Добрый вечер! Тут такое дело, скачал kerberos v1.13 с нашего любимого сайта, хотел попробовать поотлавливать winAPI фун-ии. Указываю проге путь к exe-шнику, аргументы не указываю, по умолчанию(папка где сам exe-шник) прописывается путь для выходного лог файла, по умолчанию стоит путь к базе winapi функций,после inject-a выбираю PID. Нажимаю inject выбираю exe , делаю в нём что в голову взбредёт(тыкаю на " О программе" (по идеи это либо Msgbox,dlgbox, и тд) вообщем по разному пытаюсь вызвать именно эти функции) , закрываю exe. В итоге в той папке с исслед exe 0б-ный лог( [img]https://ibb.co/cTh3o9[/img]


p.s Программу запускал от имени админа , так что вариант, что нет прав на запись в System32 отпадает. Помогите пожалуйста, может я упустил какую-то мелочь, а может это прога изжила своё и корректно работает на winXP, или же посоветуйте действенный api monitor для Win7(желательно с инструкцией, не благое это дело методом тыка действовать).

| Сообщение посчитали полезным:

Ko3e_ba9n пишет:
посоветуйте действенный api monitor для Win7
Тысячи их
Какие API хочешь мониторить скажи, накидаем вариантов, так например прямые системные вызовы, или инлайн функции обычные моники не увидят.
Большинство обычных случаев API Monitor v2 покрывает. WinAPIOverride, SPYStudio тоже работают.

| Сообщение посчитали полезным:

Ko3e_ba9n
Рекомендую один и адекватных мониторов, который использую сам
API Monitor v2
Portable версия 32-bit and 64-bit.

| Сообщение посчитали полезным: f13nd, plutos, Ko3e_ba9n

Ko3e_ba9n пишет:
Msgbox,dlgbox
Совершенно не обязательно. Вполне может создаваться через CreateWindow(Ex). Любой язык/библиотека со своим форматом форм так и сделаны.
Поэтому начать стоит с определения языка/библиотеки. Еще может помочь название класса окна.

BlackCode
особо не пользовался, но кажется апимон не умеет ловить вызовы из динамического кода

| Сообщение посчитали полезным:

-=AkaBOSS=- пишет:
особо не пользовался, но кажется апимон не умеет ловить вызовы из динамического кода
Может

| Сообщение посчитали полезным:

Имхо лучший апи-шпион это procmon руссиновича. Да, он не умеет оконные функции ловить, но мне как-то на ум не приходит зачем это делать.

ЗЫ: поймать создание любого окошка можно бряком на ShowWindow.

-----
2 оттенка серого

| Сообщение посчитали полезным: Ko3e_ba9n

[оффтоп]
BlackCode
А как это включить? Или можно как-то метод перехвата указать?
У меня почему-то отображаются только вызовы из "официально" загруженных модулей.
А под "динамическим кодом" я имею в виду именно отдельно выделенную область памяти, в которую распаковался и крутится код, который сам себе импорт настраивает.
[/оффтоп]

| Сообщение посчитали полезным:

-=AkaBOSS=- пишет:
А под "динамическим кодом" я имею в виду именно отдельно выделенную область памяти, в которую распаковался и крутится код, который сам себе импорт настраивает.
API Monitor ставит хуки в ядре, какая разница откуда будет вызов АПИ?
Из динамического кода или статического?
Только в одном случае снифер не сработает, если АПИ имеет свою костомную реализацию в программе.
Как пример, GetProcAddress который очень любят эмулировать разные проты.
f13nd пишет:
Имхо лучший апи-шпион это procmon руссиновича
Согласен, если б не одно НО. Если программа под протом, только "ленивый" прот не запалит его.)

| Сообщение посчитали полезным: Ko3e_ba9n

BlackCode пишет:
API Monitor ставит хуки в ядре, какая разница откуда будет вызов АПИ?
У меня он предлагает на выбор Attach Using: Static Import/Context Switch/Internal Debugger/Remote Thread(extended)/Remote Thread(standard). И то ли лыжи не едут, то ли при аттаче к процессу он ничего не ловит, только если через него запускать целевой процесс. Что из этого хуки в ядре?
-=AkaBOSS=- пишет:
У меня почему-то отображаются только вызовы из "официально" загруженных модулей.
Видимо Static Import по умолчанию выбран.

ЗЫ: инструмент похоже хороший, надо было видимо почаще следить за обновлениями, чем раз в 8 лет libeay32 в него добавить и даже сгодится для чего-нибудь.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd пишет:
Видимо Static Import по умолчанию выбран.
ну да, скорее всего.
А какой вариант будет ловить вызовы из любого места? Ну, кроме дебаггера, разумеется)
Отладчиком я и так лог-бряк поставить могу (так, собственно, я обычно и решаю вопрос мониторинга вызовов)

| Сообщение посчитали полезным:

-=AkaBOSS=- пишет:
Отладчиком я и так лог-бряк поставить могу
Ольгой например боль и страдания лог-бряк с unicode поставить.

-----
2 оттенка серого

| Сообщение посчитали полезным:

Автор думал походу что на любой софтине можно добиться успеха через клацание кнопок в смежном софте. Увы, на кнопках это не заканчивается, это лишь начало

Дальше отладчики и компилеры.

Добавлено спустя 7 минут
-=AkaBOSS=-

> А какой вариант будет ловить вызовы из любого места? Ну, кроме дебаггера, разумеется)

Есть варианты. Но они без кнопок.
Юзер отладчик можно использовать лишь в самых простых случаях. Если апп с защитой от отладки, то лишь км отладчик можно обычно без гемора заюзать. А виндбг не предназначен для решения юзер задач.
Всегда такое решается штатно - компилер и в нём работа с кучей моторов, либо км дебаг, либо перебирать паблик тонны всяких плагов в надежде что наконец то оно не отвалится

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Автор думал походу что на любой софтине можно добиться успеха через клацание кнопок в смежном софте. Увы, на кнопках это не заканчивается, это лишь начало
Реверс далеко не всегда отключение лицензионных защит и не всегда приходится иметь дело с протекторами. Никаких упоминаний ни о первом, ни о втором у ТСа нету. В последний раз стакливался с протектором года два назад, это был обсидиум и он почти не мешал все что нужно из программы вынуть. Некоторым производителям ПО до звезды на протекторы.

-----
2 оттенка серого

| Сообщение посчитали полезным:

BlackCode Спасибо !

| Сообщение посчитали полезным: