PEMonitor源代码发布-编程技术-看雪-安全社区|安全招聘|kanxue.com

PEMonitor源代码发布

发表于: 2004-10-10 10:37 24211

PEMonitor源代码发布

luocong

2004-10-10 10:37

24211

下载地址：http://www.luocong.com/myworks/zipped/PEMonitor_0.10_src.zip

+----------------------------------------------------+
+       名称： PE Monitor                   +
+       版本： v0.10                         +
+       作者：罗聪                         +
+       日期： 2004-09-06(yyyy-mm-dd)       +
+----------------------------------------------------+

[简介]
PE Monitor是一个小调试器和反汇编器，用来设置断点在指定的API上。这样，可以通过PE Monitor来监控我们需要的PE程序的运行时信息。

[使用方法]
在命令行方式下，输入：

c:\>PEMonitor 123.exe 参数1 参数2 ... 参数N

其中的“参数1、2...N”是指PE文件“123.exe”的参数。
当程序123.exe运行结束时，会在123.exe的同一个目录下产生一个123.log，里面记录了相关的监控信息。如果.log文件没有产生的话，表示此次的监控并没有产生任何对我们有用的信息。

[API]
目前监控的API有：
CreateFileA
DeleteFileA
CopyFileA
RegCreateKeyA
RegCreateKeyExA
RegDeleteKeyA
RegSetValueA
RegSetValueExA

[优点]
1、由于被监控的程序是以调试方式运行的，所以得到的监控信息是比较准确的（即肯定是本进程的信息，而不会有垃圾信息）。
2、扩充性比较好，只需要增加要监控的 API 名字即可满足我们日常分析中的大部分需要。

[缺点]
1、不能处理加壳程序。
2、0.10版还不能下断点在以序号输出的API上。

[ToDo]
1、考虑在内存中下断点。
2、解决不能下断点在序号输出的API。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・13

免费・7

支持

最新回复 (40) 1 2 ▶
luocong 雪币： 1593 活跃值： (811) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 2 楼开了个头，没时间继续完善了，索性发布出来吧。反汇编引擎用的是 OllyDbg 的开源代码，其他的部分是我自己写的。它有什么用呢？简单地说，如果一个没加壳的程序摆在你的面前，你想知道它做了什么，例如创建了什么文件，那么肯定会考虑在 CreateFileA() 这个 API 下断点，然后当程序运行到 CreateFileA() 这里时，就会被断下，这时我们只要看看堆栈里面被 push 进来的信息，就可以知道创建了什么文件了。PEMonitor 就是用来做这种事情的，只不过我开发它的时候定位不是面向 Cracker ，而是用于系统监控的。下断点的操作在 BreakPointServ.h 和 BreakPointServ.c 里面，如果你需要增加 API 的监控，则需要修改这两个文件。具体怎么改请先看看源代码，不清楚的地方我们再来讨论。如果需要得到详细的调试信息，请在工程的设置中加上这两个宏：_DEBUG, _MY_DEBUG 2004-10-10 10:37 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 3 楼严重支持，置顶一周。 2004-10-10 10:39 0
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 4 楼支持这种精神。 2004-10-10 10:45 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 5 楼支持，收下了。 2004-10-10 11:16 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 6 楼谢谢 2004-10-10 12:02 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 7 楼大牛现身了:D 支持！！ 2004-10-10 12:44 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼感谢老罗 :D 2004-10-10 13:13 0
PolyMeta 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	PolyMeta 9 楼老罗，怎么不用你自己写的引擎？是不是怕。。。。;) 2004-10-10 13:27 0
luocong 雪币： 1593 活跃值： (811) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 10 楼最初由 PolyMeta 发布老罗，怎么不用你自己写的引擎？是不是怕。。。。;) 我的框架设计得不好，扩充性很差，OllyDbg的这个很好用。:) 2004-10-10 13:38 0
PolyMeta 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	PolyMeta 11 楼我看把你的程序改一改能做不少事情：）例如：跟踪loadlibrary，getprocaddress等函数，对它们动态load的函数再进行跟踪，应该可以对付不少壳了:) 2004-10-10 13:47 0
luocong 雪币： 1593 活跃值： (811) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 12 楼最初由 PolyMeta 发布我看把你的程序改一改能做不少事情：）例如：跟踪loadlibrary，getprocaddress等函数，对它们动态load的函数再进行跟踪，应该可以对付不少壳了:) 是的！我也有这些想法，不过苦于没有时间实现了，所以希望能抛砖引玉一下。:) 2004-10-10 13:51 0
PolyMeta 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	PolyMeta 13 楼最初由 luocong 发布是的！我也有这些想法，不过苦于没有时间实现了，所以希望能抛砖引玉一下。:) 是呀！我不也没时间呀，我那个反汇编器只做了一半，自己建个表得累个半死：）还是上学好啊 2004-10-10 13:55 0
juexing 雪币： 123 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 167 粉丝 1 关注私信	juexing 14 楼牛。 2004-10-10 14:46 0
loveseaaihai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	loveseaaihai 15 楼 :D 太好了，我正在学习PE格式呢：） 2004-10-10 15:22 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 16 楼什么时候完善一下阿。到时候可以对付一些anti啦 2004-10-10 16:58 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 17 楼感谢老罗的共享精神。。。最初由 nbw 发布什么时候完善一下阿。到时候可以对付一些anti啦完善的任务就交给你了。。。 :D :D :D 2004-10-10 17:17 0
luocong 雪币： 1593 活跃值： (811) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 18 楼最初由 nbw 发布什么时候完善一下阿。到时候可以对付一些anti啦估计半年内都不会有时间研究这个方向的东东了…… 2004-10-10 17:18 0
linhanshi 雪币： 97697 活跃值： (200819) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27946 粉丝 452 关注私信	linhanshi 19 楼支持 2004-10-10 17:41 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 20 楼牛哥，你身上这么肥，以后多来脱壳区，给兄弟们多带些牛肉:D :D 我先来他一斤吧！！！:D :D 大家看这给牛哥分吧:D :D 2004-10-10 17:51 0
wxj_2008 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 84 粉丝 0 关注私信	wxj_2008 21 楼我新来的，先混个脸熟，呵呵。有好东东少不了我。先收了，谢谢。 2004-10-10 19:52 0
wzmooo 雪币： 10619 活跃值： (2314) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 497 粉丝 1 关注私信	wzmooo 22 楼谢谢老牛的奉献精神向你学习！！！ 2004-10-10 20:30 0
kuangtudazuo 雪币： 241 活跃值： (145) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 1 关注私信	kuangtudazuo 1 23 楼支持。！！！！！！！！ 2004-10-10 22:32 0
sungy 雪币： 547 活跃值： (2195) 能力值： ( LV7，RANK：100 ) 在线值：发帖 146 回帖 665 粉丝 31 关注私信	sungy 1 24 楼时时有好东西 2004-10-12 13:09 0
neet 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	neet 25 楼严重支持!!! 2004-10-12 18:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

luocong

发帖

275

回帖

370

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (40) 1 2 ▶
luocong 雪币： 1593 活跃值： (811) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 2 楼开了个头，没时间继续完善了，索性发布出来吧。反汇编引擎用的是 OllyDbg 的开源代码，其他的部分是我自己写的。它有什么用呢？简单地说，如果一个没加壳的程序摆在你的面前，你想知道它做了什么，例如创建了什么文件，那么肯定会考虑在 CreateFileA() 这个 API 下断点，然后当程序运行到 CreateFileA() 这里时，就会被断下，这时我们只要看看堆栈里面被 push 进来的信息，就可以知道创建了什么文件了。PEMonitor 就是用来做这种事情的，只不过我开发它的时候定位不是面向 Cracker ，而是用于系统监控的。下断点的操作在 BreakPointServ.h 和 BreakPointServ.c 里面，如果你需要增加 API 的监控，则需要修改这两个文件。具体怎么改请先看看源代码，不清楚的地方我们再来讨论。如果需要得到详细的调试信息，请在工程的设置中加上这两个宏：_DEBUG, _MY_DEBUG 2004-10-10 10:37 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 3 楼严重支持，置顶一周。 2004-10-10 10:39 0
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 4 楼支持这种精神。 2004-10-10 10:45 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 5 楼支持，收下了。 2004-10-10 11:16 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 6 楼谢谢 2004-10-10 12:02 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 7 楼大牛现身了:D 支持！！ 2004-10-10 12:44 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼感谢老罗 :D 2004-10-10 13:13 0
PolyMeta 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	PolyMeta 9 楼老罗，怎么不用你自己写的引擎？是不是怕。。。。;) 2004-10-10 13:27 0
luocong 雪币： 1593 活跃值： (811) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 10 楼最初由 PolyMeta 发布老罗，怎么不用你自己写的引擎？是不是怕。。。。;) 我的框架设计得不好，扩充性很差，OllyDbg的这个很好用。:) 2004-10-10 13:38 0
PolyMeta 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	PolyMeta 11 楼我看把你的程序改一改能做不少事情：）例如：跟踪loadlibrary，getprocaddress等函数，对它们动态load的函数再进行跟踪，应该可以对付不少壳了:) 2004-10-10 13:47 0
luocong 雪币： 1593 活跃值： (811) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 12 楼最初由 PolyMeta 发布我看把你的程序改一改能做不少事情：）例如：跟踪loadlibrary，getprocaddress等函数，对它们动态load的函数再进行跟踪，应该可以对付不少壳了:) 是的！我也有这些想法，不过苦于没有时间实现了，所以希望能抛砖引玉一下。:) 2004-10-10 13:51 0
PolyMeta 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	PolyMeta 13 楼最初由 luocong 发布是的！我也有这些想法，不过苦于没有时间实现了，所以希望能抛砖引玉一下。:) 是呀！我不也没时间呀，我那个反汇编器只做了一半，自己建个表得累个半死：）还是上学好啊 2004-10-10 13:55 0
juexing 雪币： 123 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 167 粉丝 1 关注私信	juexing 14 楼牛。 2004-10-10 14:46 0
loveseaaihai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	loveseaaihai 15 楼 :D 太好了，我正在学习PE格式呢：） 2004-10-10 15:22 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 16 楼什么时候完善一下阿。到时候可以对付一些anti啦 2004-10-10 16:58 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 17 楼感谢老罗的共享精神。。。最初由 nbw 发布什么时候完善一下阿。到时候可以对付一些anti啦完善的任务就交给你了。。。 :D :D :D 2004-10-10 17:17 0
luocong 雪币： 1593 活跃值： (811) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 18 楼最初由 nbw 发布什么时候完善一下阿。到时候可以对付一些anti啦估计半年内都不会有时间研究这个方向的东东了…… 2004-10-10 17:18 0
linhanshi 雪币： 97697 活跃值： (200819) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27946 粉丝 452 关注私信	linhanshi 19 楼支持 2004-10-10 17:41 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 20 楼牛哥，你身上这么肥，以后多来脱壳区，给兄弟们多带些牛肉:D :D 我先来他一斤吧！！！:D :D 大家看这给牛哥分吧:D :D 2004-10-10 17:51 0
wxj_2008 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 84 粉丝 0 关注私信	wxj_2008 21 楼我新来的，先混个脸熟，呵呵。有好东东少不了我。先收了，谢谢。 2004-10-10 19:52 0
wzmooo 雪币： 10619 活跃值： (2314) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 497 粉丝 1 关注私信	wzmooo 22 楼谢谢老牛的奉献精神向你学习！！！ 2004-10-10 20:30 0
kuangtudazuo 雪币： 241 活跃值： (145) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 1 关注私信	kuangtudazuo 1 23 楼支持。！！！！！！！！ 2004-10-10 22:32 0
sungy 雪币： 547 活跃值： (2195) 能力值： ( LV7，RANK：100 ) 在线值：发帖 146 回帖 665 粉丝 31 关注私信	sungy 1 24 楼时时有好东西 2004-10-12 13:09 0
neet 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	neet 25 楼严重支持!!! 2004-10-12 18:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复