[原创]SoftSnoop2010-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]SoftSnoop2010

发表于: 2010-1-31 09:02 26309

[原创]SoftSnoop2010

红尘岁月

2010-1-31 09:02

26309

20100131主程序我已经用mfc方式重写了，SDK方式维护太麻烦了。当然有些功能我还没有加上（如内存查看窗口，插件等），有些功能我就除掉了（如原有脱壳、断点等）

年初工作很忙，没有时间仔细调试，如果程序有什么bug，请大家谅解并跟贴说明。

首先：非常感谢原作者yoda/f2f提供了这么好的工具，并慷慨地公布了源代码；
其次：非常感谢大虾hmilyyang，因为他让我有机会接触SoftSnoop并加以修改。
大虾hmilyyang的原文
http://bbs.pediy.com/showthread.php?t=55974

更新说明：
20090621：添加了vb事件解析，MFC动态链接方式的虚函数与消息映射表的解析，更新了"不报告这些区间API"不生效的问题。选项中添加"显示MFC、vb等详细信息"。
20090710：添加了Delphi对象解析
20091119：对vb头文件进行详细的解析，更新了展示结构等等
20100131：增加了对MFC42库动态与静态链接方式对象与消息映射表的解析（暂时只处理mfc42/mfc42d库），其中MFC库静态链接方式解析是要配合IDA的map文件

使用说明：
SoftSnoop2009应用一：如何跟踪加壳程序
 SoftSnoop2009应用二：详细解析vb头结构

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

SoftSnoop2010V0.4.rar （892.12kb，596次下载）

收藏・16

免费・7

支持

最新回复 (55) 1 2 3 ▶
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 2 楼案例详见附件上传的附件： vc6.0_mfc静态案例.rar （97.37kb，248次下载） 2010-1-31 09:04 0
neu 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 26 粉丝 0 关注私信	neu 3 楼希望能够支持windows 7下运行 2010-1-31 09:15 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 4 楼那肯定要我装了windows 7以后了 2010-1-31 09:47 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 258 关注私信	riusksk 41 5 楼在vista,win7下均无法使用，只能在虚拟机XP下用了 2010-1-31 11:00 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 6 楼是否还是只能在sp2下跑？ 2010-1-31 11:02 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 7 楼我用的系统是2000与xp (sp2)，其它的我没有试过 2010-1-31 16:17 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 8 楼 LZ这么努力.应该推广出去. 请问有英文版了吗? 2010-1-31 17:00 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 9 楼我现在的想法还是写着玩的，只希望初学者破解入门方便点。（不过关心的人好像也不多）暂时没有英文版，谢谢大牛的关注。 2010-1-31 17:08 0
myyv 雪币： 25 活跃值： (477) 能力值： (RANK：20 ) 在线值：发帖 114 回帖 649 粉丝 2 关注私信	myyv 10 楼红尘岁月大峡,武神这个游戏你听说过没,UPX的壳,用你的这个软件附加之后什么显示都没有,两个软件都不受干扰的运行,请问如何让武神被附加之后你的软件可以正常的显示程序正在调用的函数? 2010-1-31 20:19 0
myyv 雪币： 25 活跃值： (477) 能力值： (RANK：20 ) 在线值：发帖 114 回帖 649 粉丝 2 关注私信	myyv 11 楼我很看好这么智能的软件啊,更加详细的告诉我们程序在做什么了,方便调试了,很好的工具啊,加油开发啊,开发成全智能的 2010-1-31 20:21 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 12 楼支持下，收藏个看看怎么用. ^_^ 2010-2-1 11:02 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 13 楼这个很好用很方便收藏感谢红尘岁月了 2010-2-1 12:51 0
GoodGavin 雪币： 119 活跃值： (10) 能力值： ( LV9，RANK：160 ) 在线值：发帖 20 回帖 291 粉丝 0 关注私信	GoodGavin 3 14 楼红尘岁月大侠，SoftSnoop2010V0.4的APISnoop.dll，小红伞杀毒软件报病毒，但是1.3版不报。（当然我不认为他包含病毒，但是否可以改进让杀毒软件不报毒呢？） Virus: TR/ATRAPS.Gen Type: Trojan In the wild: Yes Reported Infections: Low Distribution Potential: Low Damage Potential: Low Static file: No Engine version: 7.08.00.16 Description: A generic detection routine designed to detect common family characteristics shared in several variants. This special detection routine was developed in order to detect unknown variants and will be enhanced continuously. 2010-2-1 13:04 0
星a月雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	星a月 15 楼用过2009的，很不错，谢谢 2010-2-1 14:28 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 16 楼 hook API是大多数病毒经常用到操作，杀毒程序认为它是病毒的变体，也是可以理解的。我不理解小红伞的判断规则，我想我没有那个能力让它不报病，请谅解。 ps:我可以很负责的告诉你：我上传的这个程序是没有病毒的！ 2010-2-1 16:58 0
wqrsksk 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 569 粉丝 0 关注私信	wqrsksk 17 楼为什么没有清空列表这一项了呢? 这个很有用的 2010-2-1 17:19 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 18 楼我从来没有用这个功能，所以没有加。下个版本我会加上这个功能 2010-2-1 17:24 0
langker 雪币： 65 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 199 粉丝 0 关注私信	langker 19 楼好用，下了，3Q 2010-2-5 20:14 0
goodlucky 雪币： 257 活跃值： (28) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 286 粉丝 0 关注私信	goodlucky 2 20 楼非常感谢红尘大侠，测试版很好用，这个再下载收藏！ 2010-2-6 17:09 0
xingbing 雪币： 175 活跃值： (2501) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 21 楼源代码确实不错。 2010-2-6 17:30 0
goodlucky 雪币： 257 活跃值： (28) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 286 粉丝 0 关注私信	goodlucky 2 22 楼感觉比测试版的速度要快。发现一个小问题：LoadIgnoreApi.txt明明就在那里，为什么批量导入时说找不到呢？ 2010-2-6 20:33 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 23 楼我测试了一下，好像没有这个问题 2010-2-8 08:11 0
goodlucky 雪币： 257 活跃值： (28) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 286 粉丝 0 关注私信	goodlucky 2 24 楼不好意思，可能是我有过什么误操作。现在都正常了。 2010-2-8 23:26 0
zoomlp 雪币： 668 活跃值： (812) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 276 粉丝 0 关注私信	zoomlp 25 楼谢谢！！！！！谢谢！！！！！ 2010-2-9 15:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

红尘岁月

发帖

476

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (55) 1 2 3 ▶
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 2 楼案例详见附件上传的附件： vc6.0_mfc静态案例.rar （97.37kb，248次下载） 2010-1-31 09:04 0
neu 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 26 粉丝 0 关注私信	neu 3 楼希望能够支持windows 7下运行 2010-1-31 09:15 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 4 楼那肯定要我装了windows 7以后了 2010-1-31 09:47 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 258 关注私信	riusksk 41 5 楼在vista,win7下均无法使用，只能在虚拟机XP下用了 2010-1-31 11:00 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 6 楼是否还是只能在sp2下跑？ 2010-1-31 11:02 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 7 楼我用的系统是2000与xp (sp2)，其它的我没有试过 2010-1-31 16:17 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 8 楼 LZ这么努力.应该推广出去. 请问有英文版了吗? 2010-1-31 17:00 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 9 楼我现在的想法还是写着玩的，只希望初学者破解入门方便点。（不过关心的人好像也不多）暂时没有英文版，谢谢大牛的关注。 2010-1-31 17:08 0
myyv 雪币： 25 活跃值： (477) 能力值： (RANK：20 ) 在线值：发帖 114 回帖 649 粉丝 2 关注私信	myyv 10 楼红尘岁月大峡,武神这个游戏你听说过没,UPX的壳,用你的这个软件附加之后什么显示都没有,两个软件都不受干扰的运行,请问如何让武神被附加之后你的软件可以正常的显示程序正在调用的函数? 2010-1-31 20:19 0
myyv 雪币： 25 活跃值： (477) 能力值： (RANK：20 ) 在线值：发帖 114 回帖 649 粉丝 2 关注私信	myyv 11 楼我很看好这么智能的软件啊,更加详细的告诉我们程序在做什么了,方便调试了,很好的工具啊,加油开发啊,开发成全智能的 2010-1-31 20:21 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 12 楼支持下，收藏个看看怎么用. ^_^ 2010-2-1 11:02 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 13 楼这个很好用很方便收藏感谢红尘岁月了 2010-2-1 12:51 0
GoodGavin 雪币： 119 活跃值： (10) 能力值： ( LV9，RANK：160 ) 在线值：发帖 20 回帖 291 粉丝 0 关注私信	GoodGavin 3 14 楼红尘岁月大侠，SoftSnoop2010V0.4的APISnoop.dll，小红伞杀毒软件报病毒，但是1.3版不报。（当然我不认为他包含病毒，但是否可以改进让杀毒软件不报毒呢？） Virus: TR/ATRAPS.Gen Type: Trojan In the wild: Yes Reported Infections: Low Distribution Potential: Low Damage Potential: Low Static file: No Engine version: 7.08.00.16 Description: A generic detection routine designed to detect common family characteristics shared in several variants. This special detection routine was developed in order to detect unknown variants and will be enhanced continuously. 2010-2-1 13:04 0
星a月雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	星a月 15 楼用过2009的，很不错，谢谢 2010-2-1 14:28 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 16 楼 hook API是大多数病毒经常用到操作，杀毒程序认为它是病毒的变体，也是可以理解的。我不理解小红伞的判断规则，我想我没有那个能力让它不报病，请谅解。 ps:我可以很负责的告诉你：我上传的这个程序是没有病毒的！ 2010-2-1 16:58 0
wqrsksk 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 569 粉丝 0 关注私信	wqrsksk 17 楼为什么没有清空列表这一项了呢? 这个很有用的 2010-2-1 17:19 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 18 楼我从来没有用这个功能，所以没有加。下个版本我会加上这个功能 2010-2-1 17:24 0
langker 雪币： 65 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 199 粉丝 0 关注私信	langker 19 楼好用，下了，3Q 2010-2-5 20:14 0
goodlucky 雪币： 257 活跃值： (28) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 286 粉丝 0 关注私信	goodlucky 2 20 楼非常感谢红尘大侠，测试版很好用，这个再下载收藏！ 2010-2-6 17:09 0
xingbing 雪币： 175 活跃值： (2501) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 21 楼源代码确实不错。 2010-2-6 17:30 0
goodlucky 雪币： 257 活跃值： (28) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 286 粉丝 0 关注私信	goodlucky 2 22 楼感觉比测试版的速度要快。发现一个小问题：LoadIgnoreApi.txt明明就在那里，为什么批量导入时说找不到呢？ 2010-2-6 20:33 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 23 楼我测试了一下，好像没有这个问题 2010-2-8 08:11 0
goodlucky 雪币： 257 活跃值： (28) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 286 粉丝 0 关注私信	goodlucky 2 24 楼不好意思，可能是我有过什么误操作。现在都正常了。 2010-2-8 23:26 0
zoomlp 雪币： 668 活跃值： (812) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 276 粉丝 0 关注私信	zoomlp 25 楼谢谢！！！！！谢谢！！！！！ 2010-2-9 15:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复