[原创]SoftSnoop 1.3.2 + Source（增加了中文版和说明文档）-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]SoftSnoop 1.3.2 + Source（增加了中文版和说明文档）

发表于: 2007-12-4 14:05 79614

[原创]SoftSnoop 1.3.2 + Source（增加了中文版和说明文档）

hmilyyang

2007-12-4 14:05

79614

【文章标题】: SoftSnoop 1.3.2 + Source
【文章作者】: hmilyyang
【编写语言】: C/C++
【使用工具】: VC2003
【操作平台】: WinXP
--------------------------------------------------------------------------------

SoftSnoop 很久没更新了。
SoftSnoop是一个很好用的可以捕获进程调用的Api的程序，但是我在使用过程中发现其只能对静态导入的Api实现捕获，因此极大地限制了其使用范围，前几天在看雪下载了它的源码，分析之后产生了改进的想法，我对其中ApiHook的部分进行了修改，使之能捕获动态加载的dll中的Api调用，现发布到看雪。
经常在看雪查找资料，但还没有做过什么贡献，因此发布了这个版本，就算是我的一点贡献，欢迎大家使用及提出建议。
看雪首发，转载请注明出处。
另：本想与原作者联系询问是否可以发布，但是似乎他的邮箱已经不使用了，只能擅自发布了这个版本。非常感谢原作者yoda/f2f提供了这么好的工具，并慷慨地公布了源代码

我的email: [email]hmillyyangguoqiang@tom.com[/email]

1.相对于SoftSnoop1.3版新增功能
（1）可以捕获从任一模块产生的到任一模块的Api调用，包括动态加载的模块；可以在调用Api之前输出Api名称，Api所属模块，Api参数及调用这个Api的地址；可以在Api返回之后输出Api返回值；
（2）可以像OllyDbg那样附着到正在运行的目标进程并捕获其Api，可以随意终止和继续捕获，目标进程不受影响；
（3）可以选择是否对目标进程进行调试，对一些检查调试器的程序可以选择不调试目标进程，对Api捕获没有影响；由于修改了ApiHook方式，因此对于加过壳或修改了输入表的程序也可以进行Api捕获；
（4）添加了中文版；
（5）解决了1.3版中在加载目标进程时偶尔会产生内存访问越界的问题；

2.使用说明：
如果想让SoftSnoop显示自己感兴趣的Api的参数，请看ApiDef目录下的SS.txt；如果只想捕获特点模块或特定的Api，或者只想捕获来自某些特定模块的Api，请在选项窗口进行设置；其它使用方法都很简单，界面上一目了然，也不用多说了；另外大家觉得有什么不方便的地方自己DIY即可，这就是有源码的好处：）

3.实现原理介绍
SoftSnoop1.3版的ApiHook是通过修改目标进程的输入表的方法来实现的，这种方法的优点在于实现简单，但缺点在于无法捕获动态加载的模块中的Api，另外对于加过壳的程序和修改了输入表的程序也是无效的。
另一种应用层的ApiHook方法是修改目标Api的前几条指令为跳转指令，当产生Api调用时先跳到我们的程序，我们处理之后再跳回去继续执行；这种ApiHook的实现方法在这里有详细的介绍：http://www.xfocus.net/articles/200403/681.html。这种方法实现起来比较麻烦，但是比较高效，只要调用了目标Api，就会被捕获。不过微软提供了一个使用这种方式进行ApiHook的库Detours，而且还是公开了源码的：）看了Detours的代码，感觉考虑的非常详细，这可能就是微软的特点。于是我直接使用了Detours库来实现ApiHook。
ApiHook的方式确定了，但是为了能够捕获目标进程调用到的所有Api，还有两个问题需要解决：如何确定到底要Hook哪些Api，如何使目标进程加载我们用于捕获Api的ApiSnoop.dll，也就是Dll注入的问题，下面分别介绍我的解决方法。
对于问题1，我的解决方法是对目标进程可能用到的所有Api都进行Hook，得到目标进程可能用到的Api是通过下面两步实现的：
（1）扫描目标进程的内存空间，以确定目标进程使用了哪些dll模块。对目标进程的进程空间的每个页面(Windows中每个页面大小为64KB），先使用VirtualQuery判断其是否被使用，若被使用，则获取页面基址并读页面内容，判断页面中是否存放了一个可执行模块（由于可执行模块在内存中格式也是PE格式，因此通过判断其头部可知其是否是可执行模块）；这里要说明的是，Windows提供了ToolHelpApi可以获得目标进程使用的模块列表，但是这样得到的列表可能并不完全，因此我还是使用了扫描的方式获得模块列表；扫描模块的实现代码是ApiSnoop.c中的ScanModules()函数，大家如果感兴趣可以看看；
（2）对于扫描得到的每个模块，通过读取其输出表来获得其输出的Api的入口地址和名称，然后将这些Api添加到待Hook列表中；
对于问题2，分两种情况进行介绍：
（1）由SoftSnoop创建的目标进程，通过在修改其输入表来实现其加载我们的ApiSnoop.dll，修改时机是目标进程已经被加载到内存中但还没有执行的时候，具体实现方法是创建目标进程时加CREATE_SUSPENDED参数，然后修改其输入表，把我们的ApiSnoop.dll加进去，然后让目标进程继续执行，这样我们的ApiSnoop.dll就会被加载到目标进程的地址空间；这里要说明的是，SoftSnoop1.3版使用的方法没有公开源码，是封装在ForceLibrary.dll里的，其缺点在于必须对目标进程进行调试才能实现加载ApiSnoop.dll，恰好Detours库中提供了DetourCreateProcessWithDll()函数能够实现这个功能，因此我就直接使用了这种方法；
（2）附着到正在执行的目标进程，通过CreateRemoteThread实现让目标进程加载我们的ApiSnoop.dll；
其它一些问题的实现方法是：Api调用的参数和来源地址可以通过读堆栈得到，至于如何让Api返回时执行我们的代码从而获得其返回地址，我沿用了1.3版的实现方法：修改堆栈中的返回地址。
另外1.3版里主程序和SoftSnoop.dll是通过消息进行交互的，这种交互只能是单向的，在1.3.2版里我使用了事件+内存映射文件的方法实现了双向交互。

4.下一步的工作
如果大家觉得这个工具还行，还值得继续开发的话，请给我支持和建议。
我想可能的改进之处包括：
（1）在Api调用之前停下来，允许用户查看和修改Api调用的参数；在Api调用返回的时候可以停下来，允许用户查看参数变化并修改Api返回值；
（2）增强调试支持，因为修改了目标进程加载方式，因此原先1.3版中的一些设置断点的功能可能有所减弱；
（3）增加反汇编支持，不过这个可能没有必要，使用OllyDbg就行了：）

2007-12-05

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

SoftSnoop 1.3.2.rar （236.07kb，2303次下载）

收藏・53

免费・7

支持

最新回复 (82) 1 2 3 4 ▶
readyu 雪币： 11705 活跃值： (975) 能力值： ( LV12，RANK：779 ) 在线值：发帖 36 回帖 392 粉丝 45 关注私信	readyu 12 2 楼 good work! 本地转一份。上传的附件： SoftSnoop_1.3.1.rar （220.56kb，524次下载） 2007-12-4 15:50 0
morose 雪币： 233 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 59 粉丝 0 关注私信	morose 3 楼再加个说明就好了为什么没有中文版呢？ 2007-12-4 19:09 0
hmilyyang 雪币： 213 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 1 关注私信	hmilyyang 4 楼既然有人关注，那我就做一个中文版，再写一个比较详细的说明文档，作为1.3.2版发布 2007-12-5 10:15 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 5 楼不用也要谢谢～～～～ 2007-12-5 10:41 0
modi 雪币： 158 活跃值： (43) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 233 粉丝 0 关注私信	modi 6 楼多谢,收下.. 2007-12-5 11:06 0
hmilyyang 雪币： 213 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 1 关注私信	hmilyyang 7 楼中文版和文档已经添加了，请下载新的版本 2007-12-5 20:31 0
swqswq 雪币： 324 活跃值： (57) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 72 粉丝 0 关注私信	swqswq 8 楼太好了,关注,下载收藏 2008-1-12 14:10 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 9 楼 Thanks 喜欢你的源码，完整否 2008-1-12 15:00 0
newice 雪币： 270 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 109 粉丝 0 关注私信	newice 10 楼非常感谢，好东西 2008-1-13 10:36 0
linhanshi 雪币： 97697 活跃值： (200759) 能力值： (RANK：10 ) 在线值：发帖 9246 回帖 27942 粉丝 451 关注私信	linhanshi 11 楼 Thanks. 2008-1-13 11:20 0
lelfei 雪币： 6051 活跃值： (1441) 能力值： ( LV15，RANK：1473 ) 在线值：发帖 67 回帖 537 粉丝 16 关注私信	lelfei 23 12 楼收藏一份了，感谢！ 2008-1-14 22:19 0
FishSeeWater 雪币： 768 活跃值： (530) 能力值： ( LV13，RANK：460 ) 在线值：发帖 60 回帖 860 粉丝 8 关注私信	FishSeeWater 11 13 楼谢谢！好东东！ 2008-1-15 16:39 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 14 楼收藏，感谢~ 2008-1-16 13:33 0
阿扁鱼雪币： 88 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 219 粉丝 0 关注私信	阿扁鱼 15 楼万分感谢……好东西要支持……辛苦了 2008-1-17 11:58 0
yijun8354 雪币： 1919 活跃值： (901) 能力值： ( LV9，RANK：490 ) 在线值：发帖 22 回帖 784 粉丝 1 关注私信	yijun8354 12 16 楼感觉这东东不过，拿来玩玩~~~ 2008-1-17 12:17 0
atylon 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 122 粉丝 0 关注私信	atylon 17 楼好东西,收下了.谢谢 2008-1-18 02:49 0
方向感雪币： 1436 活跃值： (3861) 能力值： ( LV3，RANK：30 ) 在线值：发帖 41 回帖 710 粉丝 22 关注私信	方向感 18 楼 thanks ；） 2008-1-18 09:10 0
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 19 楼收藏了，谢谢 2008-1-19 00:53 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 20 楼 very yellow,very violent. 2008-1-19 21:17 0
wheat 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	wheat 21 楼非常感谢楼主。 2008-1-20 20:10 0
tebesa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	tebesa 22 楼非常感谢！收藏了！ 2008-3-10 19:19 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 23 楼这么好的东东,一定要顶起来 2008-6-25 14:09 0
ikey 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 157 粉丝 0 关注私信	ikey 24 楼 Vista下打开什么什么就崩溃！ Faulting application FSCapture5.2.exe, version 0.0.0.0, time stamp 0x2a425e19, faulting module ntdll.dll, version 6.0.6001.18000, time stamp 0x4791a7a6, exception code 0xc0000005, fault offset 0x00059a9a, process id 0x11d4, application start time 0x01c8d6613fadf0c3. 2008-6-25 18:23 0
ikey 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 157 粉丝 0 关注私信	ikey 25 楼 Faulting application GrooveMonitor.exe, version 12.0.6211.1000, time stamp 0x46ce718f, faulting module ntdll.dll, version 6.0.6001.18000, time stamp 0x4791a7a6, exception code 0xc0000005, fault offset 0x00059a9a, process id 0xe88, application start time 0x01c8d658266eaaae. 2008-6-25 18:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hmilyyang

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (82) 1 2 3 4 ▶
readyu 雪币： 11705 活跃值： (975) 能力值： ( LV12，RANK：779 ) 在线值：发帖 36 回帖 392 粉丝 45 关注私信	readyu 12 2 楼 good work! 本地转一份。上传的附件： SoftSnoop_1.3.1.rar （220.56kb，524次下载） 2007-12-4 15:50 0
morose 雪币： 233 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 59 粉丝 0 关注私信	morose 3 楼再加个说明就好了为什么没有中文版呢？ 2007-12-4 19:09 0
hmilyyang 雪币： 213 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 1 关注私信	hmilyyang 4 楼既然有人关注，那我就做一个中文版，再写一个比较详细的说明文档，作为1.3.2版发布 2007-12-5 10:15 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 5 楼不用也要谢谢～～～～ 2007-12-5 10:41 0
modi 雪币： 158 活跃值： (43) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 233 粉丝 0 关注私信	modi 6 楼多谢,收下.. 2007-12-5 11:06 0
hmilyyang 雪币： 213 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 1 关注私信	hmilyyang 7 楼中文版和文档已经添加了，请下载新的版本 2007-12-5 20:31 0
swqswq 雪币： 324 活跃值： (57) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 72 粉丝 0 关注私信	swqswq 8 楼太好了,关注,下载收藏 2008-1-12 14:10 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 9 楼 Thanks 喜欢你的源码，完整否 2008-1-12 15:00 0
newice 雪币： 270 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 109 粉丝 0 关注私信	newice 10 楼非常感谢，好东西 2008-1-13 10:36 0
linhanshi 雪币： 97697 活跃值： (200759) 能力值： (RANK：10 ) 在线值：发帖 9246 回帖 27942 粉丝 451 关注私信	linhanshi 11 楼 Thanks. 2008-1-13 11:20 0
lelfei 雪币： 6051 活跃值： (1441) 能力值： ( LV15，RANK：1473 ) 在线值：发帖 67 回帖 537 粉丝 16 关注私信	lelfei 23 12 楼收藏一份了，感谢！ 2008-1-14 22:19 0
FishSeeWater 雪币： 768 活跃值： (530) 能力值： ( LV13，RANK：460 ) 在线值：发帖 60 回帖 860 粉丝 8 关注私信	FishSeeWater 11 13 楼谢谢！好东东！ 2008-1-15 16:39 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 14 楼收藏，感谢~ 2008-1-16 13:33 0
阿扁鱼雪币： 88 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 219 粉丝 0 关注私信	阿扁鱼 15 楼万分感谢……好东西要支持……辛苦了 2008-1-17 11:58 0
yijun8354 雪币： 1919 活跃值： (901) 能力值： ( LV9，RANK：490 ) 在线值：发帖 22 回帖 784 粉丝 1 关注私信	yijun8354 12 16 楼感觉这东东不过，拿来玩玩~~~ 2008-1-17 12:17 0
atylon 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 122 粉丝 0 关注私信	atylon 17 楼好东西,收下了.谢谢 2008-1-18 02:49 0
方向感雪币： 1436 活跃值： (3861) 能力值： ( LV3，RANK：30 ) 在线值：发帖 41 回帖 710 粉丝 22 关注私信	方向感 18 楼 thanks ；） 2008-1-18 09:10 0
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 19 楼收藏了，谢谢 2008-1-19 00:53 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 20 楼 very yellow,very violent. 2008-1-19 21:17 0
wheat 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	wheat 21 楼非常感谢楼主。 2008-1-20 20:10 0
tebesa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	tebesa 22 楼非常感谢！收藏了！ 2008-3-10 19:19 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 23 楼这么好的东东,一定要顶起来 2008-6-25 14:09 0
ikey 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 157 粉丝 0 关注私信	ikey 24 楼 Vista下打开什么什么就崩溃！ Faulting application FSCapture5.2.exe, version 0.0.0.0, time stamp 0x2a425e19, faulting module ntdll.dll, version 6.0.6001.18000, time stamp 0x4791a7a6, exception code 0xc0000005, fault offset 0x00059a9a, process id 0x11d4, application start time 0x01c8d6613fadf0c3. 2008-6-25 18:23 0
ikey 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 157 粉丝 0 关注私信	ikey 25 楼 Faulting application GrooveMonitor.exe, version 12.0.6211.1000, time stamp 0x46ce718f, faulting module ntdll.dll, version 6.0.6001.18000, time stamp 0x4791a7a6, exception code 0xc0000005, fault offset 0x00059a9a, process id 0xe88, application start time 0x01c8d658266eaaae. 2008-6-25 18:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复