Modificar el Olly como API monitor?

Iniciado por x64core, 14 Mayo 2012, 07:36 AM

0 Miembros y 1 Visitante están viendo este tema.

x64core

Hola a todos :)
Bueno se me ocurrio saber si es posible crear un tipo de API monitor que muetre todas las llamadas en el log del Olly :P
es posible esto seria una gran herramienta :)

apuromafo CLS

de primera parece buena idea, pero para eso existen los api monitor como el de kakeware.com
por el otro lado, siempre es bueno usar los bp condicionales, y desde el scripting puedes espiar casi cualquier api, sobre todo virtualprotect en los empacados ^^

saludos Cordiales
APuormafo

amm:
pd:
API Monitor KaKeeware
http://kakeeware.com/i_kam.php


x64core

Si la verdad es que e probado muchos API monitors y funcionan pero es molesto tener
dos programas ( el olly y el spy monitor ) el cual carga un driver para capturarlas todas
me pareceria super comodo y una super herramienta utilizar el olly como tal cosa :P

yo puse un break en una API que no se detuviera sino que me mostrara informacion en el log de olly
y funciono perfecto pero eso todo el mundo sabe como hacerlo y luego se me ocurrio hacerlo con todo
un modulo completo por ejemplo user32, etc

bueno no seria poner break point a todas las entradas de las APIs :P seguramente debe de haber una
forma para hacerlo automatico, luego se me ocurrio poner un break en el modulo que queria pero joder
me capturaba hasta los accesos a instrucciones o datos de modulo hahaha

gracias apuromafo por tu respuesta.

algun trucos gentee? =D

ThunderCls

Lo mas probable es que con algun script se pueda automatizar esa tarea (no se...no soy un script writer), quizas se tendria que revisar la IAT de cada modulo cargado y poner un LBP en sus respectivas direcciones. Tambien esta el tema de los modulos cargados en tiempo de ejecucion, que ya esto es otra historia, pues habria que trabajar con el resultado de LoadLibrary/A/W/Ex
-[ "...I can only show you the door. You're the one that has to walk through it." – Morpheus (The Matrix) ]-
http://reversec0de.wordpress.com
https://github.com/ThunderCls/

x64core


x64core

gente encontre una forma de poner un break en todas las funciones ahora creo que me da error porque
muchos breakpoint jaja
carga exe,alt +e,buscar modulo, doble click, click derecho, search for > all intermodular calls, click derecho,set breakpoint on every.

creo que estamos cerca no? :D ayuda  :xD
yo no me puedo del todo al olly...  :xD

.:UND3R:.

Yo pondría un Memory Break point on access, en toda la IAT, con esto tendrás un monitoreador de APIS. Saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)