APIMonitor(API监控工具,可替代SoftSnoop)

Home / Hackintosh MrLee 2016-4-20 6067

随着现在保护技术的进步,越来越多的程序面临着脱壳、反反调试、花指令、动态变形、虚拟机等多种多样的拦路虎,这些程序如果直接用OD,IDA进行反汇编调试分析会令人头疼不已,而采用黑箱分析的方法仍然有效 (所谓黑箱分析就是在不反汇编的情况下分析程序的运行情况,特别是API的调用情况和调用地址、参数)。个人用过SoftSnoop这个API监控工具,由于其采用附加调试的方式获取分析程序的信息,在面对现在众多的反调试程序面前显得有些乏力,同时该软件分析的信息全部堆在一个消息框里,当要监控的API较多时信息较为杂乱,不利于分析。针对SoftSnoop的一些不足,有了APIMonitor的诞生。
APIMonitor主要特点: 1、  APIMonitor的主要功能全部在Dll.dll这个动态连接库中,APIMonitor1.0.exe负责将其注入到要分析的进程,这样如果程序有反注入还可以用其他工具或方法注入进程,比如输入法注入、内核注入、LPC注入等等多种更牛B的注入方式,同时不怕程序反调试。
2、  APIMonitor采用Inline Hook的方式Hook进程中的任意Dll,可指定Hook某一API对其进行单独监控,也可选择整个Dll所有API进行监控。

Dll监控


3、  APIMonitor可对程序异常进行监控,比如SEH、VEH等,从而可以追踪程序采用SEH、VEH等技术进行的反调试。

异常监控


4、  APIMonitor对API的监控信息全部通过表格排序分类显示,可清晰的知道API调用的地址、API名称、调用的模块、调用的次数,方便对程序进行分析,这些信息都可随时进行保存。
5、  APIMonitor还可作为一个注入工具使用,并支持拖拽,使用方便。

注入界面


6、APIMonitor采用纯VC+SDK编写,程序精炼小巧,运行占用资源少。
7、  APIMonitor可选择是否对系统Dll对API调用进行监控,默认是不进行监控,以省去大量无用的信息
8、  APIMonitor可对API调用的参数进行监控,可以查看API的参数,如果API中的参数是字符串,则会直接显示出字符串,APIMonitor会保存最新调用的不同10条API调用的参数信息,同时可以自定义API参数信息。

参数信息

注:APIMonitor的参数格式文件在“ParamTemplet”文件夹内,Name_Param = 参数名称,这个会在参数信息中 Type_Param = 参数的类型,0为默认,1为字符串,2为宽字符串,可自行修改或增加,也可用APIParamHandler将VC头文件中的API函数转化为APIMonitor显示参数所用的ini文件格式,免去手动输入的麻烦,APIParamHandler的源码我也一起发布了,地址在:http://bbs.pediy.com/showthread.php?...79#post1242979
9、支持Win7
APIMonitor下一版改进: 1、  美化界面,界面一直不是我的强项。 2、  支持多种注入方法。 3、  改进Hook代码,尽可能减少不能用“Hook Dll”功能Hook的API 4、  其他建议欢迎跟帖,或发我消息
写过很多工具,第一次发布工具,希望这个工具能替代看雪网站上的监控工具SoftSnoop。
更新APIMonitor1.3: 1. 此版增加监控API参数的重要功能,可以查看API的参数,如果API中的参数是字符串,则会直接显示出字符串 2. 可自定义API参数 3. 增加"监控系统调用"选项,可选择是否显示系统的一些调用 4. 增加APIParamHandler程序,此程序可处理一些C语言版API头文件,转化为APIMonitor可识别的参数格式,欢迎大家测试,有问题跟贴反馈。
APIMonitor1.3下载:APIMonitor1.3 增加了暂停监控键的模块,下载后覆盖原Dll.dll即可:Dll APIParamHandler:APIParamHandler

本文链接:https://www.it72.com/9282.htm

推荐阅读
最新回复 (0)
返回