• XSS.stack #1 – первый литературный журнал от юзеров форума

rohitab API Monitor

Отслеживать
karabas-barabas

karabas-barabas

(L1) cache
Пользователь
Регистрация
18.07.2006
Сообщения
650
Реакции
5
давно приметил довольно таки неплохую тулзу с сайта rohitab.com - API Monitor , но на win7 довольно таки нестабильно функционал работает, еще так-сяк с процессами запущенными через эту прогу , а вот с существующими просто беда какая-то - один раз через 3 ловит , не все API и много пропусков , к тому же перехват основан на патчинге IAT, что само собой далеко от идеала.
У кого-то она корректно работает ? Есть ли достойная подобная замена этой проге вообще ?
 
Наверно только это: http://blackninja2000.narod.ru/rus/api_logger.html
Хорош во всём,использует сплайсинг,патчится первые 5 байт пролога функции
на обработчик перехвата,но не работает с внешними процессами.В остальном,лучшего
пожалуй не пожелаеш.
 
видел этот софт, но смотрю что функционал наверное не сильно устроит - хотя бы из-за того что внешние процессы мониторить не может, да и структура софта, конечно далеко от Pro , х.з. наверно olly придется заюзать несмотря на минусы...
кстати нубский вопрос - если ольгой приатачился , возможно ли как-то сделать безболезненный deattach от процесса, не грохнув его ?
 
не, это не из этой оперы прога совсем
Почему не из этой? Запускаешь процесс через это программу и в логе отображаются вызовы API.

Пример части лога:

Код: 
GetProcAddress(0x742A0000 [UXTHEME.DLL], 0x0000004B) called from "COMCTL32.DLL" at address 0x7436F2FC and returned 0x742D1923.
GetProcAddress(0x742A0000 [UXTHEME.DLL], "BufferedPaintStopAllAnimations") called from "COMCTL32.DLL" at address 0x7436F2FC and returned 0x742BD395.
GetProcAddress(0x742A0000 [UXTHEME.DLL], "BufferedPaintUnInit") called from "COMCTL32.DLL" at address 0x7436F2FC and returned 0x742A94AB.
 
File -> Detach?
хе, нигде не увидел такого , в разных сборках смотрел - Snd , UST и т.д. только FILE->Attach , также когда и к другому процессу присоединился. Если несложно - можешь скрин кинуть ?! :)
 
хе, нигде не увидел такого , в разных сборках смотрел - Snd , UST и т.д. только FILE->Attach , также когда и к другому процессу присоединился. Если несложно - можешь скрин кинуть ?! smile.gif
OllyDbg v 2.00.01. Detach появляется после того как присоединился к процессу.
 
Почему не из этой? Запускаешь процесс через это программу и в логе отображаются вызовы API.

Пример части лога:
она кроме Loadlibrary и Getprocaddress еще что-то ловит вообще ? :)
например мне нужно - посмотреть к каким файлам обращается процесс, то есть перехватить CreateFileW

ага понял получается в olly < 2 версии , такой фичи нет , это только во 2-й , а 2-ю я соответственно не юзаю - т.к. сырая и плагинов к ней нет
 
она кроме Loadlibrary и Getprocaddress еще что-то ловит вообще ? smile.gif
например мне нужно - посмотреть к каким файлам обращается процесс, то есть перехватить CreateFileW
Procmon не подходит?

ага понял получается в olly < 2 версии , такой фичи нет , это только во 2-й , а 2-ю я соответственно не юзаю - т.к. сырая и плагинов к ней нет
Есть стабильная 2-я версия: ollydbg. Но с плагинами беда :) Версия 1.10 вешается на многоядерных CPU.
 
Procmon не подходит?
не , это все не то - как я смогу посмотреть аргументы функций напр ZwSetThreadContext, CsrClientCallServer или OpenThread .
также есть еще Blade Api Monitor , apimonitor.com ну и windbg можно заюзать также , позжее познакомлюсь поподробнее с этим софтом.
 
Blade Api Monitor - тестил эту шнягу, атач к explorer.exe и он у меня слетел на виртуалке , интерфейс убогий, неудобный и т.д. вцелом впечатления не очень положительные остались... хотя наград у софта - хуева туча.

Windbg - также пробовал , на основе logexts.dll - опять же выбирать можно только по категориям, а не по отдельной API - ну нах такое нужно в километровых логах по нескольким модулям все вызовы api просматривать, если мне нужно только одну функцию перехватить. Кроме того хуки на основе IAT mod , ну если я в своем софте буду вызывать функи через MyGetProcAddress - то грош цена этому модулю. Через раз слетало при хуках. Хотя софт очень большой и многофункциональный , я не исключаю вариант что можно как-то там придумать что-то, но практического материала очень мало по windbg , он разбросан по многим неудобным хэлпам, и там черт ногу сломит что и как юзать. Хотя если нет прямого решения, то можно через скрипты написать реализацию , но это уже отдельная тема. К тому же над процессом висит отладчик который может быть задетекчен.

apimonitor.com - это уже что-то похожее на тру apimonitor , мой небольшой тест она прошла - приатачился к explorer и перехватывал создание процесса. Интерфейс один в один как у HTTP Analyzer - а эту тузку , сам иногда юзаю и вроде полет нормальный.
Один большой минус - она триальная , и нигде крэка на нее не нашел
 
apimonitor.com - это уже что-то похожее на тру apimonitor , мой небольшой тест она прошла - приатачился к explorer и перехватывал создание процесса. Интерфейс один в один как у HTTP Analyzer - а эту тузку , сам иногда юзаю и вроде полет нормальный.
Один большой минус - она триальная , и нигде крэка на нее не нашел
а крак от HTTP Analyzer не подходит? :D
 
API Monitor full version:
спс, все подошло , я так понимаю что серийник от http анализатора подошел ? но на этом вся радость и закончилась - 3 раза тестил на win7 перехват kernelbase!CreateFileW - и все 3 раза исследуемая прога ушла в вечный глюк , так что забираю свои слова по поводу навороченности apimonitor.com :)
на очереди uhooker
 
проверил также uhooker - не удалось мне увидеть его норм работу , даже на оф сайте написано что может не работать.
Как мне кажется , что авторы этих тулз пихают слишком много кода в обработчик перехватов, кроме самого перехвата он парсит файлы данных (структуры, описание api), скидывает дамп входящих параметров, обменивается данными с GUI процессом, который выводит результаты - если поставить на перехват много api одновременно - так это вообще ахтунг будет в этом случае
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх