首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]如何知道程序调用了哪些API?
发表于: 2016-5-29 17:56 4871

[求助]如何知道程序调用了哪些API?

wem 活跃值
2016-5-29 17:56
4871
不管是静态加载还是动态加载,

有没有监视的办法?

谢谢

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
komawangs
雪    币: 1262
活跃值: (1048)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
2
导入表或这个?
http://down.52pojie.cn/Tools/Other/API%20Monitor%20v2%20(Alpha-r13).zip
2016-5-29 18:33
0
小阿弟
雪    币: 135
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
对付静态加载,直接用工具看他的输入表。

如果是动态加载 , 这种一般都是重载模块了的。在内存里申请了新空间,把模块复制进去,修改好重定位。对付这种,最极端的方法,最好用内核工具,看看R3和R0之间的通道。基本就知道流程。

<<<<----最好自己写驱动勾完SSDT和SSDT里的函数 , 90%就知道结果!!!!(注:为了安全准确起见, 在虚拟系统里搞,省事)

以前有个很好的工具<超级巡警>这家伙,好用的不得了。一切用户程序,动了什么地方。都会有提示。用过的都知道!!!!
2016-5-29 19:36
0
IMisterH
雪    币: 19
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
用lordpe查看导出表,具体哪些模块那些函数
Hook.Loadlibrary 或者 loaddll 等函数具体加载了什么模块 然后拦截GetProcAddress来查看具体引入了什么模块.
2016-5-30 09:33
0
villers伯爵
雪    币: 3
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
动态加载的不知道,静态加载都可以用IDA  有个导入窗口 就是模块和函数
2016-5-31 11:20
0
Tennn
雪    币: 1176
活跃值: (1264)
能力值: ( LV12,RANK:380 )
在线值:
发帖
回帖
粉丝
私信
6
api monitor
2016-5-31 11:31
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//