PEMonitor源代码发布-编程技术-看雪-安全社区|安全招聘|kanxue.com

PEMonitor源代码发布

2004-10-10 10:37 23561

PEMonitor源代码发布

luocong

2004-10-10 10:37

23561

下载地址：http://www.luocong.com/myworks/zipped/PEMonitor_0.10_src.zip

+----------------------------------------------------+
+       名称： PE Monitor                   +
+       版本： v0.10                         +
+       作者：罗聪                         +
+       日期： 2004-09-06(yyyy-mm-dd)       +
+----------------------------------------------------+

[简介]
PE Monitor是一个小调试器和反汇编器，用来设置断点在指定的API上。这样，可以通过PE Monitor来监控我们需要的PE程序的运行时信息。

[使用方法]
在命令行方式下，输入：

c:\>PEMonitor 123.exe 参数1 参数2 ... 参数N

其中的“参数1、2...N”是指PE文件“123.exe”的参数。
当程序123.exe运行结束时，会在123.exe的同一个目录下产生一个123.log，里面记录了相关的监控信息。如果.log文件没有产生的话，表示此次的监控并没有产生任何对我们有用的信息。

[API]
目前监控的API有：
CreateFileA
DeleteFileA
CopyFileA
RegCreateKeyA
RegCreateKeyExA
RegDeleteKeyA
RegSetValueA
RegSetValueExA

[优点]
1、由于被监控的程序是以调试方式运行的，所以得到的监控信息是比较准确的（即肯定是本进程的信息，而不会有垃圾信息）。
2、扩充性比较好，只需要增加要监控的 API 名字即可满足我们日常分析中的大部分需要。

[缺点]
1、不能处理加壳程序。
2、0.10版还不能下断点在以序号输出的API上。

[ToDo]
1、考虑在内存中下断点。
2、解决不能下断点在序号输出的API。

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开发者可享99元/年，续费同价！

收藏・13

点赞・7

打赏

最新回复 (40) 1 2 ▶
luocong 雪币： 1593 活跃值： (741) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 274 粉丝 18 关注私信	luocong 9 2004-10-10 10:37 2 楼 0 开了个头，没时间继续完善了，索性发布出来吧。反汇编引擎用的是 OllyDbg 的开源代码，其他的部分是我自己写的。它有什么用呢？简单地说，如果一个没加壳的程序摆在你的面前，你想知道它做了什么，例如创建了什么文件，那么肯定会考虑在 CreateFileA() 这个 API 下断点，然后当程序运行到 CreateFileA() 这里时，就会被断下，这时我们只要看看堆栈里面被 push 进来的信息，就可以知道创建了什么文件了。PEMonitor 就是用来做这种事情的，只不过我开发它的时候定位不是面向 Cracker ，而是用于系统监控的。下断点的操作在 BreakPointServ.h 和 BreakPointServ.c 里面，如果你需要增加 API 的监控，则需要修改这两个文件。具体怎么改请先看看源代码，不清楚的地方我们再来讨论。如果需要得到详细的调试信息，请在工程的设置中加上这两个宏：_DEBUG, _MY_DEBUG
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2004-10-10 10:39 3 楼 0 严重支持，置顶一周。
daxia200N 雪币： 674 活跃值： (1684) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 575 粉丝 5 关注私信	daxia200N 6 2004-10-10 10:45 4 楼 0 支持这种精神。
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 21 回帖 2235 粉丝 7 关注私信	小虾 10 2004-10-10 11:16 5 楼 0 支持，收下了。
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 2004-10-10 12:02 6 楼 0 谢谢
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 8 关注私信	cyclotron 17 2004-10-10 12:44 7 楼 0 大牛现身了:D 支持！！
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-10-10 13:13 8 楼 0 感谢老罗 :D
PolyMeta 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	PolyMeta 2004-10-10 13:27 9 楼 0 老罗，怎么不用你自己写的引擎？是不是怕。。。。;)
luocong 雪币： 1593 活跃值： (741) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 274 粉丝 18 关注私信	luocong 9 2004-10-10 13:38 10 楼 0 最初由 PolyMeta 发布老罗，怎么不用你自己写的引擎？是不是怕。。。。;) 我的框架设计得不好，扩充性很差，OllyDbg的这个很好用。:)
PolyMeta 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	PolyMeta 2004-10-10 13:47 11 楼 0 我看把你的程序改一改能做不少事情：）例如：跟踪loadlibrary，getprocaddress等函数，对它们动态load的函数再进行跟踪，应该可以对付不少壳了:)
luocong 雪币： 1593 活跃值： (741) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 274 粉丝 18 关注私信	luocong 9 2004-10-10 13:51 12 楼 0 最初由 PolyMeta 发布我看把你的程序改一改能做不少事情：）例如：跟踪loadlibrary，getprocaddress等函数，对它们动态load的函数再进行跟踪，应该可以对付不少壳了:) 是的！我也有这些想法，不过苦于没有时间实现了，所以希望能抛砖引玉一下。:)
PolyMeta 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	PolyMeta 2004-10-10 13:55 13 楼 0 最初由 luocong 发布是的！我也有这些想法，不过苦于没有时间实现了，所以希望能抛砖引玉一下。:) 是呀！我不也没时间呀，我那个反汇编器只做了一半，自己建个表得累个半死：）还是上学好啊
juexing 雪币： 123 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 167 粉丝 1 关注私信	juexing 2004-10-10 14:46 14 楼 0 牛。
loveseaaihai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	loveseaaihai 2004-10-10 15:22 15 楼 0 :D 太好了，我正在学习PE格式呢：）
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2839 粉丝 20 关注私信	nbw 24 2004-10-10 16:58 16 楼 0 什么时候完善一下阿。到时候可以对付一些anti啦
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 679 粉丝 4 关注私信	xIkUg 9 2004-10-10 17:17 17 楼 0 感谢老罗的共享精神。。。最初由 nbw 发布什么时候完善一下阿。到时候可以对付一些anti啦完善的任务就交给你了。。。 :D :D :D
luocong 雪币： 1593 活跃值： (741) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 274 粉丝 18 关注私信	luocong 9 2004-10-10 17:18 18 楼 0 最初由 nbw 发布什么时候完善一下阿。到时候可以对付一些anti啦估计半年内都不会有时间研究这个方向的东东了……
linhanshi 雪币： 85496 活跃值： (198820) 能力值： (RANK：10 ) 在线值：发帖 9007 回帖 25618 粉丝 425 关注私信	linhanshi 2004-10-10 17:41 19 楼 0 支持
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 2004-10-10 17:51 20 楼 0 牛哥，你身上这么肥，以后多来脱壳区，给兄弟们多带些牛肉:D :D 我先来他一斤吧！！！:D :D 大家看这给牛哥分吧:D :D
wxj_2008 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 84 粉丝 0 关注私信	wxj_2008 2004-10-10 19:52 21 楼 0 我新来的，先混个脸熟，呵呵。有好东东少不了我。先收了，谢谢。
wzmooo 雪币： 10155 活跃值： (1794) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 489 粉丝 1 关注私信	wzmooo 2004-10-10 20:30 22 楼 0 谢谢老牛的奉献精神向你学习！！！
kuangtudazuo 雪币： 241 活跃值： (145) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 1 关注私信	kuangtudazuo 1 2004-10-10 22:32 23 楼 0 支持。！！！！！！！！
sungy 雪币： 338 活跃值： (1688) 能力值： ( LV6，RANK：90 ) 在线值：发帖 144 回帖 634 粉丝 25 关注私信	sungy 1 2004-10-12 13:09 24 楼 0 时时有好东西
neet 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	neet 2004-10-12 18:46 25 楼 0 严重支持!!!
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

luocong

发帖

274

回帖

370

RANK

关注

私信

他的文章

VMProtect 3.3.1虚拟机&代码混淆机制入门

[原创]代码着色器，开源

[原创]Little C编译器发布源代码

[讨论]OD 2.01正式版快出来了，讨论一下插件开发

[原创]Tasm编译器+虚拟机

关于我们

联系我们

企业服务

看雪公众号

最新回复 (40) 1 2 ▶
luocong 雪币： 1593 活跃值： (741) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 274 粉丝 18 关注私信	luocong 9 2004-10-10 10:37 2 楼 0 开了个头，没时间继续完善了，索性发布出来吧。反汇编引擎用的是 OllyDbg 的开源代码，其他的部分是我自己写的。它有什么用呢？简单地说，如果一个没加壳的程序摆在你的面前，你想知道它做了什么，例如创建了什么文件，那么肯定会考虑在 CreateFileA() 这个 API 下断点，然后当程序运行到 CreateFileA() 这里时，就会被断下，这时我们只要看看堆栈里面被 push 进来的信息，就可以知道创建了什么文件了。PEMonitor 就是用来做这种事情的，只不过我开发它的时候定位不是面向 Cracker ，而是用于系统监控的。下断点的操作在 BreakPointServ.h 和 BreakPointServ.c 里面，如果你需要增加 API 的监控，则需要修改这两个文件。具体怎么改请先看看源代码，不清楚的地方我们再来讨论。如果需要得到详细的调试信息，请在工程的设置中加上这两个宏：_DEBUG, _MY_DEBUG
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2004-10-10 10:39 3 楼 0 严重支持，置顶一周。
daxia200N 雪币： 674 活跃值： (1684) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 575 粉丝 5 关注私信	daxia200N 6 2004-10-10 10:45 4 楼 0 支持这种精神。
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 21 回帖 2235 粉丝 7 关注私信	小虾 10 2004-10-10 11:16 5 楼 0 支持，收下了。
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 2004-10-10 12:02 6 楼 0 谢谢
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 8 关注私信	cyclotron 17 2004-10-10 12:44 7 楼 0 大牛现身了:D 支持！！
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-10-10 13:13 8 楼 0 感谢老罗 :D
PolyMeta 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	PolyMeta 2004-10-10 13:27 9 楼 0 老罗，怎么不用你自己写的引擎？是不是怕。。。。;)
luocong 雪币： 1593 活跃值： (741) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 274 粉丝 18 关注私信	luocong 9 2004-10-10 13:38 10 楼 0 最初由 PolyMeta 发布老罗，怎么不用你自己写的引擎？是不是怕。。。。;) 我的框架设计得不好，扩充性很差，OllyDbg的这个很好用。:)
PolyMeta 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	PolyMeta 2004-10-10 13:47 11 楼 0 我看把你的程序改一改能做不少事情：）例如：跟踪loadlibrary，getprocaddress等函数，对它们动态load的函数再进行跟踪，应该可以对付不少壳了:)
luocong 雪币： 1593 活跃值： (741) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 274 粉丝 18 关注私信	luocong 9 2004-10-10 13:51 12 楼 0 最初由 PolyMeta 发布我看把你的程序改一改能做不少事情：）例如：跟踪loadlibrary，getprocaddress等函数，对它们动态load的函数再进行跟踪，应该可以对付不少壳了:) 是的！我也有这些想法，不过苦于没有时间实现了，所以希望能抛砖引玉一下。:)
PolyMeta 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	PolyMeta 2004-10-10 13:55 13 楼 0 最初由 luocong 发布是的！我也有这些想法，不过苦于没有时间实现了，所以希望能抛砖引玉一下。:) 是呀！我不也没时间呀，我那个反汇编器只做了一半，自己建个表得累个半死：）还是上学好啊
juexing 雪币： 123 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 167 粉丝 1 关注私信	juexing 2004-10-10 14:46 14 楼 0 牛。
loveseaaihai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	loveseaaihai 2004-10-10 15:22 15 楼 0 :D 太好了，我正在学习PE格式呢：）
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2839 粉丝 20 关注私信	nbw 24 2004-10-10 16:58 16 楼 0 什么时候完善一下阿。到时候可以对付一些anti啦
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 679 粉丝 4 关注私信	xIkUg 9 2004-10-10 17:17 17 楼 0 感谢老罗的共享精神。。。最初由 nbw 发布什么时候完善一下阿。到时候可以对付一些anti啦完善的任务就交给你了。。。 :D :D :D
luocong 雪币： 1593 活跃值： (741) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 274 粉丝 18 关注私信	luocong 9 2004-10-10 17:18 18 楼 0 最初由 nbw 发布什么时候完善一下阿。到时候可以对付一些anti啦估计半年内都不会有时间研究这个方向的东东了……
linhanshi 雪币： 85496 活跃值： (198820) 能力值： (RANK：10 ) 在线值：发帖 9007 回帖 25618 粉丝 425 关注私信	linhanshi 2004-10-10 17:41 19 楼 0 支持
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 2004-10-10 17:51 20 楼 0 牛哥，你身上这么肥，以后多来脱壳区，给兄弟们多带些牛肉:D :D 我先来他一斤吧！！！:D :D 大家看这给牛哥分吧:D :D
wxj_2008 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 84 粉丝 0 关注私信	wxj_2008 2004-10-10 19:52 21 楼 0 我新来的，先混个脸熟，呵呵。有好东东少不了我。先收了，谢谢。
wzmooo 雪币： 10155 活跃值： (1794) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 489 粉丝 1 关注私信	wzmooo 2004-10-10 20:30 22 楼 0 谢谢老牛的奉献精神向你学习！！！
kuangtudazuo 雪币： 241 活跃值： (145) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 1 关注私信	kuangtudazuo 1 2004-10-10 22:32 23 楼 0 支持。！！！！！！！！
sungy 雪币： 338 活跃值： (1688) 能力值： ( LV6，RANK：90 ) 在线值：发帖 144 回帖 634 粉丝 25 关注私信	sungy 1 2004-10-12 13:09 24 楼 0 时时有好东西
neet 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	neet 2004-10-12 18:46 25 楼 0 严重支持!!!
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复