如何防止嗅探器的探测？

Posted 2023-05-05

嗅探器程序一般是不可能被检测到的，属于被动触发的。只会收数据包。通过ping可以检测。首先定位你怀疑的机器，然后找出网卡物理地址。前提是在局域网中。然后ping它。每台计算机的MAC地址无法与这个数据中的目的MAC相符。这个包被丢弃了。如果有回答包没有丢，就是说明有嗅探器存在。 参考技术A 由于以太网等很多网络（常见共享HUB连接的内部网）是基于总线方式，物理上是广播的，就是一台机器发给另一台机器的数据，共享HUB先收到然后把它接收到的数据再发给其他所有的端口，共享HUB连接的同一网段的所有机器的网卡都能接收到数据。显然，共享HUB的工作模式使得两台机器传输数据的时候别的端口也占用了，因此共享HUB决定了同一网段同一时间只能有两台机器进行数据通信。
网卡收到传输来的数据（网络体系结构中称为"帧"），网卡内的固化程序先接收数据头的目的MAC地址，判断是否与自己的地址相同，如果相同，就接收下来存在网卡的缓冲区中，然后产生中断信号通知CPU；如果不同就丢弃，所以不该接收的数据到达网卡后就截断了，计算机根本不知道。CPU得到中断信号后产生中断，操作系统根据网卡驱动程序设置的网卡中断程序地址调用驱动程序接收数据，接收的数据放入堆栈让操作系统处理。 参考技术B 嗅探器的使用必须有WinPcap支持，首先定位你怀疑的机器。然后找WinPcap的文件。如果有说明这个机器是被安装嗅探了。前提是在局域网中。

附加到进程的 Windows 网络嗅探器

【中文标题】附加到进程的 Windows 网络嗅探器

【英文标题】：Network Sniffer for Windows that attaches to a process

【发布时间】：2012-04-14 12:27:38

【问题描述】：

我需要网络嗅探器，它可以将自身附加到 Windows 7 中的进程并通过它的网络进行嗅探，例如......它将数据包发送到数据包包含的数据包它接收的数据包基本上是所选之间的所有网络流量进程和它发送数据包的服务器。

我已经下载了 Rawcap 和 SmartSniff 等工具，但它们要么无法按预期工作，要么在尝试附加到进程时抛出一些错误。

我也尝试过wireshark，但它会嗅探我的整个流量，而不是每个进程库

【参考方案1】：

我知道一个免费软件 Capsa Free 可以满足您的需求。但他们要求您注册下载。 http://www.colasoft.com/download/products/capsa_free.php

【参考方案2】：

所以你正在寻找类似 Unix 的 'strace' 命令 :) 请在此处找到 Microsoft Process Monitor：http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx，也可以试试 xperf：http://msdn.microsoft.com/en-us/library/ff190983%28VS.85%29.aspx

祝你好运！ :)

【讨论】：

我不明白如何将进程监视器附加到仅 1 个进程 O_O 这也使我的 PC 不稳定。

好的，我找到了我正在寻找的应用程序wpepro.net希望我将来能帮助别人