags         \/\/);         [DllImport(&quot;Ws2_32.dll&quot;)]         public static extern int send(             IntPtr s,             IntPtr buf,             int len,             int flags         );          [UnmanagedFunctionPointer(CallingConvention.StdCall,             CharSet = CharSet.Unicode,             SetLastError = true)]         delegate int DRecv(             IntPtr s,             IntPtr buf,             int len,             int flags         );          [UnmanagedFunctionPointer(CallingConvention.StdCall,             CharSet = CharSet.Unicode,             SetLastError = true)]         delegate int DSend(             IntPtr s,             IntPtr buf,             int len,             int flags         );          static int RecvH(             IntPtr s,             IntPtr buf,             int len,             int flags)         {             Main This = (Main)HookRuntimeInfo.Callback;             lock (This.Queue)             {                 byte[] message = new byte[len];                 Marshal.Copy(buf, message, 0, len);                 This.Queue.Push(new Message { Buf = message, Len = len, Type = MsgType.Recv });             }              return recv(s, buf, len, flags);         }          static int SendH(             IntPtr s,             IntPtr buf,             int len,             int flags)         {             Main This = (Main)HookRuntimeInfo.Callback;             lock (This.Queue)             {                 byte[] message = new byte[len];                 Marshal.Copy(buf, message, 0, len);                 This.Queue.Push(new Message { Buf = message, Len = len, Type = MsgType.Send });             }              return send(s, buf, len, flags);         }     } } <\/code><\/pre>\n<p>  \u041a\u043e\u043d\u0435\u0447\u043d\u043e, \u0442\u0443\u0442 \u0435\u0449\u0451 \u0435\u0441\u0442\u044c, \u043d\u0430\u0434 \u0447\u0435\u043c \u043f\u043e\u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c:  <\/p>\n<ul>\n<li>\u0412\u043e-\u043f\u0435\u0440\u0432\u044b\u0445, \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442 <a href=\"https:\/\/msdn.microsoft.com\/en-us\/library\/windows\/desktop\/ms741688(v=vs.85).aspx\">WSARecv<\/a>, <a href=\"https:\/\/msdn.microsoft.com\/en-us\/library\/windows\/desktop\/ms742203(v=vs.85).aspx\">WSASend<\/a> \u0438 \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0434\u0440\u0443\u0433\u0438\u0445 \u0444\u0443\u043d\u043a\u0446\u0438\u0439, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u043e\u0433\u0443\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u0432 \u0446\u0435\u043b\u0435\u0432\u044b\u0445 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f\u0445<\/li>\n<li>\u0412\u043e-\u0432\u0442\u043e\u0440\u044b\u0445, \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u0435 GUI \u0438 \u00ab\u0441\u0442\u0440\u043e\u043a\u043e\u0432\u043e\u0433\u043e\u00bb \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0447\u0435\u043d\u043d\u044b\u0445 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0439<\/li>\n<li>etc<\/li>\n<\/ul>\n<p>  \u041e\u0434\u043d\u0430\u043a\u043e \u043f\u0440\u043e\u0434\u0435\u043c\u043e\u043d\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0437\u0434\u0435\u0441\u044c \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b\u0430 \u0431\u044b\u043b\u043e \u0432\u043f\u043e\u043b\u043d\u0435 \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0434\u043b\u044f \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u043f\u043e\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u043d\u043e\u0439 \u043f\u0435\u0440\u0435\u0434\u043e \u043c\u043d\u043e\u0439 \u0437\u0430\u0434\u0430\u0447\u0435\u0439, \u0430 \u043e\u0441\u0442\u0430\u043b\u044c\u043d\u043e\u0435 \u0443\u0436\u0435 \u043e\u0441\u0442\u0430\u0451\u0442\u0441\u044f \u043d\u0430 \u0443\u0441\u043c\u043e\u0442\u0440\u0435\u043d\u0438\u0435 \u0447\u0438\u0442\u0430\u0442\u0435\u043b\u0435\u0439.<\/p>\n<h3>\u041f\u043e\u0441\u043b\u0435\u0441\u043b\u043e\u0432\u0438\u0435<\/h3>\n<p>  \u0418\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0435 \u0438 \u043c\u043e\u0434\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f \u0431\u0438\u043d\u0430\u0440\u043d\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 \u043d\u0435 \u0432\u0441\u0435\u0433\u0434\u0430 \u0434\u0430\u0451\u0442 \u043c\u043e\u043c\u0435\u043d\u0442\u0430\u043b\u044c\u043d\u044b\u0439 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442, \u043a\u0430\u043a \u044d\u0442\u043e \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u043b\u043e\u0441\u044c \u0432 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0438\u0445 \u043c\u043e\u0438\u0445 \u0441\u0442\u0430\u0442\u044c\u044f\u0445 (\u0435\u0441\u043b\u0438 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e, \u0447\u0438\u0442\u0430\u0439\u0442\u0435 \u043e\u0431 \u044d\u0442\u043e\u043c <a href=\"http:\/\/habrahabr.ru\/post\/257125\/\">\u0442\u0443\u0442<\/a> \u0438 <a href=\"http:\/\/habrahabr.ru\/post\/257591\/\">\u0442\u0443\u0442<\/a>), \u0442\u0430\u043a \u0447\u0442\u043e \u0438\u043d\u043e\u0433\u0434\u0430 \u043f\u0440\u0438\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0432\u0435\u0440\u043d\u0443\u0442\u044c\u0441\u044f \u0432 \u0441\u0430\u043c\u043e\u0435 \u043d\u0430\u0447\u0430\u043b\u043e \u0438 \u0438\u0437\u043c\u0435\u043d\u0438\u0442\u044c \u0441\u0432\u043e\u0439 \u043f\u043e\u0434\u0445\u043e\u0434 \u043a \u0440\u0435\u0448\u0435\u043d\u0438\u044e \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u044b. \u041d\u043e \u0432 \u044d\u0442\u043e\u043c \u043d\u0435\u0442 \u0430\u0431\u0441\u043e\u043b\u044e\u0442\u043d\u043e \u043d\u0438\u0447\u0435\u0433\u043e \u043d\u0435\u043d\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u2014 \u043a\u0430\u043a \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e, \u043b\u044e\u0431\u043e\u0439 \u043e\u043f\u044b\u0442 \u043f\u043e\u043b\u0435\u0437\u0435\u043d, \u0430 \u0440\u0435\u0432\u0435\u0440\u0441-\u0438\u043d\u0436\u0438\u043d\u0438\u0440\u0438\u043d\u0433 \u2014 \u043d\u0435 \u0438\u0441\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435.<\/p>\n<p>  \u0421\u043f\u0430\u0441\u0438\u0431\u043e \u0437\u0430 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435, \u0438 \u0441\u043d\u043e\u0432\u0430 \u043d\u0430\u0434\u0435\u044e\u0441\u044c, \u0447\u0442\u043e \u0441\u0442\u0430\u0442\u044c\u044f \u043e\u043a\u0430\u0437\u0430\u043b\u0430\u0441\u044c \u043a\u043e\u043c\u0443-\u043d\u0438\u0431\u0443\u0434\u044c \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0439.     \t<\/p>\n<div class=\"clear\"><\/div>\n<p> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"http:\/\/habrahabr.ru\/post\/259459\/\"> http:\/\/habrahabr.ru\/post\/259459\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>     \t<img decoding=\"async\" src=\"https:\/\/hsto.org\/files\/54b\/c68\/751\/54bc687514bf42f3bcc6deeeef9a7637.png\" alt=\"image\"\/><\/p>\n<p>  \u0414\u0443\u043c\u0430\u044e, \u0447\u0442\u043e \u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u043e \u0438\u0437 \u043c\u0435\u0441\u0442\u043d\u044b\u0445 \u043e\u0431\u0438\u0442\u0430\u0442\u0435\u043b\u0435\u0439 \u0437\u043d\u0430\u043a\u043e\u043c\u044b \u0441 \u043f\u043e\u043d\u044f\u0442\u0438\u0435\u043c <a href=\"https:\/\/ru.wikipedia.org\/wiki\/\u0410\u043d\u0430\u043b\u0438\u0437\u0430\u0442\u043e\u0440_\u0442\u0440\u0430\u0444\u0438\u043a\u0430\">\u0441\u043d\u0438\u0444\u0444\u0435\u0440\u0430<\/a>. \u041d\u0435\u0441\u043c\u043e\u0442\u0440\u044f \u043d\u0430 \u0442\u043e, \u0447\u0442\u043e \u043a\u043e\u043d\u0435\u0447\u043d\u0430\u044f \u0446\u0435\u043b\u044c \u0443 \u043d\u0438\u0445 \u043e\u0434\u043d\u0430 \u0438 \u0442\u0430 \u0436\u0435 (\u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442 \u043f\u0430\u043a\u0435\u0442\u043e\u0432, \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0445 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0451\u043d\u043d\u044b\u043c \u043a\u0440\u0438\u0442\u0435\u0440\u0438\u044f\u043c), \u0434\u043e\u0441\u0442\u0438\u0433\u0430\u044e\u0442 \u043e\u043d\u0438 \u0435\u0451 \u0441\u043e\u0432\u0435\u0440\u0448\u0435\u043d\u043d\u043e \u0440\u0430\u0437\u043d\u044b\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c. \u041a\u0430\u043a\u043e\u0439-\u0442\u043e \u0441\u043e\u0444\u0442 \u0441\u043b\u0443\u0448\u0430\u0435\u0442 \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u0439 \u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, <a href=\"https:\/\/www.wireshark.org\/\">Wireshark<\/a>, \u0433\u0434\u0435 \u044d\u0442\u043e \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043e \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 <a href=\"http:\/\/en.wikipedia.org\/wiki\/Pcap\">Pcap<\/a>), \u0430 \u043a\u0430\u043a\u043e\u0439-\u0442\u043e \u2014 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u0432\u044b\u0437\u043e\u0432\u044b \u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0445 \u0437\u0430 \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435 \u0441 \u0441\u0435\u0442\u044c\u044e WinAPI-\u0444\u0443\u043d\u043a\u0446\u0438\u0439. \u0418 \u0443 \u0442\u043e\u0433\u043e, \u0438 \u0443 \u0434\u0440\u0443\u0433\u043e\u0433\u043e \u043c\u0435\u0442\u043e\u0434\u0430 \u0435\u0441\u0442\u044c \u0441\u0432\u043e\u0438 \u043f\u043b\u044e\u0441\u044b \u0438 \u043c\u0438\u043d\u0443\u0441\u044b, \u043e\u0434\u043d\u0430\u043a\u043e \u0435\u0441\u043b\u0438 \u043f\u043e \u0437\u0430\u0434\u0430\u0447\u0435 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442 \u043f\u0430\u043a\u0435\u0442\u043e\u0432 \u043e\u0442 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u043e\u0433\u043e \u0437\u0430\u0440\u0430\u043d\u0435\u0435 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e\u0433\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u0442\u043e \u0432\u0442\u043e\u0440\u043e\u0439 \u0432\u0430\u0440\u0438\u0430\u043d\u0442, \u043a\u0430\u043a \u043f\u0440\u0430\u0432\u0438\u043b\u043e, \u0431\u0430\u043d\u0430\u043b\u044c\u043d\u043e \u0443\u0434\u043e\u0431\u043d\u0435\u0435. \u0412 \u044d\u0442\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u043d\u0435\u0442 \u043d\u0443\u0436\u0434\u044b \u0443\u0437\u043d\u0430\u0432\u0430\u0442\u044c IP-\u0430\u0434\u0440\u0435\u0441\u0430 \u0438 \u043f\u043e\u0440\u0442\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0434\u0430\u043d\u043d\u0430\u044f \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430 (\u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e \u0443\u0447\u0438\u0442\u044b\u0432\u0430\u044f \u0442\u043e\u0442 \u0444\u0430\u043a\u0442, \u0447\u0442\u043e \u0438\u0445 \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u043c\u043d\u043e\u0433\u043e), \u0438 \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u043e\u0441\u0442\u043e \u0441\u043a\u0430\u0437\u0430\u0442\u044c \u00ab\u044f \u0445\u043e\u0447\u0443 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u0442\u044c \u0432\u0441\u0435 \u043f\u0430\u043a\u0435\u0442\u044b \u0432\u043e\u0442 \u044d\u0442\u043e\u0433\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f\u00bb. \u0423\u0434\u043e\u0431\u043d\u043e, \u043d\u0435 \u043f\u0440\u0430\u0432\u0434\u0430 \u043b\u0438?<\/p>\n<p>  \u041f\u043e\u0436\u0430\u043b\u0443\u0439, \u0441\u0430\u043c\u044b\u043c \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u044b\u043c \u043d\u0430 \u0441\u0435\u0433\u043e\u0434\u043d\u044f\u0448\u043d\u0438\u0439 \u0434\u0435\u043d\u044c \u0441\u043d\u0438\u0444\u0444\u0435\u0440\u043e\u043c, \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0449\u0438\u043c \u043f\u043e \u043f\u0440\u0438\u043d\u0446\u0438\u043f\u0443 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0430 \u0432\u044b\u0437\u043e\u0432\u043e\u0432 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0451\u043d\u043d\u044b\u0445 WinAPI-\u0444\u0443\u043d\u043a\u0446\u0438\u0439, \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f <a href=\"http:\/\/wpepro.net\/\">WPE Pro<\/a>. \u0412\u043e\u0437\u043c\u043e\u0436\u043d\u043e, \u043c\u043d\u043e\u0433\u0438\u0435 \u0438\u0437 \u0432\u0430\u0441 \u0441\u043b\u044b\u0448\u0430\u043b\u0438 \u043e \u043d\u0451\u043c \u043d\u0430 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0445 \u0444\u043e\u0440\u0443\u043c\u0430\u0445, \u043f\u043e\u0441\u0432\u044f\u0449\u0451\u043d\u043d\u044b\u0445 \u043e\u043d\u043b\u0430\u0439\u043d-\u0438\u0433\u0440\u0430\u043c, \u0432\u0435\u0434\u044c \u0438\u043c\u0435\u043d\u043d\u043e \u0434\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u043f\u0440\u0435\u0438\u043c\u0443\u0449\u0435\u0441\u0442\u0432 \u0432 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0445 \u0438\u0433\u0440\u0430\u0445 \u044d\u0442\u043e\u0442 \u0441\u043d\u0438\u0444\u0444\u0435\u0440 \u0432 \u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u0435 \u0441\u043b\u0443\u0447\u0430\u0435\u0432 \u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f. \u0421\u0432\u043e\u044e \u0437\u0430\u0434\u0430\u0447\u0443 \u043e\u043d \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u043f\u0440\u0435\u043a\u0440\u0430\u0441\u043d\u043e, \u043e\u0434\u043d\u0430\u043a\u043e \u0443 \u043d\u0435\u0433\u043e \u0435\u0441\u0442\u044c \u043e\u0434\u0438\u043d \u043d\u0435\u043f\u0440\u0438\u044f\u0442\u043d\u044b\u0439 \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u043a \u2014 \u043e\u043d \u043d\u0435 \u0443\u043c\u0435\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 64-\u0431\u0438\u0442\u043d\u044b\u043c\u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f\u043c\u0438. \u0422\u0430\u043a \u0443\u0436 \u0432\u044b\u0448\u043b\u043e, \u0447\u0442\u043e \u043f\u043e \u043e\u0434\u043d\u043e\u0439 \u0438\u0437 \u0432\u043e\u0437\u043d\u0438\u043a\u0448\u0438\u0445 \u0437\u0430\u0434\u0430\u0447 \u043c\u043d\u0435 \u043a\u0430\u043a \u0440\u0430\u0437 \u043f\u043e\u043d\u0430\u0434\u043e\u0431\u0438\u043b\u043e\u0441\u044c \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u0442\u044c \u043f\u0430\u043a\u0435\u0442\u044b \u043e\u0442 64-\u0431\u0438\u0442\u043d\u043e\u0433\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u0438 \u044f \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u043b \u0432 \u0441\u0442\u043e\u0440\u043e\u043d\u0443 Wireshark. \u041a \u0441\u043e\u0436\u0430\u043b\u0435\u043d\u0438\u044e, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0435\u0433\u043e \u0432 \u0434\u0430\u043d\u043d\u043e\u0439 \u0441\u0438\u0442\u0443\u0430\u0446\u0438\u0438 \u0431\u044b\u043b\u043e \u043d\u0435 \u043e\u0447\u0435\u043d\u044c \u0443\u0434\u043e\u0431\u043d\u043e \u2014 \u0438\u0441\u0441\u043b\u0435\u0434\u0443\u0435\u043c\u043e\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u043b\u043e \u0434\u0430\u043d\u043d\u044b\u0435 \u043d\u0430 \u0440\u0430\u0437\u043d\u044b\u0435 IP-\u0430\u0434\u0440\u0435\u0441\u0430, \u043a\u0430\u0436\u0434\u044b\u0439 \u0440\u0430\u0437 \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u044f \u043d\u043e\u0432\u044b\u0439 \u043f\u043e\u0440\u0442. \u041f\u043e\u0433\u0443\u0433\u043b\u0438\u0432 \u043d\u0435\u043c\u043d\u043e\u0433\u043e, \u044f \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b, \u0447\u0442\u043e \u0433\u043e\u0442\u043e\u0432\u044b\u0445 \u0430\u043d\u0430\u043b\u043e\u0433\u043e\u0432 WPE Pro \u0441 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u043e\u0439 x64 \u043d\u0435\u0442 (\u0435\u0441\u043b\u0438 \u043e\u043d\u0438 \u0432\u0441\u0451 \u0436\u0435 \u0435\u0441\u0442\u044c, \u0431\u0443\u0434\u0443 \u043f\u0440\u0438\u0437\u043d\u0430\u0442\u0435\u043b\u0435\u043d \u0437\u0430 \u0441\u0441\u044b\u043b\u043a\u0438 \u0432 \u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u044f\u0445 \u2014 \u043e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435, \u0447\u0442\u043e \u0440\u0435\u0447\u044c \u0438\u0434\u0451\u0442 \u043e Windows). \u0410\u0432\u0442\u043e\u0440 WPE Pro \u043d\u0435 \u043e\u0441\u0442\u0430\u0432\u0438\u043b \u043d\u0438\u043a\u0430\u043a\u0438\u0445 \u043a\u043e\u043d\u0442\u0430\u043a\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u043d\u0430 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u043c \u0441\u0430\u0439\u0442\u0435 \u0438 \u0432 \u0441\u0430\u043c\u043e\u043c \u0441\u043d\u0438\u0444\u0444\u0435\u0440\u0435, \u0442\u0430\u043a \u0447\u0442\u043e \u044f \u043f\u0440\u0438\u043d\u044f\u043b \u0440\u0435\u0448\u0435\u043d\u0438\u0435 \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u0442\u044c\u0441\u044f \u0432 \u044d\u0442\u043e\u043c \u0432\u043e\u043f\u0440\u043e\u0441\u0435 \u0441\u0430\u043c\u043e\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u043e.<\/p>\n<p>  \u041a\u0430\u043a \u043f\u0440\u043e\u0442\u0435\u043a\u0430\u043b \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u0438 \u0447\u0442\u043e \u0438\u0437 \u044d\u0442\u043e\u0433\u043e \u0432\u044b\u0448\u043b\u043e, \u0447\u0438\u0442\u0430\u0439\u0442\u0435 \u043f\u043e\u0434 \u043a\u0430\u0442\u043e\u043c.  <\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-258778","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/258778","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=258778"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/258778\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=258778"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=258778"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=258778"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}