Sólo texto | Texto con Imágenes

Test Foro de elhacker.net SMF 2.1

Programación => Ingeniería Inversa => Mensaje iniciado por: x64core en 14 Mayo 2012, 07:36 AM

Título: Modificar el Olly como API monitor?
Publicado por: x64core en 14 Mayo 2012, 07:36 AM
Hola a todos :)
Bueno se me ocurrio saber si es posible crear un tipo de API monitor que muetre todas las llamadas en el log del Olly :P
es posible esto seria una gran herramienta :)
Título: Re: Modificar el Olly como API monitor?
Publicado por: apuromafo CLS en 14 Mayo 2012, 07:43 AM
de primera parece buena idea, pero para eso existen los api monitor como el de kakeware.com
por el otro lado, siempre es bueno usar los bp condicionales, y desde el scripting puedes espiar casi cualquier api, sobre todo virtualprotect en los empacados ^^

saludos Cordiales
APuormafo

amm:
pd:
API Monitor KaKeeware
http://kakeeware.com/i_kam.php

Título: Re: Modificar el Olly como API monitor?
Publicado por: x64core en 14 Mayo 2012, 07:57 AM
Si la verdad es que e probado muchos API monitors y funcionan pero es molesto tener
dos programas ( el olly y el spy monitor ) el cual carga un driver para capturarlas todas
me pareceria super comodo y una super herramienta utilizar el olly como tal cosa :P

yo puse un break en una API que no se detuviera sino que me mostrara informacion en el log de olly
y funciono perfecto pero eso todo el mundo sabe como hacerlo y luego se me ocurrio hacerlo con todo
un modulo completo por ejemplo user32, etc

bueno no seria poner break point a todas las entradas de las APIs :P seguramente debe de haber una
forma para hacerlo automatico, luego se me ocurrio poner un break en el modulo que queria pero joder
me capturaba hasta los accesos a instrucciones o datos de modulo hahaha

gracias apuromafo por tu respuesta.

algun trucos gentee? =D
Título: Re: Modificar el Olly como API monitor?
Publicado por: ThunderCls en 14 Mayo 2012, 20:52 PM
Lo mas probable es que con algun script se pueda automatizar esa tarea (no se...no soy un script writer), quizas se tendria que revisar la IAT de cada modulo cargado y poner un LBP en sus respectivas direcciones. Tambien esta el tema de los modulos cargados en tiempo de ejecucion, que ya esto es otra historia, pues habria que trabajar con el resultado de LoadLibrary/A/W/Ex
Título: Re: Modificar el Olly como API monitor?
Publicado por: x64core en 15 Mayo 2012, 00:06 AM
Bueno aver quien puede ayudar :P
Título: Re: Modificar el Olly como API monitor?
Publicado por: x64core en 17 Mayo 2012, 04:34 AM
gente encontre una forma de poner un break en todas las funciones ahora creo que me da error porque
muchos breakpoint jaja
carga exe,alt +e,buscar modulo, doble click, click derecho, search for > all intermodular calls, click derecho,set breakpoint on every.

creo que estamos cerca no? :D ayuda  :xD
yo no me puedo del todo al olly...  :xD
Título: Re: Modificar el Olly como API monitor?
Publicado por: .:UND3R:. en 23 Mayo 2012, 18:51 PM
Yo pondría un Memory Break point on access, en toda la IAT, con esto tendrás un monitoreador de APIS. Saludos
Sólo texto | Texto con Imágenes