API-Monitor
 

Hi,

ich muss zur Zeit ein bisschen Reverse-Engineering / Verhaltensforschug betreiben. Dazu suche ich einen guten API-Monitor mit dem ich gezielt Aufrufe bestimmter API-Funktionen eines Prozesses aufzeichnen kann. Idealerweise sollte man auch die Aufrufe von COM-Interface-Methoden bestimmter Interface aufzeichnen können.

Kennt jemand eine solche Software? Ideal wäre natürlich Freeware, aber da ich mal davon ausgehe, dass es sowas nicht als Freeware gibt wäre ich auch mit einer Trial Version glücklich..!

Gruß, Motzi

Re: API-Monitor
 

können den winforce oder spy++ sowas nicht?

und teilweise doch auch winsight32 was bei Delphi dabei ist?

Re: API-Monitor
 

Nein, leider nicht.. mit denen kann ich nur die Messages mitloggen die an das Fenster geschickt werden.. Das hab ich bereits gemacht und hat mir auch schon ein paar neue Erkenntnisse gebracht, aber so ein API/COM Monitor wäre trotzdem nicht schlecht! Ich hab mir inzwischen mal die Trial Version von Auto Debug geholt - das is schonmal nicht schlecht, allerdings werden keine Aufrufe von Interface-Methoden mitgeloggt.. :?

Re: API-Monitor
 

Also bei COM wirst du wohl kaum darum herumkommen alle COM-Server zu ersetzen und die entsprechenden Parameter an den ursprünglichen weiterzuleiten. API-Monitore gibt es viele, aber COM?! Es kommen ein paar Tools zum Thema im PSDK, aber nix was einem COM-Monitor nahe käme. Wäre mir auch nicht bekannt, daß dies geht. Gerade Interfaces sind ja so eine heikle Sache.

Re: API-Monitor
 

Also hier hab ich einen interessanten Artikel über COM-Hooking gefunden:
http://www.codeguru.com/Cpp/COM-Tech...cle.php/c5563/

im Prinzip geht es mir eh nur um ein einziges Interface, schlimmstenfalls werd ich mir also wohl den Artikel genauer anschauen und das halt selbst in die Hand nehmen. Wär aber trotzdem schön wenns da schon ein nettes Tool dafür gäbe...

Re: API-Monitor
 

So.. hab jetzt noch ein recht nettes Tool gefunden:
http://www.evocorp.com/IridiumX/CCX/CoClassXplorer.htm

Leider in meinem Fall nicht einsetzbar, da es bei meinem Einsatz-Fall eine EAV in der Inject-Dll gibt.. :?

Findet/kennt jemand andrer was besseres?

Gruß, Motzi

Re: API-Monitor
 

Hi,

die schlechte Nachricht: ich hab leider auch nach mehrstündiger Suche kein derartiges Tool gefunden, mit dem man das machen könnte was ich mir vorgestellt habe.

Die gute Nachricht: ich hab gestern nach einer mehrstündiger Hardcore-Debugging-Session die V-Table des betroffenen COM-Objects gefunden, mir daraus die entsprechenden Adressen der wichtigsten Methoden geholt und jetzt die entsprechenden Adress-Breakpoints gesetzt. Ich glaub ich hab mich gestern einmal mehr in den Delphi-Debugger verliebt!!! ;)

Jetzt steht einer weiteren Erkundungstour nichts mehr im Weg!! :)

Gruß, Motzi

Re: API-Monitor
 

LOL, schreib doch eines, welches eine IDL oder Typelib parst und dann die entsprechenden Method-Calls hookt. Aber wie gesagt, ich stelle mit das aufgrund der Probleme mit normalen APIs mal nicht so einfach vor.

Re: API-Monitor
 

Machst du mir das? Es geht mir um das ISecurityInformation-Interface aus der AclUI.dll... ;)

Ne, mit den Breakpoints die ich jetzt hab is das eh eine feine Sache, mehr brauch ich nicht!! :)

Re: API-Monitor
 

Bist du verrückt :mrgreen: ... was meinst du, warum ich _dir_ das "angeboten" habe, daß du es schreiben sollst ... ;)