首页
社区
课程
招聘
[求助]有什么工具是可以分析目标程序使用了哪些API?
发表于: 2021-3-3 19:50 5291

[求助]有什么工具是可以分析目标程序使用了哪些API?

2021-3-3 19:50
5291

需求如下:

  1. 目标程序是有加密保护的,所以无法直接用depends等工具查看调用了哪些dll内的哪些api

  2. 因为加密保护,所以也无法用od之类的进行动态调试。

  3. 动态运行中,procexp等工具又无法查看使用了哪些api,因为各种dll都一股脑全加载进来了,并没有办法获取哪些api被链接了。


我的本意是想自己写个工具,但发现太复杂,就先问问有没有现成的?

我的思路是这样的:

  1. 我写个exe,CreateProcess 让目标程序以挂起状态。

  2. 注入个dll,hook掉loadlibrary和getprocaddress.

  3. 在hook函数里,把所有信息给打印到log中去。

这样。理论上就知道整个程序使用了哪些dll的哪些函数

但是也有缺点,就是分不清哪些api是程序本身调用的,哪些是windows模块自身引用的。

目标进程有10来个模块。理论上是要找出这些进程自己直接依赖的api。尽量不受其它模块加载时的信息污染。


还有个缺点就是,在创建成功时,有些未加密模块可能已经完成导入表了,所以可能记录不到这些信息。




[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (11)
雪    币: 174
活跃值: (620)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
当然,如果有工具,能运行时分析出指定的这10多个模块的导入表是不是也可以?
这样就知道真实链接了哪些api。
是不是虽说加密了,在脱壳时,还是能扫出真实的导入表的?
2021-3-3 19:53
0
雪    币: 613
活跃值: (2469)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
有些壳会使用自己的dlll加载器,而不使用loadlibrary和getprocaddress。所以如果hook这两个API,很有可能啥东西也获取不到。
2021-3-3 21:05
0
雪    币: 246
活跃值: (4507)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
4
procmon.exe
2021-3-3 21:40
0
雪    币: 6
活跃值: (1388)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
Api monitor 虽然我不太会用
2021-3-4 00:05
0
雪    币: 8124
活跃值: (4919)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
Apimonitor  WinAPIOverride64  apilogger
2021-3-4 08:12
0
雪    币: 174
活跃值: (620)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
crackwiki 有些壳会使用自己的dlll加载器,而不使用loadlibrary和getprocaddress。所以如果hook这两个API,很有可能啥东西也获取不到。
它自己加载dll不使用loadlibrary和getprocaddress?那得多复杂呀,
以前debug过壳,发现它们是自己getprocaddress的,不过那是很多年前的事了。
2021-3-4 09:12
0
雪    币: 174
活跃值: (620)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
ookkaa procmon.exe
这工具我有,没看到怎么监视api呀。
2021-3-4 09:14
0
雪    币: 1
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
9
感觉实现起来应该挺简单的
2021-6-24 12:17
0
雪    币: 48
活跃值: (1104)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
我也在找
2021-8-24 01:44
0
雪    币: 2428
活跃值: (2597)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11

procmon sysmon

最后于 2021-8-24 09:16 被dearfuture编辑 ,原因:
2021-8-24 09:15
0
雪    币: 464
活跃值: (4217)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
12

Apimonitor  

最后于 2022-2-8 16:40 被ashLL编辑 ,原因:
2021-8-24 16:57
0
游客
登录 | 注册 方可回帖
返回
//