eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 октября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: subword, forever_, Adler (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› kerberos v1.13(winapi hooks) - need helps for this program
Посл.ответ Сообщение

Ранг: 0.5 (гость)
Статус: Участник

Создано: 13 августа 2018 22:48 New!
Цитата · Личное сообщение · #1

Добрый вечер! Тут такое дело, скачал kerberos v1.13 с нашего любимого сайта, хотел попробовать поотлавливать winAPI фун-ии. Указываю проге путь к exe-шнику, аргументы не указываю, по умолчанию(папка где сам exe-шник) прописывается путь для выходного лог файла, по умолчанию стоит путь к базе winapi функций,после inject-a выбираю PID. Нажимаю inject выбираю exe , делаю в нём что в голову взбредёт(тыкаю на " О программе" (по идеи это либо Msgbox,dlgbox, и тд) вообщем по разному пытаюсь вызвать именно эти функции) , закрываю exe. В итоге в той папке с исслед exe 0б-ный лог( [img]https://ibb.co/cTh3o9[/img]


p.s Программу запускал от имени админа , так что вариант, что нет прав на запись в System32 отпадает. Помогите пожалуйста, может я упустил какую-то мелочь, а может это прога изжила своё и корректно работает на winXP, или же посоветуйте действенный api monitor для Win7(желательно с инструкцией, не благое это дело методом тыка действовать).

Ранг: 133.6 (ветеран)
Статус: Участник

Создано: 13 августа 2018 23:07 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #2

Ko3e_ba9n пишет:
посоветуйте действенный api monitor для Win7

Тысячи их
Какие API хочешь мониторить скажи, накидаем вариантов, так например прямые системные вызовы, или инлайн функции обычные моники не увидят.
Большинство обычных случаев API Monitor v2 покрывает. WinAPIOverride, SPYStudio тоже работают.


Ранг: 53.9 (постоянный)
Статус: Участник

Создано: 13 августа 2018 23:15 New!
Цитата · Личное сообщение · #3

Ko3e_ba9n
Рекомендую один и адекватных мониторов, который использую сам
API Monitor v2
Portable версия 32-bit and 64-bit.

| Сообщение посчитали полезным: f13nd, plutos, Ko3e_ba9n



Ранг: 149.4 (ветеран)
Статус: Участник

Создано: 14 августа 2018 08:01 New!
Цитата · Личное сообщение · #4

Ko3e_ba9n пишет:
Msgbox,dlgbox

Совершенно не обязательно. Вполне может создаваться через CreateWindow(Ex). Любой язык/библиотека со своим форматом форм так и сделаны.
Поэтому начать стоит с определения языка/библиотеки. Еще может помочь название класса окна.

BlackCode
особо не пользовался, но кажется апимон не умеет ловить вызовы из динамического кода


Ранг: 53.9 (постоянный)
Статус: Участник

Создано: 14 августа 2018 08:24 New!
Цитата · Личное сообщение · #5

-=AkaBOSS=- пишет:
особо не пользовался, но кажется апимон не умеет ловить вызовы из динамического кода

Может


Ранг: 220.3 (наставник)
Статус: Участник

Создано: 14 августа 2018 08:34 New!
Цитата · Личное сообщение · #6

Имхо лучший апи-шпион это procmon руссиновича. Да, он не умеет оконные функции ловить, но мне как-то на ум не приходит зачем это делать.

ЗЫ: поймать создание любого окошка можно бряком на ShowWindow.

| Сообщение посчитали полезным: Ko3e_ba9n



Ранг: 149.4 (ветеран)
Статус: Участник

Создано: 14 августа 2018 08:36 New!
Цитата · Личное сообщение · #7

[оффтоп]
BlackCode
А как это включить? Или можно как-то метод перехвата указать?
У меня почему-то отображаются только вызовы из "официально" загруженных модулей.
А под "динамическим кодом" я имею в виду именно отдельно выделенную область памяти, в которую распаковался и крутится код, который сам себе импорт настраивает.
[/оффтоп]


Ранг: 53.9 (постоянный)
Статус: Участник

Создано: 14 августа 2018 08:50 New!
Цитата · Личное сообщение · #8

-=AkaBOSS=- пишет:
А под "динамическим кодом" я имею в виду именно отдельно выделенную область памяти, в которую распаковался и крутится код, который сам себе импорт настраивает.

API Monitor ставит хуки в ядре, какая разница откуда будет вызов АПИ?
Из динамического кода или статического?
Только в одном случае снифер не сработает, если АПИ имеет свою костомную реализацию в программе.
Как пример, GetProcAddress который очень любят эмулировать разные проты.
f13nd пишет:
Имхо лучший апи-шпион это procmon руссиновича

Согласен, если б не одно НО. Если программа под протом, только "ленивый" прот не запалит его.)

| Сообщение посчитали полезным: Ko3e_ba9n



Ранг: 220.3 (наставник)
Статус: Участник

Создано: 14 августа 2018 09:25 · Поправил: f13nd New!
Цитата · Личное сообщение · #9

BlackCode пишет:
API Monitor ставит хуки в ядре, какая разница откуда будет вызов АПИ?

У меня он предлагает на выбор Attach Using: Static Import/Context Switch/Internal Debugger/Remote Thread(extended)/Remote Thread(standard). И то ли лыжи не едут, то ли при аттаче к процессу он ничего не ловит, только если через него запускать целевой процесс. Что из этого хуки в ядре?
-=AkaBOSS=- пишет:
У меня почему-то отображаются только вызовы из "официально" загруженных модулей.

Видимо Static Import по умолчанию выбран.

ЗЫ: инструмент похоже хороший, надо было видимо почаще следить за обновлениями, чем раз в 8 лет libeay32 в него добавить и даже сгодится для чего-нибудь.


Ранг: 149.4 (ветеран)
Статус: Участник

Создано: 14 августа 2018 09:47 New!
Цитата · Личное сообщение · #10

f13nd пишет:
Видимо Static Import по умолчанию выбран.

ну да, скорее всего.
А какой вариант будет ловить вызовы из любого места? Ну, кроме дебаггера, разумеется)
Отладчиком я и так лог-бряк поставить могу (так, собственно, я обычно и решаю вопрос мониторинга вызовов)


Ранг: 220.3 (наставник)
Статус: Участник

Создано: 14 августа 2018 09:50 New!
Цитата · Личное сообщение · #11

-=AkaBOSS=- пишет:
Отладчиком я и так лог-бряк поставить могу

Ольгой например боль и страдания лог-бряк с unicode поставить.


Ранг: 314.0 (мудрец)
Статус: Участник

Создано: 18 августа 2018 00:53 New!
Цитата · Личное сообщение · #12

Автор думал походу что на любой софтине можно добиться успеха через клацание кнопок в смежном софте. Увы, на кнопках это не заканчивается, это лишь начало

Дальше отладчики и компилеры.

Добавлено спустя 7 минут
-=AkaBOSS=-

> А какой вариант будет ловить вызовы из любого места? Ну, кроме дебаггера, разумеется)

Есть варианты. Но они без кнопок.
Юзер отладчик можно использовать лишь в самых простых случаях. Если апп с защитой от отладки, то лишь км отладчик можно обычно без гемора заюзать. А виндбг не предназначен для решения юзер задач.
Всегда такое решается штатно - компилер и в нём работа с кучей моторов, либо км дебаг, либо перебирать паблик тонны всяких плагов в надежде что наконец то оно не отвалится


Ранг: 220.3 (наставник)
Статус: Участник

Создано: 18 августа 2018 09:25 New!
Цитата · Личное сообщение · #13

difexacaw пишет:
Автор думал походу что на любой софтине можно добиться успеха через клацание кнопок в смежном софте. Увы, на кнопках это не заканчивается, это лишь начало

Реверс далеко не всегда отключение лицензионных защит и не всегда приходится иметь дело с протекторами. Никаких упоминаний ни о первом, ни о втором у ТСа нету. В последний раз стакливался с протектором года два назад, это был обсидиум и он почти не мешал все что нужно из программы вынуть. Некоторым производителям ПО до звезды на протекторы.

Ранг: 0.5 (гость)
Статус: Участник

Создано: 29 августа 2018 23:13 New!
Цитата · Личное сообщение · #14

BlackCode Спасибо !
 eXeL@B —› Софт, инструменты —› kerberos v1.13(winapi hooks) - need helps for this program
Эта тема закрыта. Ответы больше не принимаются.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS