Anzeigen Wen ein bestimmtes Programm/process eine bestimmte API ausführt und was sie genau tut

[best4free]

Anzeigen Wen ein bestimmtes Programm/process eine bestimmte API ausführt und was sie genau tut

Also Leute ich habe eine frage. ich bin zwar noch nicht so lange im board , meine frage ist kompliziert würde ich mal so sagen . Also wie finde ich heraus wenn ein bestimmtes programm ein API CALL ausführt ? also API SPY .könnt ihr mir methoden sagen wie man anfangen könnte und womit genau ? ich habe mal bei google API hooking gelesen und hier im Board auch ein tut gefunden sehr gut beschrieben . ich habe 2 fragen .

Also wie man heraus findet wann ein bestimmtes Programm ein bestimmten API Call ausführt.

und ist API hooking dafür die einzigste lösung ?

 

[mauralix]

Es reicht zuerst mal einen Debugger verwenden (z.B. Ollydbg) und Breakpoints bei den API-Funktionen setzen.

 

[best4free]

danke für die antwort

wurde mir schonmal gesagt aber was bringt mir das wen ich ein breakpoint bei der funktion setze? und wie kan ich verfolgen was die funktion gerufen wird und was sie enthält

 

[Machine]

Also, wenn ich dich jetzt richtig verstanden habe:
Du weißt aber schon, was ein Breakpoint ist, ja? Wenn du einen bei einer API Funktion setzt, dann hält der Debugger (Olly) an dieser Stelle an und du siehst, _wo_ das Programm den API Call durchführt.

BTW: Irgendwie ergeben deine Sätze nicht immer einen wirklichen Sinn... ?(

 

[CDW]

Stichwort: API Monitoring
http://www.wintotal.de/softw/index.php?rb=27&id=536 (ungetestet)
http://www.rohitab.com/apimonitor/index.html (laut BuHa-Board ganz ok)

und weitere
http://www.google.de/search?q=API Monitor

 

[best4free]

danke

ja klar weis ich was ein breakpoint ist da stop der debugger an der Adresse wie soll ich dann rauskriegen was der API call genau gemacht hat ?
also APImonitor hab ich schon ausgetested and der stelle erkennt er kein APICall

 

[xrayn]

Es ist auch nicht sinnvoll Userlandhooks zu verwenden, die Chance, dass diese umgangen werden ist viel zu hoch, besser ist es man verwendet Kernelhooks und das moeglichst unauffaellig. Wirf mal einen Blick auf joebox.org. In der "puplic" Version kann man zwar noch nicht einstellen, welche API-Calls gehookt werden sollen, aber das wird sich noch aendern, zudem werden die Grundbeduerfnisse (File/Reg/Prozess-Managment) jetzt schon abgedeckt.

 

[CDW]

wie soll ich dann rauskriegen was der API call genau gemacht hat ?

Was die API an sich macht, steht normalerweise in der MSDN
Was den API-Call veranlasst hat (der Aufrufer) sollte im Stackfenster des Debuggers ablesbar sein (RETURN Adresse).

 

[best4free]

leute geschafft ihr seid echt gut in anderen boards hilft ein keiner .... und hier 1 tag und schon 6 antworten und 200hits boah fett