Доброго времени!

Есть проблемка: исследуемая софтина криптована, имеет на борту кучу способов антиотладки, перезапускает сама себя, создает потоки, генерит исключения, юзает только функции ntdll, поэтому анализ затруднен.
Пока исследовал ее с помощью ollydbg, проставив бряки чуть ли не на все функции ntdll. Крайне медленно и неудобно.

Вопрос: как упростить анализ? успешным анализ можно считать если буду знать какие функции и с какими папаметрами вызываются, т.е что подробно она делает).
Подвопросы: есть ли нормально работающие апимониторы для функций nt? есть ли программы, которые позволяют поставить перехваты в ядре и залогировать? (на случай если сусентер используется)

| Сообщение посчитали полезным:

добавка к вопросам выше: посоветуйте нормальную определялку чем упакован файл (с хоть немного современными сигнатурами), чтобы можно было свои сигны добавлять и все текущие нормально редактировать.

| Сообщение посчитали полезным:

https://ssl.exelab.ru/f/action=vthread&forum=12&topic=20736

| Сообщение посчитали полезным:

priag попробуй ApiMonitor.

| Сообщение посчитали полезным:

спасибо за ссылку на die классная штука.

апи монитор малоудобен. прямые вызовы от ехешника в ntdll не отличает от внутренних сопутствующих, вообще нереально понять что делается...
(программа работает с секциями в памяти, потому важно понять алгоритм, какие секции открывает, загружает, мапит, анмапит, пишет, читает). по логу апимонитора как не ясно. может его можно как то настроить хитро... в общем разбираюсь...

| Сообщение посчитали полезным: