وظیفهء API Spy ها شنود فراخوانی توابع ویندوز یا CRT یک پروسه در زمان اجراست ؛
سوال : با یک دیباگر میشه توابع رو هنگام فراخوانی مشاهده کرد ، چه نیازی به API Spy هست ؟
جواب : به چند دلیل فنی و غیر فنی این ابزارها مفیدند ؛ اولا" برای عملکرد از منطق دیباگر ها استفاده نمیکنند – رجوع به تاپیک مربوط به دیباگر – بنابراین روتینهای آنتی دیباگ باعث توقف اونها یا نقص در عملکرد برنامه نخواهند شد ، و چون در حین انجام عمل شنود ، به لطف Injection به یکی از اجزاء پروسه مقصد تبدیل میشن ، API Redirection یا فراخوانی توابع در زمان اجرا با جستجوی حافظه و پیدا کردن ادرس تابع و تریکهائی مانند این ، عمل trace متوقف نمیشه .
یکی از API Spy های قدرتمند Kerberos API Spy هست که براحتی قابل پیکره بندی است و قاعدتا" هر کسی بنابه نیاز و مورد استفاده اش میتونه به نحو احسن تغییرش بده .
اگر مایل به trace پروسه در حال اجرائی هستید کافیه PID اش رو وارد کنید ، و اگر مایلید همزمان با شروع برنامه trace انجام بشه ، توسط خود Kerberos Spy اجراش کنید ، و لازمه قبل از شروع آدرس دیتابیسی که حاوی توابع مورد نظر هست و همینطور فایلی که قراره حاوی خروجی trace باشه بهش بدین ، برای یک نمونه خیلی ساده :
میتونید Hook Database رو بسته به زبانی که برنامه مورد نظرتون باهاش نوشته شده یا توابعی که بهش علاقه مندید پیکره بندی کنید . اخرین نسخه این ابزار مفید رو ضمیمه کردم .
موفق باشید
پاسخ با نقل قول
