-
-
[原创]APIMonitor(API监控工具,可替代SoftSnoop)--更新至1.3版,增加参数监控(2013-11-27)
-
发表于: 2013-11-4 00:51
-
随着现在保护技术的进步,越来越多的程序面临着脱壳、反反调试、花指令、动态变形、虚拟机等多种多样的拦路虎,这些程序如果直接用OD,IDA进行反汇编调试分析会令人头疼不已,而采用黑箱分析的方法仍然有效 (所谓黑箱分析就是在不反汇编的情况下分析程序的运行情况,特别是API的调用情况和调用地址、参数)。个人用过SoftSnoop这个API监控工具,由于其采用附加调试的方式获取分析程序的信息,在面对现在众多的反调试程序面前显得有些乏力,同时该软件分析的信息全部堆在一个消息框里,当要监控的API较多时信息较为杂乱,不利于分析。针对SoftSnoop的一些不足,有了APIMonitor的诞生。
APIMonitor主要特点:
1、 APIMonitor的主要功能全部在Dll.dll这个动态连接库中,APIMonitor1.0.exe负责将其注入到要分析的进程,这样如果程序有反注入还可以用其他工具或方法注入进程,比如输入法注入、内核注入、LPC注入等等多种更牛B的注入方式,同时不怕程序反调试。
2、 APIMonitor采用Inline Hook的方式Hook进程中的任意Dll,可指定Hook某一API对其进行单独监控,也可选择整个Dll所有API进行监控。
3、 APIMonitor可对程序异常进行监控,比如SEH、VEH等,从而可以追踪程序采用SEH、VEH等技术进行的反调试。
4、 APIMonitor对API的监控信息全部通过表格排序分类显示,可清晰的知道API调用的地址、API名称、调用的模块、调用的次数,方便对程序进行分析,这些信息都可随时进行保存。
5、 APIMonitor还可作为一个注入工具使用,并支持拖拽,使用方便。
6、APIMonitor采用纯VC+SDK编写,程序精炼小巧,运行占用资源少。
7、 APIMonitor可选择是否对系统Dll对API调用进行监控,默认是不进行监控,以省去大量无用的信息
8、 APIMonitor可对API调用的参数进行监控,可以查看API的参数,如果API中的参数是字符串,则会直接显示出字符串,APIMonitor会保存最新调用的不同10条API调用的参数信息,同时可以自定义API参数信息。
注:APIMonitor的参数格式文件在“ParamTemplet”文件夹内,Name_Param = 参数名称,这个会在参数信息中 Type_Param = 参数的类型,0为默认,1为字符串,2为宽字符串,可自行修改或增加,也可用APIParamHandler将VC头文件中的API函数转化为APIMonitor显示参数所用的ini文件格式,免去手动输入的麻烦,APIParamHandler的源码我也一起发布了,地址在:http://bbs.pediy.com/showthread.php?p=1242979#post1242979
9、支持Win7
APIMonitor下一版改进:
1、 美化界面,界面一直不是我的强项。
2、 支持多种注入方法。
3、 改进Hook代码,尽可能减少不能用“Hook Dll”功能Hook的API
4、 其他建议欢迎跟帖,或发我消息
写过很多工具,第一次发布工具,希望这个工具能替代看雪网站上的监控工具SoftSnoop。
更新APIMonitor1.3:
1. 此版增加监控API参数的重要功能,可以查看API的参数,如果API中的参数是字符串,则会直接显示出字符串
2. 可自定义API参数
3. 增加"监控系统调用"选项,可选择是否显示系统的一些调用
4. 增加APIParamHandler程序,此程序可处理一些C语言版API头文件,转化为APIMonitor可识别的参数格式,欢迎大家测试,有问题跟贴反馈。
APIMonitor1.3下载: APIMonitor1.3.zip
增加了暂停监控键的模块,下载后覆盖原Dll.dll即可: Dll.zip
APIParamHandler: APIParamHandler.zip
APIMonitor主要特点:
1、 APIMonitor的主要功能全部在Dll.dll这个动态连接库中,APIMonitor1.0.exe负责将其注入到要分析的进程,这样如果程序有反注入还可以用其他工具或方法注入进程,比如输入法注入、内核注入、LPC注入等等多种更牛B的注入方式,同时不怕程序反调试。
2、 APIMonitor采用Inline Hook的方式Hook进程中的任意Dll,可指定Hook某一API对其进行单独监控,也可选择整个Dll所有API进行监控。
3、 APIMonitor可对程序异常进行监控,比如SEH、VEH等,从而可以追踪程序采用SEH、VEH等技术进行的反调试。
4、 APIMonitor对API的监控信息全部通过表格排序分类显示,可清晰的知道API调用的地址、API名称、调用的模块、调用的次数,方便对程序进行分析,这些信息都可随时进行保存。
5、 APIMonitor还可作为一个注入工具使用,并支持拖拽,使用方便。
6、APIMonitor采用纯VC+SDK编写,程序精炼小巧,运行占用资源少。
7、 APIMonitor可选择是否对系统Dll对API调用进行监控,默认是不进行监控,以省去大量无用的信息
8、 APIMonitor可对API调用的参数进行监控,可以查看API的参数,如果API中的参数是字符串,则会直接显示出字符串,APIMonitor会保存最新调用的不同10条API调用的参数信息,同时可以自定义API参数信息。
注:APIMonitor的参数格式文件在“ParamTemplet”文件夹内,Name_Param = 参数名称,这个会在参数信息中 Type_Param = 参数的类型,0为默认,1为字符串,2为宽字符串,可自行修改或增加,也可用APIParamHandler将VC头文件中的API函数转化为APIMonitor显示参数所用的ini文件格式,免去手动输入的麻烦,APIParamHandler的源码我也一起发布了,地址在:http://bbs.pediy.com/showthread.php?p=1242979#post1242979
9、支持Win7
APIMonitor下一版改进:
1、 美化界面,界面一直不是我的强项。
2、 支持多种注入方法。
3、 改进Hook代码,尽可能减少不能用“Hook Dll”功能Hook的API
4、 其他建议欢迎跟帖,或发我消息
写过很多工具,第一次发布工具,希望这个工具能替代看雪网站上的监控工具SoftSnoop。
更新APIMonitor1.3:
1. 此版增加监控API参数的重要功能,可以查看API的参数,如果API中的参数是字符串,则会直接显示出字符串
2. 可自定义API参数
3. 增加"监控系统调用"选项,可选择是否显示系统的一些调用
4. 增加APIParamHandler程序,此程序可处理一些C语言版API头文件,转化为APIMonitor可识别的参数格式,欢迎大家测试,有问题跟贴反馈。
APIMonitor1.3下载: APIMonitor1.3.zip
增加了暂停监控键的模块,下载后覆盖原Dll.dll即可: Dll.zip
APIParamHandler: APIParamHandler.zip
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
