Как узнать куда и какая информация уходит от программы?

Question

[QWATRIX]

Дело в том, что я уже долгое время ищу программу, которая смогла бы качественно показать какая программа куда отправляет данные.

Есть BURP он показывает далеко не все запросы, и больше подходит под сайты. Много программ там попросту не появляются.

Есть Wireshark, но он не подходит, тк нужно знать именно на какой адрес отправляется информация.
Например: test.ru/analytics
А Wireshark показывает только IP адрес.

Хочу найти способ узнать на какой адрес какая программа передает свои данные.
Помогите, пожалуйста.

Надо что-то среднее между BURP и Wireshark

Answer 1

[ky0]

А Wireshark показывает только IP адрес.

Неправда, в HTTP-взаимодействии всегда фигурирует URL. Другое дело, если это HTTPS - тогда добавляются приседания с расшифровкой.

Comments

[QWATRIX]

А ну ошибся, в любом случае Wireshark не показывает HTTPS трафик. Это очень плохо.

[ky0]

QWATRIX, просто так HTTPS вам не покажет никто - либо устраивать mitm, подсовывая свой корневой сертификат в доверенные, либо добавлять в Wireshark ключи шифрования.

Ну, или (что возможно не всегда) дампить до момента шифровки.

[CityCat4]

QWATRIX, wireshark не предназначен для перехвата https трафика - а без перехвата https не показать никак, от слова совсем. Он же и придуман был чтобы перехватить было нельзя. Нужен локальный прокси, подсовывающий программе фиктивный сертификат, который она принимает за доверенный.

[QWATRIX]

CityCat4, это верно, но мне нужно как то узнать что передает программа, а как это сделать я не знаю((

[CityCat4]

QWATRIX, Никак. Только пропускать запросы через подобный прокси. https был специально придуман, чтобы нельзя было увидеть что передает программа при простом перехвате.

[DevMan]

ky0 http(s) – совсем не единственный способ сетевого общения.

[ky0]

DevMan, топикстартер наверняка упомянул бы об этом, рассказывая про урл.

[DevMan]

ky0, test.ru/analytics – всего лишь адрес. я могу лить на него трафик в любом формате.

[ky0]

DevMan, вы умничаете или чего? Мы с ТСом уже поговорили по поводу HTTPS-сертификатов, поняли друг друга и разошлись довольные.

И тут на сцену выскакиваете вы в костюме Капитана Очевидность :)

[DevMan]

ky0, я не гадалка, и понятия не имею о чем вы поговорили с ТС'ом.

Answer 2

[Nikita]

Fiddler

Comments

[QWATRIX]

Чекнул, но к сожалению он тоже не все показывает(

[Nikita]

QWATRIX, Скорее всего вы что-то делаете не правильно. Я им даже https снифил с телефона, а у вас урл хттп не показывается.

[QWATRIX]

Nikita, буду пробовать, но то что делает одна программа все равно не хочет показывать(
Молчит как и BURP

[Александр]

Nikita,
-Я им даже https снифил с телефона
Можно поподробнее расписать процесс?
Спасибо!

[Nikita]

Александр, Экспортируете CA из fiddler'а, устанавливаете его в телефон, во вкладке Options, в разделе https ставите галочки "Capture HTTPS connects" и "Decrypt HTTPS traffic" в дропдауне from remote clients only. И по идее все, но не все приложения поддерживают.

[Александр]

Понял.
Благодарю за развернутый ответ!

Answer 3

[Reikoemco]

Glasswire

Comments

[QWATRIX]

Он не показывает что идет после домена, только домен.

[Reikoemco]

QWATRIX, тестил подключение к кубу данных в excel. Показывал вплоть до хоста

[QWATRIX]

Так там хост показывает, но не показывает что после /
Типа /text.php