Last Update :January 08 2010
WinAPIOverride32 is an advanced api monitoring software.
You can monitor and/or override any function of a process.
This can be done for API functions or executable internal functions.
It tries to fill the gap between classical API monitoring softwares and debuggers.
It can break targeted application before or after a function call, allowing memory or registers changes; and it can directly call functions of the targeted application
Main differences between other API monitoring softwares :
- You can define filters on parameters or function result
- You can define filters on dll to discard calls from windows system dll
- You can hook functions inside the target process not only API
- You can hook asm functions with parameters passed through registers
- You can hook hardware and software exceptions
- Double and float results are logged
- You can easily override any API or any process internal function
- You can break process before or/and after function call to change memory or registers
- You can call functions which are inside the remote processes
- Can hook COM OLE and ActiveX interfaces
- User types (enum, struct and union) and user defines are supported
- All is is done like modules : you can log or override independently for any function
- Open Source
- A library is provided for developpers who intend to build their one hooking software

--> Сайт <--

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Кривая тулза, толку от неё нет.

| Сообщение посчитали полезным:

Clerk Чего взамен предложишь? И чтобы не песать, влом!

-----
My love is very cool girl.

| Сообщение посчитали полезным:

theCollision
Отладчик.

| Сообщение посчитали полезным:

Clerk
Ты мои:
>>И чтобы не песать, влом!
Просмотрел!

Для того чтобы юзая отладчик получить лог вызовов нужно напесать скрипт, к примеру общеизвестному оллидыбагу.
К тому же если файл юзает антиотладочный прием и наебнется апишпиен, то где горрантия что и дебагер не накроется ?

вобщем, нахрен делать лишние телодвижения пока они не нужны? Хоть эта кривая тулза, но тем не менее обладает вполне достойным и достаточным функционалом для многих случаев. А уж если не справилась, то на кой тоды штука на плечах ? Думаю это и есть тут случай, когда действительно нужно открывать отладчик! А так, мне впадлу на какой-нить быдло-код тратить свое время.

-----
My love is very cool girl.

| Сообщение посчитали полезным:

Нормальная тулза, не раз выручала. Кривовата, но на безрыбье.... к тому же бесплатна.

| Сообщение посчитали полезным:

[offtop]
theCollision пишет:
напесать
theCollision пишет:
апишпиен
Учи, блять, русский язык.
[/offtop]

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

APILogger например
blackninja2000.narod.ru/

| Сообщение посчитали полезным:

Года полтора назад писал им в саппорт. Там багов куча была не знаю как сейчас, вобще подходы нужно менять полностью. Вот нашёл часть, тулза вываливалась при завершении удалённого потока в текущем процессе:
> Функция RtlQueryProcessDebugInformation в случае уничтожения удалённого потока возвращает код завершения потока(ExitStatus), который далее возвращает ThpCreateRawSnap(). Отладочный буфер создаётся, но в нём поля определяющие информацию о кучах заполнены нулями вследствие ошибки. Далее по возврату из функции ThpCreateRawSnap() проверяется код ошибки и если он больше либо равен нулю вызывается ThpAllocateSnapshotSection(). Из ThpAllocateSnapshotSection() выполняется обращение к буферу с информацией:

if (dwFlags & TH32CS_SNAPHEAPLIST) {
SnapShotSize += RawDebugInfo->Heaps->NumberOfHeaps * sizeof(HEAPLIST32);
HeapListCount = RawDebugInfo->Heaps->NumberOfHeaps;
}

Heaps равно нулю, инструкция выполняет чтение по этому адресу, а там память не выделена и возникает исключение, а CreateToolhelp32Snapshot() не устанавливает сех-фрейм.

| Сообщение посчитали полезным: