Какой лучше?

Вот, выбирай. Снифферы.

Решение нашел сам с помощью антересной программки TCP Logger http://www.westbrooksoftware.com

запнулся на следующем шаге - как подменить ответ сервера?

>>как подменить ответ сервера?

Для этого придется написать программку которая будет принимать запрос твоей проги и отвечать так как тебе охота.
А что бы софтина конектилась именно к твоей проге, занеси в файл hosts запись вида
program.need.address.com  127.0.0.1
То есть прога будет конектится на твой локальный айпи.

Вообще-то, определи, через что работает прога. Как правило это ws2_32.dll -- WinSock 2;
Пишешь свою ws2_32.dll с таким-же набором функций-заглушек, что и оригинальная и кладешь в папку проги.
Второе -- метод InjectDll основанный на подмене адресов connect()/send()/recv() в таблице импорта проги в момент её запуска.

Что делать в перехватчиках connect() / send() / recv() думаю понимаешь =)


P.S. Если пойдешь этим путем -- иди на RSDN.RU -- там народ подкованный, скажет как это делается.

Это означает, что он ломится по ip и gethostbyname не делает или делает запросом к внешнему DNS-серверу.

Это ты на этом форуме Newbee и то, только из-за того, что постов меньше 50.
А прога есть - сниффер называется.

У тебя в первом посту написано что на УРЛ она лезет
так вот если напишешь в hosts
url  127.0.0.1
то она будет лезть на твой IP

>>hosts служит для Name Resolution, а не урлов

Сам понял что написал? DNS - это и есть name resolution.
И ниже -
Перевожу вольным стилем:
Самый простой способ распознания имени узла в айпи адрес - использование локальной БД-файла (hosts) который содержит соответствия имен их айпи адресам.

Пропиши в hosts запись и попробуй пингани - все поймешь. А вариант не прокатывает изза кривизны прокладки и рук.