解压后运行 dprobe.exe, 菜单选择 probe -> import probe, 选择explorer.dpc, 就可以进行快速体验。所有的capture filter代码都在sdk\flt 目录下。你可以自己写filter, 参考psflt即可。类似的工具是rohitab.com的apimonitor 等, 你可以比较下。以后有空放一个chm手册上来。技术上也没有什么特别的,只是花了不少心血。希望你能喜欢
简单介绍:
这是个 user mode call trace 工具,下面是一些功能截图。
(1) 主界面
(2) import probe
import filter 可以方便的引入一组probe, 不用每次运行都手工配置。
(3) export probe
export probe 把配置的probe输出到dpc文件,dpc文件可以被import, 参见(2)。
(4) call tree
请读 README.txt中的call tree解释,这个call tree是按照完成顺序来显示的。
(5) display filter
trace的记录可以按照条件来筛选。比如只显示某个线程的记录。
(6) stack trace
每条记录都有对应的stack trace.
(7) summary
summary 显示了简单的计数统计信息。
(8) report
trace的记录可以被保存为dtl, csv两种格式,dtl report可以被dprobe打开分析。
report size 没有限制可以很大,如果trace 某些调用频繁的函数,记录很快会
达到数百万条,注意这点。report可以只保存display filter过滤得部分。
(9) perfmon
performance 显示了target process的主要性能计数器,dprobe还有两个stack trace
相关的,stack trace buckets 和symbol buckets, 表示收集的stack trace 样本的数量,
一般不会超过10万个,一般程序的code path在运行段时间后会趋于稳定。
程序会crash, 所以附上pdb, 在sym目录下,你可以在windbg里!analyze -v 以下生成的
crash dump,bug report to dprobebugs@gmail.com。别忘了先读README。
另附上一个手册,比较早,现在版本已经不同,不过里面的逻辑都是一样的,可以参考。
2012-5-31:
更新dprobe.exe, fix 用户浏览call detail/call record的UI会hang的问题,大幅降低cpu/mm
使用率。 解压后覆盖dprobe.exe即可。
[课程]FART 脱壳王!加量不加价!FART作者讲授!