嗅探进程间通信

Question

我有两个应用程序（.exe）在同一台计算机（Windows XP x86）上运行，并且我知道它们正在相互通信（我不知道如何，我没有编写它们）。我想找到一种方法来嗅探应用程序之间的通信。有办法做到这一点吗？

我已经对 ProMon 做了一些混乱，我可能可以从那里弄清楚，但我想知道是否有一些更具体的东西可以达到这个目的。 ProMon 可能有点吓人。

Answer 1

首先，您可以使用系统调用跟踪器来监视两个应用程序，例如 StraceNT（或查看此问题）。如果运气好的话，您应该能够确定进程是否通过本地套接字、TCP 连接（无疑是通过 localhost）、管道、命名文件或共享内存进行通信。

您还可以在应用程序运行时运行 netstat 以查看它们是否打开任何网络端口。

一旦您知道自己在寻找什么，您就可以选择更具体的监控工具。如果是网络通信（即使是通过环回接口），您可以尝试使用 WinDump。如果通信是通过共享内存进行的，您可以将调试器附加到两个进程之一并定期检查共享内存。