Нужно мне было недавно отловить с какими параметрами одна прога запускает другой процесс, поитогу выкрутился тем, что приатачился дебагером и поставил брейкпоинт на CreateProcess(). Но до того как я до этого дошел я решил посмотреть, а смогу ли я получить подобную инфу через какой-нить API spy.
Из тех что есть на скачивание на крэклабе:
1) kerberos v1.13 инжектился через раз. Получить хотя бы какой-то лог не получилось.
2) API Monitor 1.5b ловит все что угодно только не CreateProcess.
3) APISpy32 3.0 не работает вообще.
Дальше уже взял Auto Debug System - да он ловит, но не показывает более 32 символов.

Итого получается, что приходится все делать руками.

Есть ли нормальный халявный api spy для висты?

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

sendersu
Спасибо, теперь все класс !!

| Сообщение посчитали полезным:

вопросы знатокам

1) чем посмотреть Delay Import Directory

2) подход к парсингу п1 - так же как и проход по Import Directory?

3) 2 Rustem
надо ли писать в БД функи из п1? (ести они есть)

| Сообщение посчитали полезным:

sendersu пишет:
1) чем посмотреть Delay Import Directory
www.heaventools.com/PE_Explorer_delay-import-viewer.htm

| Сообщение посчитали полезным:

Структура таблиц та же самая, но есть и различия, в частности, несколько заголовок другой. Лучше док погляди, там это всё есть.

| Сообщение посчитали полезным:

sendersu
3) 2 Rustem надо ли писать в БД функи из п1? (ести они есть)

Если нужно следить за вызовом, пиши, если не нужна, то не надо.
шпиону фиолетово , делай импорт или еще какая функция,
лишь бы в базе была укзана

| Сообщение посчитали полезным:

Archer
док глянул, спс. Решил добавить поддержку
вопрос
нашел тут екзешку одну с Delay Import
гружу ее через LoadLibrary (или LoadLibraryEx)
в PE у нее прописана база стандартная - 0x400000
после загрузки - база екзе стала 0x00c80000
я так понимаю что у моего екзе база тоже 400000 поетому загрузить етот екзе на тот же адрес нельзя
прикол в том что после того как я нашел адрес Delay Import, поле rvaDLLName указивает на пустую строку!
я правильно понимаю что ето связано с тем что в екзе нету релоков?
вообще, можно ли грузить екзе через LoadLibrary (по идее да, других методов нет)
2) почему не видно етой строки? (если смотреть через CFF Explorer - строка на месте)

попозже...... (упд)

Поставил базу для своего екзе не 400000 (320000 или 80000) - все равно екзе которую я гружу через LoadLibrary не падает на 400000 (проверил - релоков в ней нету) - ОС грузит всегда више...
В то же время Pe Explorer норм. показивает Delay Import на етой екзе! (правда я не видел чтоб он делал LoadLibrary для него - видимо сам парсает файл как бинарь....)

упд
разобрался
MS отжигает

v1.3 см историю внутри
Кто завалит или найдет баги - сообщайте
Спасибо

c78a_01.02.2011_CRACKLAB.rU.tgz - imex2spy1.3.zip

| Сообщение посчитали полезным:

API Monitor 2 (rohitab.com) обновился до 5-й "альфы": www.rohitab.com/apimonitor/
www.rohitab.com/download/api-monitor-v2r5-x86-x64.zip - API Monitor v2 (Alpha-r5) - Portable - Runs without installing - 32-bit and 64-bit

| Сообщение посчитали полезным:

API Logger обновился до 1.6
blackninja2000.narod.ru/rus/api_logger.html

| Сообщение посчитали полезным: _ruzmaz_, sendersu, alt76, soho, NikolayD

API Monitor 2 (rohitab.com) обновился до 6-й "альфы": http://www.rohitab.com/downloads

* Windows 2000 Compatibility
* Process Memory Editor – View, edit, allocate memory and change memory protection in any process
* Fixed handling of single character data types and added support for TCHAR variables in structures
* Edit buffers during breakpoints
* Support for API’s with variable arguments
* Added support for Unions and Arrays
* Faster encoding and hex view of simple structures, unions and arrays
* OutputOnly attribute is now supported for all parameter typess
* 150 new COM interfaces including DirectWrite, Direct2D, Windows Imaging Component, Debugger Engine. More Info…
* 1000 new structures and unions added
* 300 additional enumerated types and 250 additional flag variables
* Fixed issue with hooking processes on Windows XP 64-bit.
* Fixed incorrect handling of API’s returning structures
* Miscellaneous bug fixes and changes to API definitions

| Сообщение посчитали полезным:

sendersu пишет:
Кто завалит или найдет баги - сообщайте
сам нашел, неожиданно.....

| Сообщение посчитали полезным:

API Logger обновился до 1.7
blackninja2000.narod.ru/rus/api_logger.html

| Сообщение посчитали полезным: NikolayD, _ruzmaz_, sendersu, Dazz

API Monitor 2 (rohitab.com) обновился до 7-й "альфы" (почему автор именует их альфами - хз. версии очень стабильны): http://www.rohitab.com/downloads
# 700+ new API's including Pipes, Kernel Transaction Manager, Uniscribe etc.
# 300+ new COM interfaces with 3000+ methods, including Core Audio, Microsoft Media Foundation, Network List Manager etc.
# 100+ new structures, 150+ enumerated data types and flags
# Digitally signed installer and executables.

http://www.rohitab.com/apimonitor/changelog

| Сообщение посчитали полезным:

Вообще-то он уже давно есть в разделе скачать.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

API Logger обновился до 1.8
http://blackninja2000.narod.ru/rus/api_logger.html

PS. в качестве совета ведущему раздела "скачать",- можно добавить тулзу на сайт

| Сообщение посчитали полезным: sendersu, obfuskator, _ruzmaz_

API Logger обновился до 1.9
http://blackninja2000.narod.ru/rus/api_logger.html

| Сообщение посчитали полезным: sendersu, obfuskator, Ratinsh

Наверно, если отслеживать call - получим трассировщик функций..

| Сообщение посчитали полезным: Gideon Vi

API Monitor 2 (rohitab.com) обновился до 11-й "альфы":
-->API Monitor 2 <--
May 3, 2012
-Process detection and notification
-Thread and Error higlighting
-Instantly filter on modules and threads for a process
-Monitor processes like csrss.exe and consent.exe
-Support for older version delay descriptors
-Support for monitoring COM entry points such as DllGetClassObject, DllRegisterServer etc
-Definitions for Native Client-Server (CSR) API’s
-Support for decoding error codes from the Visual C++ Runtime library

| Сообщение посчитали полезным:

==DJ==[ZLO] пишет:
-Process detection and notification

Крешает безбожно на Win XP SP3 (даже простой нотепаде)
сам автор сказал что он детально тестил только SP2 (!)

| Сообщение посчитали полезным:

sendersu
Незря Альфами всех обзывает ... сам толком не тестил.
Походу много пива ;)

| Сообщение посчитали полезным:

==DJ==[ZLO]
автор уже работает
нехорошо тестить на старых сервис паках - кому ето надо?
все давно уже на сп3, думаеццо (уже много програм видел что ТРЕБУЮТ SP3!)
да и вообще, еще год-два и не будет XP

| Сообщение посчитали полезным: ==DJ==[ZLO]

Rustem
а для 64 бит будет?

| Сообщение посчитали полезным:

r99 планировал в будущем. точнее не скажу.

| Сообщение посчитали полезным:

API Monitor 2 (rohitab.com) Alpha-r12
changelog
downloads

* New ‘Static Import’ attach method
* Attach method can be selected when monitoring a running process
* Drag-and-drop support – Drop shortcuts or files into the API Monitor window to start monitoring a process
* Monitor processes like csrss.exe and consent.exe
* Fixed issues with ‘Remote Thread’ methods on Windows XP SP3
* Fixed crash when dropping calls
* Fixed issue where target application was crashing on close
* Definitions updated to include changes in structures for Windows 8

| Сообщение посчитали полезным: