У меня есть два локальных процесса, которые общаются, чтобы позволить другим выполнять команды. И я хочу знать, о чем они говорят.
После некоторого первого исследования, речь идет не о Sockets или Loopback, но кажется, что они используют (named-)pipes (по крайней мере, оба открыли несколько из них, не могу сказать, совпадают ли они).
Как я могу понюхать всю эту связь между этими процессами?
Wireshark может прослушивать именованные каналы, как описано в этой статье :
До конвейеров Wireshark мог читать захваченные пакеты для отображения либо из файла (который был ранее создан), либо из сетевого интерфейса (в режиме реального времени). Поскольку каналы поддерживаются, Wireshark также может читать пакеты из другого приложения и отображать их в реальном времени.
Есть некоторые ограничения, о которых вы должны знать:
- Это работает только со стандартом де-факто версии libpcap версии 2.4, как описано в Development/LibpcapFileFormat. Некоторые другие форматы могут работать теоретически, но это не было проверено.
- Захват из канала неудобен, потому что вам нужно настроить канал и поместить заголовок файла в канал, прежде чем вы сможете начать захват. Несколько исправлений были отправлены по почте в список разработчиков, которые могут решить эту проблему, поэтому, если вы находите подход неудобным, попробуйте исправления.
- Именованный канал не указан в раскрывающемся списке выбора интерфейса и должен быть введен в поле интерфейса. В Windows его нужно набирать медленно (или вставлять).
После того, как вы попробуете это, или узнаете, какие упомянутые патчи, или свяжитесь с автором вышеупомянутой статьи, все еще остается проблема знания имени канала, которая чудесным образом решается (снова) sysinternals Утилита PipeList :
Что вас также может удивить, так это то, что можно получить список каталогов именованных каналов, определенных в системе. Этот факт не задокументирован, и это невозможно сделать с помощью Win32 API.
Другим решением может быть коммерческий продукт I/O Ninja (30 долларов, доступна пробная версия).
