首页
社区
课程
招聘
[原创]SoftSnoop2009
发表于: 2009-6-14 20:47 78619

[原创]SoftSnoop2009

2009-6-14 20:47
78619

首先:非常感谢原作者yoda/f2f提供了这么好的工具,并慷慨地公布了源代码;
其次:非常感谢大虾hmilyyang,因为他让我有机会接触SoftSnoop并加以修改。
大虾hmilyyang的原文
http://bbs.pediy.com/showthread.php?t=55974

软件说明:
    SoftSnoop一款强大的函数调用监控工具。

更新说明:
20090621:添加了vb事件解析,MFC动态链接方式的虚函数与消息映射表的解析,更新了"不报告这些区间API"不生效的问题。选项中添加"显示MFC、vb等详细信息"。(应31楼的要求,把XX版改Softsnoop2009)
20090710:添加了Delphi对象解析 (演示结果见:72楼)
20091119:对vb头文件进行详细的解析,更新了展示结构等等

使用说明:
SoftSnoop2009应用一:如何跟踪加壳程序
SoftSnoop2009应用二:详细解析vb头结构


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 8
支持
分享
最新回复 (142)
雪    币: 517
活跃值: (64)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
2
vb模板跟踪结果:
开始查找模块.....
查询到模块开始于: 0x00400000  终止于: 0x00412000  模块名称: C:\Documents and Settings\butt\桌面\002\vb模板.exe
查询到模块开始于: 0x62C20000  终止于: 0x62C29000  模块名称: LPK.dll
查询到模块开始于: 0x73390000  终止于: 0x734E4000  模块名称: MSVBVM60.DLL
查询到模块开始于: 0x73FA0000  终止于: 0x7400B000  模块名称: USP10.dll
查询到模块开始于: 0x76300000  终止于: 0x7631D000  模块名称: IMM32.dll
查询到模块开始于: 0x76990000  终止于: 0x76ACD000  模块名称: ole32.dll
查询到模块开始于: 0x770F0000  终止于: 0x7717B000  模块名称: OLEAUT32.dll
查询到模块开始于: 0x77BE0000  终止于: 0x77C38000  模块名称: msvcrt.dll
查询到模块开始于: 0x77D10000  终止于: 0x77D9F000  模块名称: USER32.dll
查询到模块开始于: 0x77DA0000  终止于: 0x77E49000  模块名称: ADVAPI32.dll
查询到模块开始于: 0x77E50000  终止于: 0x77EE2000  模块名称: RPCRT4.dll
查询到模块开始于: 0x77EF0000  终止于: 0x77F38000  模块名称: GDI32.dll
查询到模块开始于: 0x77FC0000  终止于: 0x77FD1000  模块名称: Secur32.dll
查询到模块开始于: 0x7C800000  终止于: 0x7C91D000  模块名称: KERNEL32.dll
查询到模块开始于: 0x7C920000  终止于: 0x7C9B4000  模块名称: ntdll.dll
共查找到15个模块.....
DetourTransactionCommit函数处理中........(10秒内未返回说明调用失败)
成功获取函数: 7160......
     
返回地址: 0040D042  函数名称: GetModuleHandleA(KERNEL32.dll)
GetModuleHandleA: 获取一个应用程序或动态链接库的模块句柄
          lpModuleName="kernel32.dll"
GetModuleHandleA返回值: 0x7C800000(模块句柄)
     
返回地址: 0040D29B  函数名称: GetModuleHandleA(KERNEL32.dll)
GetModuleHandleA: 获取一个应用程序或动态链接库的模块句柄
          lpModuleName="MSVBVM60.DLL"
GetModuleHandleA返回值: 0x73390000(模块句柄)
     
返回地址: 004011D2  函数名称: ThunRTMain(MSVBVM60.DLL)
ThunRTMain: 初始化进程并获取进程ID
          lpstring="VB5!#vb6chs.dll"
     
返回地址: 00408672  函数名称: Zombie_AddRef(MSVBVM60.DLL)
Zombie_AddRef返回值: 0x00000006
     
返回地址: 004086CB  函数名称: __vbaVarDup(MSVBVM60.DLL)
__vbaVarDup: 变量复制,从变量1复制到变量2
          变量1=0x0012FB20
          变量2=0x0012FBF0
__vbaVarDup返回值: 0x0012FAD0 (vb字符串:"欢迎使用")
     
返回地址: 004086DD  函数名称: __vbaVarDup(MSVBVM60.DLL)
__vbaVarDup: 变量复制,从变量1复制到变量2
          变量1=0x0012FB20
          变量2=0x0012FBF0
__vbaVarDup返回值: 0x0012FAE0 (vb字符串:"注册成功之后,你会在窗体右边看到隐藏的文字。")
     
返回地址: 004086F4  函数名称: rtcMsgBox(MSVBVM60.DLL)
rtcMsgBox: 显示对话框
          对话框内容=0x0012FAE0  (vb字符串:"注册成功之后,你会在窗体右边看到隐藏的文字。")
          参数2=0x00000000
          标题=0x0012FAD0  (vb字符串:"欢迎使用")
          参数4=0x0012FAC0
          参数5=0x0012FAB0
rtcMsgBox返回值: 0x00000001(1表示OK)
     
返回地址: 00408767  函数名称: Zombie_Release(MSVBVM60.DLL)
Zombie_Release返回值: 0x00000005
     
返回地址: 00408313  函数名称: Zombie_AddRef(MSVBVM60.DLL)
Zombie_AddRef返回值: 0x00000004
     
返回地址: 0040838D  函数名称: rtcR8ValFromBstr(MSVBVM60.DLL)
rtcR8ValFromBstr: 字符串转为数值
          字符串="797979"
rtcR8ValFromBstr返回值: 0x00000020(结果)
     
返回地址: 0040840E  函数名称: __vbaVarAdd(MSVBVM60.DLL)
__vbaVarAdd: 加法运算
          保存结果=0x0012F4B4
          变量1=0x0012F474  (vb长整型:3864242)
          变量2=0x0012F4D0  (vb双精度:797979.000000)
__vbaVarAdd返回值: 0x0012F4B4 (vb双精度:4662221.000000)
     
返回地址: 0040841C  函数名称: __vbaVarAdd(MSVBVM60.DLL)
__vbaVarAdd: 加法运算
          保存结果=0x0012F4A4
          变量1=0x0012F464  (vb整型:1970)
          变量2=0x0012F4B4  (vb双精度:4662221.000000)
__vbaVarAdd返回值: 0x0012F4A4 (vb双精度:4664191.000000)
     
返回地址: 0040842A  函数名称: __vbaVarAdd(MSVBVM60.DLL)
__vbaVarAdd: 加法运算
          保存结果=0x0012F494
          变量1=0x0012F454  (vb长整型:330043)
          变量2=0x0012F4A4  (vb双精度:4664191.000000)
__vbaVarAdd返回值: 0x0012F494 (vb双精度:4994234.000000)
     
返回地址: 00408431  函数名称: __vbaI4Var(MSVBVM60.DLL)
__vbaI4Var: 把VB变量变成I4数值
          Var=0x0012F494  (vb双精度:4994234.000000)
__vbaI4Var返回值: 0x004C34BA(数值)
     
返回地址: 004084DC  函数名称: __vbaVarDup(MSVBVM60.DLL)
__vbaVarDup: 变量复制,从变量1复制到变量2
          变量1=0x0012F514
          变量2=0x0012F5E4
__vbaVarDup返回值: 0x0012F4A4 (vb字符串:"注册码不正确")
     
返回地址: 004084FB  函数名称: __vbaVarDup(MSVBVM60.DLL)
__vbaVarDup: 变量复制,从变量1复制到变量2
          变量1=0x0012F514
          变量2=0x0012F5E4
__vbaVarDup返回值: 0x0012F4B4 (vb字符串:"注册码不正确,请重新输入。")
     
返回地址: 00408515  函数名称: rtcMsgBox(MSVBVM60.DLL)
rtcMsgBox: 显示对话框
          对话框内容=0x0012F4B4  (vb字符串:"注册码不正确,请重新输入。")
          参数2=0x00000000
          标题=0x0012F4A4  (vb字符串:"注册码不正确")
          参数4=0x0012F494
          参数5=0x0012F484
rtcMsgBox返回值: 0x00000001(1表示OK)
     
返回地址: 004085A4  函数名称: Zombie_Release(MSVBVM60.DLL)
Zombie_Release返回值: 0x00000003
     
返回地址: 004085FF  函数名称: Zombie_AddRef(MSVBVM60.DLL)
Zombie_AddRef返回值: 0x00000004
     
返回地址: 00408605  函数名称: __vbaEnd(MSVBVM60.DLL)
__vbaEnd: 结束进程
     
返回地址: 00408615  函数名称: Zombie_Release(MSVBVM60.DLL)
Zombie_Release返回值: 0x00000003
卸载ApiSnoop dll.
上传的附件:
2009-6-14 20:50
0
雪    币: 517
活跃值: (64)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
3
mfc模板跟踪结果:
开始查找模块.....
查询到模块开始于: 0x00400000  终止于: 0x00406000  模块名称: C:\Documents and Settings\butt\桌面\002\mfc模板.exe
查询到模块开始于: 0x62C20000  终止于: 0x62C29000  模块名称: LPK.dll
查询到模块开始于: 0x73D30000  终止于: 0x73E2E000  模块名称: MFC42.DLL
正在处理HookAddr_MFC42.txt相关函数,请稍后.......
     
查询到模块开始于: 0x73FA0000  终止于: 0x7400B000  模块名称: USP10.dll
查询到模块开始于: 0x76300000  终止于: 0x7631D000  模块名称: IMM32.dll
查询到模块开始于: 0x77BE0000  终止于: 0x77C38000  模块名称: msvcrt.dll
查询到模块开始于: 0x77D10000  终止于: 0x77D9F000  模块名称: USER32.dll
查询到模块开始于: 0x77DA0000  终止于: 0x77E49000  模块名称: ADVAPI32.dll
查询到模块开始于: 0x77E50000  终止于: 0x77EE2000  模块名称: RPCRT4.dll
查询到模块开始于: 0x77EF0000  终止于: 0x77F38000  模块名称: GDI32.dll
查询到模块开始于: 0x77FC0000  终止于: 0x77FD1000  模块名称: Secur32.dll
查询到模块开始于: 0x7C800000  终止于: 0x7C91D000  模块名称: KERNEL32.dll
查询到模块开始于: 0x7C920000  终止于: 0x7C9B4000  模块名称: ntdll.dll
共查找到13个模块.....
DetourTransactionCommit函数处理中........(10秒内未返回说明调用失败)
成功获取函数: 11336......
     
返回地址: 004023DB  函数名称: AfxGetModuleState(MFC42.DLL)
AfxGetModuleState: 获取模块信息
AfxGetModuleState返回值: 0x00154700(AFX_MODULE_STATE)
     
返回地址: 00401056  函数名称: CWinApp::CWinApp()(MFC42.DLL)
CWinApp::CWinApp()返回值: 0x00404028
     
返回地址: 00402336  函数名称: GetStartupInfoA(KERNEL32.dll)
GetStartupInfoA: 检查启动信息,可检查是否被调试
          lpStartupInfo=0x0012FF64
GetStartupInfoA返回值: 0x0012FF64(无返回值)
     
返回地址: 0040235A  函数名称: GetModuleHandleA(KERNEL32.dll)
GetModuleHandleA: 获取一个应用程序或动态链接库的模块句柄
          lpModuleName=NULL
GetModuleHandleA返回值: 0x00400000(模块句柄)
     
返回地址: 004023D3  函数名称: AfxWinMain(MFC42.DLL)
AfxWinMain: MFC程序主函数
          hInstance=0x00400000
          hPrevInstance=0x00000000
          lpCmdLine=0x001523BD
          nCmdShow=0x0000000A (SW_SHOWDEFAULT)
     
返回地址: 0040117B  函数名称: AfxEnableControlContainer(MFC42.DLL)
AfxEnableControlContainer: 使程序能够提供对OLE控件容器的支持
AfxEnableControlContainer返回值: 0x00154700
     
返回地址: 00401186  函数名称: Enable3dControls(MFC42.DLL)
Enable3dControls: 使窗口中的控件提供3D外观
Enable3dControls返回值: 0x00000001
     
返回地址: 0040138F  函数名称: CDialog::CDialog()(MFC42.DLL)
CDialog::CDialog(): CDialog构造函数
CDialog::CDialog()返回值: 0x0012FE88
     
返回地址: 004013BE  函数名称: CString::CString(szStr)(MFC42.DLL)
CString::CString(szStr): 把ASCII字符串赋给CString
          szString=""
CString::CString(szStr)返回值: 0x0012FEE8
     
返回地址: 00401CDE  函数名称: AfxGetModuleState(MFC42.DLL)
AfxGetModuleState: 获取模块信息
AfxGetModuleState返回值: 0x00154700(AFX_MODULE_STATE)
     
返回地址: 00401FA6  函数名称: AfxFindResourceHandle(MFC42.DLL)
AfxFindResourceHandle: 查找资源
          lpszName=0x00000080
          lpszType=0x0000000E
AfxFindResourceHandle返回值: 0x00400000
     
返回地址: 00401FAD  函数名称: LoadIconA(USER32.dll)
LoadIconA: 从指定的模块或应用程序实例中载入一个图标
          hInstance=0x00400000
          lpIconName=0x0080
LoadIconA返回值: 0x00AE039B(图标句柄)
     
返回地址: 004011A8  函数名称: CDialog::DoModal(MFC42.DLL)
CDialog::DoModal: 执行对话框
     
返回地址: 004014E9  函数名称: CDialog::OnInitDialog(MFC42.DLL)
CDialog::OnInitDialog: 对话框初始化
     
返回地址: 0040146D  函数名称: DDX_Text@CString(MFC42.DLL)
DDX_Text@CString: 把字符串变量和控件的文本相关联
          pDX=0x0012F7A0
          nIDC=0x000003E9
          lpstrBuffer=0x0012FEE8
          存入缓冲区中的数据: ""
DDX_Text@CString返回值: 0x00000000
CDialog::OnInitDialog返回值: 0x00000001
     
返回地址: 00401E33  函数名称: CMenu::FromHandle(MFC42.DLL)
CMenu::FromHandle: 与指定句柄关联的CMenu对象,如果没有创建一个临时的CMenu对象并将它与句柄连接
          hMenu=0x00CD02AB
CMenu::FromHandle返回值: 0x00901614
     
返回地址: 00401515  函数名称: CString::LoadStringA(MFC42.DLL)
CString::LoadStringA: 导入文本
          nIDC=0x00000065
CString::LoadStringA返回值: 0x00000001
     
返回地址: 00401DD5  函数名称: AppendMenuA(USER32.dll)
AppendMenuA: 在指定的菜单里添加菜单项
          hMenu=0x00CD02AB
          wFlags=0x00000800
          wIDNewItem=0x00000000
          lpNewItem=NULL
AppendMenuA返回值: 0x00000001(NULL表示失败)
     
返回地址: 00401DD5  函数名称: AppendMenuA(USER32.dll)
AppendMenuA: 在指定的菜单里添加菜单项
          hMenu=0x00CD02AB
          wFlags=0x00000000
          wIDNewItem=0x00000010
          lpNewItem="关于 cm(&A)..."
AppendMenuA返回值: 0x00000001(NULL表示失败)
     
返回地址: 00401556  函数名称: CString::FreeData(MFC42.DLL)
CString::FreeData: 释放内存
          CString=0x00386E8C
CString::FreeData返回值: 0x00000000
     
返回地址: 00401ED4  函数名称: CWnd::Default(MFC42.DLL)
CWnd::Default: 调用缺省的窗口过程,对没有处理窗口消息进行缺省处理
CWnd::Default返回值: 0x00000000
     
返回地址: 00401BD7  函数名称: CWnd::GetWindowTextA(MFC42.DLL)
CWnd::GetWindowTextA: 获取窗口文本
          CWnd=0x0012FEE8
CWnd::GetWindowTextA返回值: 0x00000008 ("ccbsxhxd")
     
返回地址: 00401BEE  函数名称: CString::GetBuffer(MFC42.DLL)
CString::GetBuffer: 取CString中数据
CString::GetBuffer返回值: 0x00386E48 ("ccbsxhxd")
     
返回地址: 00401BFA  函数名称: strlen(msvcrt.dll)
strlen: 获取字符串的长度
          lpString="ccbsxhxd"
strlen返回值: 0x00000008
     
返回地址: 00401884  函数名称: AfxMessageBox(MFC42.DLL)
AfxMessageBox返回值: 0x00000001
     
返回地址: 00401899  函数名称: TerminateProcess(KERNEL32.dll)
TerminateProcess: 结果进程
          hProcess=0xFFFFFFFF
          uExitCode=0x00000000
上传的附件:
2009-6-14 20:51
0
雪    币: 517
活跃值: (64)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
4
易语言模板跟踪结果:
开始查找模块.....
查询到模块开始于: 0x00400000  终止于: 0x0040B000  模块名称: C:\Documents and Settings\butt\桌面\002\易语言模板.exe
查询到模块开始于: 0x62C20000  终止于: 0x62C29000  模块名称: LPK.dll
查询到模块开始于: 0x73FA0000  终止于: 0x7400B000  模块名称: USP10.dll
查询到模块开始于: 0x76300000  终止于: 0x7631D000  模块名称: IMM32.dll
查询到模块开始于: 0x77BE0000  终止于: 0x77C38000  模块名称: msvcrt.dll
查询到模块开始于: 0x77D10000  终止于: 0x77D9F000  模块名称: USER32.dll
查询到模块开始于: 0x77DA0000  终止于: 0x77E49000  模块名称: ADVAPI32.dll
查询到模块开始于: 0x77E50000  终止于: 0x77EE2000  模块名称: RPCRT4.dll
查询到模块开始于: 0x77EF0000  终止于: 0x77F38000  模块名称: GDI32.dll
查询到模块开始于: 0x77FC0000  终止于: 0x77FD1000  模块名称: Secur32.dll
查询到模块开始于: 0x7C800000  终止于: 0x7C91D000  模块名称: KERNEL32.dll
查询到模块开始于: 0x7C920000  终止于: 0x7C9B4000  模块名称: ntdll.dll
共查找到12个模块.....
DetourTransactionCommit函数处理中........(10秒内未返回说明调用失败)
成功获取函数: 5788......
     
返回地址: 00403A7A  函数名称: HeapCreate(KERNEL32.dll)
HeapCreate: 在堆中创建一块内存
          flOptions=0x00000001
          dwInitialSize=0x00001000
          dwMaximumSize=0x00000000
HeapCreate返回值: 0x00E30000(堆的句柄)
     
返回地址: 00404A5D  函数名称: GetStartupInfoA(KERNEL32.dll)
GetStartupInfoA: 检查启动信息,可检查是否被调试
          lpStartupInfo=0x0012FF04
GetStartupInfoA返回值: 0x0012FF04(无返回值)
     
返回地址: 00404BA1  函数名称: SetHandleCount(KERNEL32.dll)
SetHandleCount: 设置可提供给进程的文件句柄数目
          uNumber=0x00000020
SetHandleCount返回值: 0x00000020
     
返回地址: 004038AB  函数名称: GetCommandLineA(KERNEL32.dll)
GetCommandLineA: 获得指向当前命令行缓冲区的指针,无参数
GetCommandLineA返回值: 0x00152388 (""C:\Documents and Settings\butt\桌面\002\易语言模板.exe"")
     
返回地址: 004048E9  函数名称: GetEnvironmentStringsW(KERNEL32.dll)
GetEnvironmentStringsW: 返回指向包含了环境字串的一个内存块的地址,无参数
GetEnvironmentStringsW返回值: 0x00010000(环境字串地址)
     
返回地址: 004049A0  函数名称: FreeEnvironmentStringsW(KERNEL32.dll)
FreeEnvironmentStringsW: 释放指定的环境字串块
          lpszEnvironmentBlock=0x00010000
FreeEnvironmentStringsW返回值: 0x00000001(NULL表示失败)
     
返回地址: 004046A8  函数名称: GetModuleFileNameA(KERNEL32.dll)
GetModuleFileNameA: 获取一个已装载模板的完整路径名称
          hModule=0x00000000
          lpBuffer=0x00408AA4
          nBufferSize=0x00000104
          存入缓冲区中的数据: "C:\Documents and Settings\butt\桌面\002\易语言模板.exe"
GetModuleFileNameA返回值: 0x00000036(文本长度)
     
返回地址: 004038D6  函数名称: GetStartupInfoA(KERNEL32.dll)
GetStartupInfoA: 检查启动信息,可检查是否被调试
          lpStartupInfo=0x0012FF64
GetStartupInfoA返回值: 0x0012FF64(无返回值)
     
返回地址: 004038F9  函数名称: GetModuleHandleA(KERNEL32.dll)
GetModuleHandleA: 获取一个应用程序或动态链接库的模块句柄
          lpModuleName=NULL
GetModuleHandleA返回值: 0x00400000(模块句柄)
     
返回地址: 00401166  函数名称: GetModuleFileNameA(KERNEL32.dll)
GetModuleFileNameA: 获取一个已装载模板的完整路径名称
          hModule=0x00400000
          lpBuffer=0x0012FDA0
          nBufferSize=0x00000104
          存入缓冲区中的数据: "C:\Documents and Settings\butt\桌面\002\易语言模板.exe"
GetModuleFileNameA返回值: 0x00000036(文本长度)
     
返回地址: 00401183  函数名称: CreateFileA(KERNEL32.dll)
CreateFileA: 打开和创建文件、管道及控制台等
          lpFileName="C:\Documents and Settings\butt\桌面\002\易语言模板.exe"
          dwDesiredAccess=0x80000000
          dwShareMode=0x00000001 (FILE_SHARE_READ)
          lpSecurityAttributes=0x00000000
          dwCreationDistribution=0x00000003 (OPEN_EXISTING)
          dwFlagsAndAttributes=0x00000080 (FILE_ATTRIBUTE_NORMAL)
          hTemplateFile=0x00000000
CreateFileA返回值: 0x00000050(文件句柄)
     
返回地址: 004011A4  函数名称: SetFilePointer(KERNEL32.dll)
SetFilePointer: 在一个文件中设置当前的读写位置
          hFile=0x00000050
          lDistanceToMove=0xFFFFFFF8
          lpDistanceToMoveHigh=0x00000000
          dwMoveMethod=0x00000002 (FILE_END)
SetFilePointer返回值: 0x00085FF8(从文件起始处开始算起的一个字节偏移量)
     
返回地址: 00401220  函数名称: SetFilePointer(KERNEL32.dll)
SetFilePointer: 在一个文件中设置当前的读写位置
          hFile=0x00000050
          lDistanceToMove=0xFFF85000
          lpDistanceToMoveHigh=0x00000000
          dwMoveMethod=0x00000002 (FILE_END)
SetFilePointer返回值: 0x0000B000(从文件起始处开始算起的一个字节偏移量)
     
返回地址: 00401271  函数名称: GetTempPathA(KERNEL32.dll)
GetTempPathA: 获取为临时文件指定的路径
          nBufferSize=0x00000104
          lpBuffer=0x0012FDA0
          存入缓冲区中的数据: "C:\DOCUME~1\butt\LOCALS~1\Temp\"
GetTempPathA返回值: 0x0000001F
     
返回地址: 00401299  函数名称: wsprintfA(USER32.dll)
wsprintfA: 把arglist列表的数据按lpFormat的格式保存到lpBuffer中
          lpBuffer=0x0012FEA4
          lpFormat="E_%X"
          arglist=0x00000004
          存入缓冲区中的数据: "E_4"
wsprintfA返回值: 0x00000003(文本长度)
     
返回地址: 004012BD  函数名称: CreateDirectoryA(KERNEL32.dll)
CreateDirectoryA: 创建一个新目录
          lpPathName="C:\DOCUME~1\butt\LOCALS~1\Temp\E_4"
          pSecurityAttributes=0x00000000
CreateDirectoryA返回值: 0x00000000
     
返回地址: 004013F2  函数名称: CreateFileA(KERNEL32.dll)
CreateFileA: 打开和创建文件、管道及控制台等
          lpFileName="C:\DOCUME~1\butt\LOCALS~1\Temp\E_4\krnln.fnr"
          dwDesiredAccess=0x40000000
          dwShareMode=0x00000000
          lpSecurityAttributes=0x00000000
          dwCreationDistribution=0x00000002 (CREATE_ALWAYS)
          dwFlagsAndAttributes=0x00000080 (FILE_ATTRIBUTE_NORMAL)
          hTemplateFile=0x00000000
CreateFileA返回值: 0x00000054(文件句柄)
     
返回地址: 00401408  函数名称: WriteFile(KERNEL32.dll)
WriteFile: 将数据写入一个文件
          hFile=0x00000054
          lpBuffer=0x0104002E
          nNumberOfBytesToWrite=0x0010C000
          lpNumberOfBytesWritten=0x0012FF0C
          lpOverlapped=0x00000000
          存入缓冲区中的数据: "MZ?
WriteFile返回值: 0x00000001(BOOL类型)
     
返回地址: 00401411  函数名称: CloseHandle(KERNEL32.dll)
CloseHandle: 关闭句柄
          hObject=0x00000054
CloseHandle返回值: 0x00000001(NULL表示失败)
     
返回地址: 00401460  函数名称: LoadLibraryA(KERNEL32.dll)
LoadLibraryA: 载入指定的动态链接库,并将它映射到当前进程使用的地址空间
          lpLibFileName="C:\DOCUME~1\butt\LOCALS~1\Temp\E_4\krnln.fnr"
LoadLibraryA返回值: 0x01150000(链接库句柄)
API添加成功,hook API成功: Ecode_Function_3
API添加成功,hook API成功: Ecode_GetProperty
API添加成功,hook API成功: Ecode_SetProperty
API添加成功,hook API失败: Ecode_Function_2  错误号: 9
     
返回地址: 0040966A  函数名称: Ecode_GetProperty(krnl.fnr)
Ecode_GetProperty: 获取窗口控件属性
          hWindow=0x52010001
          hControl=0x16010002
          dwEcodeType=0x00000008 (标题)
          Arg4=0xFFFFFFFF
Ecode_GetProperty返回值: 0x00164DB0 ("ccbsxhxd")
     
返回地址: 00409693  函数名称: Ecode_Function_3(krnl.fnr)
Ecode_Function_3: 判断变量是否为数值
          dwEcodeType=0x00000001
          EcodeVariable=0x00164DB0  ("ccbsxhxd")
          dwEcodeVarType_2=0x00000000
          dwEcodeVarType=0x80000004 (文本型)
Ecode_Function_3返回值: 0x00000000 (FALSE)
     
返回地址: 004096D2  函数名称: Ecode_Function_3(krnl.fnr)
Ecode_Function_3: 变量转为字节类型
          dwEcodeType=0x00000001
          EcodeVariable=0x00000000  (数值)
          dwEcodeVarType_2=0x40180000
          dwEcodeVarType=0x80000601 (数值型)
Ecode_Function_3返回值: 0x00000006
     
返回地址: 004096F1  函数名称: Ecode_Function_3(krnl.fnr)
Ecode_Function_3: 变量转为文本
          dwEcodeType=0x00000001
          EcodeVariable=0x00000006  (NULL)
          dwEcodeVarType_2=0x00000000
          dwEcodeVarType=0x80000101 (字节型)
Ecode_Function_3返回值: 0x00164CF8 ("6")
     
返回地址: 0040970A  函数名称: Ecode_GetProperty(krnl.fnr)
Ecode_GetProperty: 获取窗口控件属性
          hWindow=0x52010001
          hControl=0x16010003
          dwEcodeType=0x00000008 (标题)
          Arg4=0xFFFFFFFF
Ecode_GetProperty返回值: 0x00164DB0 ("79797979")
     
返回地址: 004097A5  函数名称: Ecode_Function_3(krnl.fnr)
Ecode_Function_3: 变量转为文本
          dwEcodeType=0x00000001
          EcodeVariable=0x00000006  (NULL)
          dwEcodeVarType_2=0x00000000
          dwEcodeVarType=0x80000101 (字节型)
Ecode_Function_3返回值: 0x00162AF0 ("6")
     
返回地址: 004097BE  函数名称: Ecode_GetProperty(krnl.fnr)
Ecode_GetProperty: 获取窗口控件属性
          hWindow=0x52010001
          hControl=0x16010003
          dwEcodeType=0x00000008 (标题)
          Arg4=0xFFFFFFFF
Ecode_GetProperty返回值: 0x00164CF8 ("79797979")
     
返回地址: 00409838  函数名称: Ecode_Function_3(krnl.fnr)
Ecode_Function_3: 创建对话框
          dwEcodeType=0x00000003
          EcodeVariable=0x004090DF  ("再试一次!")
          dwEcodeVarType_2=0x00000000
          dwEcodeVarType=0x80000004 (文本型)
          EcodeVariable=0x00000000  (整数)
          dwEcodeVarType_2=0x00000000
          dwEcodeVarType=0x80000301 (整数型)
          EcodeVariable=0x00000000
          dwEcodeVarType_2=0x00000000
          dwEcodeVarType=0x00000000
Ecode_Function_3返回值: 0x00000000
卸载ApiSnoop dll.
上传的附件:
2009-6-14 20:58
0
雪    币: 414
活跃值: (10)
能力值: ( LV9,RANK:460 )
在线值:
发帖
回帖
粉丝
5
很好很强大,我来做个沙发。感谢红尘大侠持续开发。
2009-6-14 21:00
0
雪    币: 452
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
6
楼上骗人,我们做的都是地板,红尘大侠的杀气已经占满前四楼了!
2009-6-14 21:59
0
雪    币: 452
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
7
这么好的东东,强烈要求加哈!

红尘岁月20090613修改版:
添加汇编CVB易语言MFCdelphi函数功能与参数注释

这么好的东东,强烈要求加哈!
2009-6-14 22:04
0
雪    币: 216
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
开始查找模块.....
查询到模块开始于: 0x00400000  终止于: 0x00420000  模块名称: C:\Documents and Settings\Avvr\桌面\ck.exe
查询到模块开始于: 0x5D170000  终止于: 0x5D20A000  模块名称: COMCTL32.dll
查询到模块开始于: 0x62C20000  终止于: 0x62C29000  模块名称: LPK.dll
查询到模块开始于: 0x72F70000  终止于: 0x72F96000  模块名称: WINSPOOL.DRV
查询到模块开始于: 0x73FA0000  终止于: 0x7400B000  模块名称: USP10.dll
查询到模块开始于: 0x75C60000  终止于: 0x75D00000  模块名称: urlmon.dll
查询到模块开始于: 0x76300000  终止于: 0x7631D000  模块名称: IMM32.dll
查询到模块开始于: 0x76990000  终止于: 0x76ACD000  模块名称: ole32.dll
查询到模块开始于: 0x77BD0000  终止于: 0x77BD8000  模块名称: VERSION.dll
查询到模块开始于: 0x77BE0000  终止于: 0x77C38000  模块名称: msvcrt.dll
查询到模块开始于: 0x77D10000  终止于: 0x77DA0000  模块名称: USER32.dll
查询到模块开始于: 0x77DA0000  终止于: 0x77E49000  模块名称: ADVAPI32.dll
查询到模块开始于: 0x77E50000  终止于: 0x77EE2000  模块名称: RPCRT4.dll
查询到模块开始于: 0x77EF0000  终止于: 0x77F39000  模块名称: GDI32.dll
查询到模块开始于: 0x77F40000  终止于: 0x77FB6000  模块名称: SHLWAPI.dll
查询到模块开始于: 0x77FC0000  终止于: 0x77FD1000  模块名称: Secur32.dll
查询到模块开始于: 0x7C800000  终止于: 0x7C91E000  模块名称: KERNEL32.dll
查询到模块开始于: 0x7C920000  终止于: 0x7C9B3000  模块名称: ntdll.dll
查询到模块开始于: 0x7D590000  终止于: 0x7DD84000  模块名称: SHELL32.dll
共查找到19个模块.....
DetourTransactionCommit函数处理中........(10秒内未返回说明调用失败)

老是在这里就停了,貌似有点问题。我SP3系统的?

不过还是强烈支持。
2009-6-14 22:05
0
雪    币: 517
活跃值: (64)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
9
问题已解决。
2009-6-14 22:11
0
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
10
收下,这东东有时可以节省些时间,谢
2009-6-14 22:18
0
雪    币: 216
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
没有找到你说的
2009-6-14 22:22
0
雪    币: 141
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
很好很强大,第一帖就献给您了
2009-6-14 23:25
0
雪    币: 359
活跃值: (430)
能力值: ( LV9,RANK:150 )
在线值:
发帖
回帖
粉丝
13
还是会在附加程序后,自动退出!
期待能够解决这个问题!
2009-6-14 23:46
0
雪    币: 216
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
我的打了那个kb956572补丁后还是不行!我是xp sp3系统!
2009-6-15 01:11
0
雪    币: 1450
活跃值: (35)
能力值: (RANK:680 )
在线值:
发帖
回帖
粉丝
15
感谢LZ分享
2009-6-15 06:34
0
雪    币: 517
活跃值: (64)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
16
问题已解决,与此补丁无关系。
2009-6-15 06:48
0
雪    币: 216
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
我没打之前就不行,我以为打了才行,结果一样!听他们说支持2000的和xp sp2系统刚好我有一台2000的虚拟机试了一下可以。说实话我估计是兼容性的问题。好好调试调试,我感觉这软件有发展潜力!支持一下,以后的多来你这学习了!
2009-6-15 07:27
0
雪    币: 517
活跃值: (64)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
18
"选项"中选中"创建进程时调试进程"与"显示调试信息",看一下是因为那个地址调用非法退出了。
再在"选项"中"不报告来自这些区间的API",选中,下面加入非法访问的地址,区间可以大一些,再试。

成功或者失败麻烦反馈一下。
2009-6-15 09:04
0
雪    币: 359
活跃值: (430)
能力值: ( LV9,RANK:150 )
在线值:
发帖
回帖
粉丝
19
我的也是SP3的,在纯净的虚拟机下测试也是如此,应该不关选项的事。

错误同上面的几位描述!
2009-6-15 09:22
0
雪    币: 275
活跃值: (130)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
在虚拟机上跑sp3也把kb956572补丁给卸了
也是出现
开始查找模块.....
查询到模块开始于: 0x00400000  终止于: 0x0040B000  模块名称: C:\Documents and Settings\Administrator\桌面\易语言模板.exe
查询到模块开始于: 0x62C20000  终止于: 0x62C29000  模块名称: LPK.dll
查询到模块开始于: 0x73FA0000  终止于: 0x7400B000  模块名称: USP10.dll
查询到模块开始于: 0x76300000  终止于: 0x7631D000  模块名称: IMM32.dll
查询到模块开始于: 0x77D10000  终止于: 0x77DA0000  模块名称: USER32.dll
查询到模块开始于: 0x77DA0000  终止于: 0x77E49000  模块名称: ADVAPI32.dll
查询到模块开始于: 0x77E50000  终止于: 0x77EE2000  模块名称: RPCRT4.dll
查询到模块开始于: 0x77EF0000  终止于: 0x77F39000  模块名称: GDI32.dll
查询到模块开始于: 0x77FC0000  终止于: 0x77FD1000  模块名称: Secur32.dll
查询到模块开始于: 0x7C800000  终止于: 0x7C91E000  模块名称: KERNEL32.dll
查询到模块开始于: 0x7C920000  终止于: 0x7C9B3000  模块名称: ntdll.dll
共查找到11个模块.....
DetourTransactionCommit函数处理中........(10秒内未返回说明调用失败)
2009-6-15 10:40
0
雪    币: 517
活跃值: (64)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
21
问题已解决。
2009-6-15 11:29
0
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
什么时候vista系统也行呀。
2009-6-15 11:42
0
雪    币: 275
活跃值: (130)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
刚刚发现在本机有装补丁结果也是一样= =
把DetourTransactionCommit放进『不报告这些api』结果也是一样
2009-6-15 14:55
0
雪    币: 517
活跃值: (64)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
24
DetourTransactionCommit是SoftSnoop程序里面调用的Detour库函数。放进『不报告这些api』当然不会有什么效果。

(已经可以了
2009-6-15 15:28
0
雪    币: 427
活跃值: (65)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
25
SP3不行,没打那个kb补丁。
2009-6-15 16:23
0
游客
登录 | 注册 方可回帖
返回
//