[求助]有没有什么好的工具可以监控一个程序调用的api和syscall-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 2 楼 Process Monitor Syscall Monitor API Monitor 2020-1-31 16:38 0
白菜大哥雪币： 12504 活跃值： (3093) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 3 楼 hzqst Process Monitor Syscall Monitor API Monitor 谢谢表哥，这些都必须在真机运行吧。。。em，有没有可以不在真机运行的呀。 2020-1-31 16:40 0
pureGavin 雪币： 15729 活跃值： (19033) 能力值： ( LV12，RANK：300 ) 在线值：发帖 97 回帖 1440 粉丝 299 关注私信	pureGavin 3 4 楼 IDA+DBG 2020-1-31 17:16 0
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 19 关注私信	Lixinist 1 5 楼我一直用火绒剑和api monitor 2020-1-31 18:36 0
白菜大哥雪币： 12504 活跃值： (3093) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 6 楼 pureGavin IDA+DBG 谢谢。。话说俺现在脱壳，就是用这种原始方式。。dump+ida+调试。。虽然慢，但是很练基本功。。把运行中的程度dump下来，修复以后ida一下，继续运行。一点一点脱。。。最后于 2020-1-31 19:49 被白菜大哥编辑，原因： 2020-1-31 19:45 0
白菜大哥雪币： 12504 活跃值： (3093) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 7 楼 Lixinist 我一直用火绒剑和api monitor 确实可以应对大部分情况，谢谢。有个啥平台，在线的，忘了叫啥名字，可以上传exe，然后分析出调用的api顺序。最后于 2020-1-31 19:51 被白菜大哥编辑，原因： 2020-1-31 19:48 0
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 19 关注私信	Lixinist 1 8 楼白菜大哥 Lixinist 我一直用火绒剑和api monitor 确实可以应对大部分情况，谢谢。有个啥平台，在线的，忘了叫啥名字，可以上传exe，然后分析出调用 ... 微步，哈勃，奇安信。还有一个不记得了 2020-1-31 20:50 0
白菜大哥雪币： 12504 活跃值： (3093) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 9 楼 Lixinist 微步，哈勃，奇安信。还有一个不记得了谢谢，既然如此，小弟也分享一点心得，作为回报。脱一些强壳，比如iat被破坏的不成样子了，importrec找不到了（类似vmp最新版，call会到vmp的区段内），有个通用的办法就是写一个dll，用x32dbg的alt+e窗口，注入进去dll，然后那个dll，里面把原始call的目的地址（ida静态撸出来可执行节，可以找到哪些需要修复，一般除了vm函数以外都可是可以这种办法修复的）指向自己分配的内存，自己分配的内存写成ff 15和ff 25那种形式，就可以继续用工具自动化来修复iat了。 2020-1-31 22:41 0
killpy 雪币： 83 活跃值： (1092) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 49 关注私信	killpy 2 10 楼白菜大哥谢谢，既然如此，小弟也分享一点心得，作为回报。脱一些强壳，比如iat被破坏的不成样子了，importrec找不到了（类似vmp最新版，call会到vmp的区段内），有个通用的办法就是写一个dll， ... 不知道你在说啥 2020-2-1 14:33 0
白菜大哥雪币： 12504 活跃值： (3093) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 11 楼 killpy 不知道你在说啥 em，脱vmprotect，修复iat的方法。。仅仅是个人方式 2020-2-1 14:58 0
killpy 雪币： 83 活跃值： (1092) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 49 关注私信	killpy 2 12 楼白菜大哥 em，脱vmprotect，修复iat的方法。。仅仅是个人方式没看懂建议做个详细教程 2020-2-1 15:26 1
白菜大哥雪币： 12504 活跃值： (3093) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 13 楼 killpy 没看懂建议做个详细教程 em，最近又不搞vmprotect了，搞mapoengine，也是一个虚拟机的壳，哪天拿他写一篇吧。。 2020-2-1 16:15 0
mb_xghoecki 雪币： 2510 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 401 粉丝 1 关注私信	mb_xghoecki 14 楼帮顶 2020-2-3 21:25 3
kakasasa 雪币： 577 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 294 粉丝 5 关注私信	kakasasa 15 楼白菜大哥 pureGavin IDA+DBG 谢谢。。话说俺现在脱壳，就是用这种原始方式。。dump+ida+调试。。虽然慢，但是很练基本功。。把运行中的程度du ... 问下，为什么非要脱壳修复iat？vm后的就算脱了还是vm后的代码呀，我和你一样也都是dump分析加带壳调试，工作关系一般只是扣算法，所以问下你们哪些场景下需要脱壳。 2020-2-6 01:17 0
白菜大哥雪币： 12504 活跃值： (3093) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 16 楼 kakasasa 问下，为什么非要脱壳修复iat？vm后的就算脱了还是vm后的代码呀，我和你一样也都是dump分析加带壳调试，工作关系一般只是扣算法，所以问下你们哪些场景下需要脱壳。强迫症。。。 2020-2-6 07:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 2 楼 Process Monitor Syscall Monitor API Monitor 2020-1-31 16:38 0
白菜大哥雪币： 12504 活跃值： (3093) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 3 楼 hzqst Process Monitor Syscall Monitor API Monitor 谢谢表哥，这些都必须在真机运行吧。。。em，有没有可以不在真机运行的呀。 2020-1-31 16:40 0
pureGavin 雪币： 15729 活跃值： (19033) 能力值： ( LV12，RANK：300 ) 在线值：发帖 97 回帖 1440 粉丝 299 关注私信	pureGavin 3 4 楼 IDA+DBG 2020-1-31 17:16 0
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 19 关注私信	Lixinist 1 5 楼我一直用火绒剑和api monitor 2020-1-31 18:36 0
白菜大哥雪币： 12504 活跃值： (3093) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 6 楼 pureGavin IDA+DBG 谢谢。。话说俺现在脱壳，就是用这种原始方式。。dump+ida+调试。。虽然慢，但是很练基本功。。把运行中的程度dump下来，修复以后ida一下，继续运行。一点一点脱。。。最后于 2020-1-31 19:49 被白菜大哥编辑，原因： 2020-1-31 19:45 0
白菜大哥雪币： 12504 活跃值： (3093) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 7 楼 Lixinist 我一直用火绒剑和api monitor 确实可以应对大部分情况，谢谢。有个啥平台，在线的，忘了叫啥名字，可以上传exe，然后分析出调用的api顺序。最后于 2020-1-31 19:51 被白菜大哥编辑，原因： 2020-1-31 19:48 0
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 19 关注私信	Lixinist 1 8 楼白菜大哥 Lixinist 我一直用火绒剑和api monitor 确实可以应对大部分情况，谢谢。有个啥平台，在线的，忘了叫啥名字，可以上传exe，然后分析出调用 ... 微步，哈勃，奇安信。还有一个不记得了 2020-1-31 20:50 0
白菜大哥雪币： 12504 活跃值： (3093) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 9 楼 Lixinist 微步，哈勃，奇安信。还有一个不记得了谢谢，既然如此，小弟也分享一点心得，作为回报。脱一些强壳，比如iat被破坏的不成样子了，importrec找不到了（类似vmp最新版，call会到vmp的区段内），有个通用的办法就是写一个dll，用x32dbg的alt+e窗口，注入进去dll，然后那个dll，里面把原始call的目的地址（ida静态撸出来可执行节，可以找到哪些需要修复，一般除了vm函数以外都可是可以这种办法修复的）指向自己分配的内存，自己分配的内存写成ff 15和ff 25那种形式，就可以继续用工具自动化来修复iat了。 2020-1-31 22:41 0
killpy 雪币： 83 活跃值： (1092) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 49 关注私信	killpy 2 10 楼白菜大哥谢谢，既然如此，小弟也分享一点心得，作为回报。脱一些强壳，比如iat被破坏的不成样子了，importrec找不到了（类似vmp最新版，call会到vmp的区段内），有个通用的办法就是写一个dll， ... 不知道你在说啥 2020-2-1 14:33 0
白菜大哥雪币： 12504 活跃值： (3093) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 11 楼 killpy 不知道你在说啥 em，脱vmprotect，修复iat的方法。。仅仅是个人方式 2020-2-1 14:58 0
killpy 雪币： 83 活跃值： (1092) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 49 关注私信	killpy 2 12 楼白菜大哥 em，脱vmprotect，修复iat的方法。。仅仅是个人方式没看懂建议做个详细教程 2020-2-1 15:26 1
白菜大哥雪币： 12504 活跃值： (3093) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 13 楼 killpy 没看懂建议做个详细教程 em，最近又不搞vmprotect了，搞mapoengine，也是一个虚拟机的壳，哪天拿他写一篇吧。。 2020-2-1 16:15 0
mb_xghoecki 雪币： 2510 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 401 粉丝 1 关注私信	mb_xghoecki 14 楼帮顶 2020-2-3 21:25 3
kakasasa 雪币： 577 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 294 粉丝 5 关注私信	kakasasa 15 楼白菜大哥 pureGavin IDA+DBG 谢谢。。话说俺现在脱壳，就是用这种原始方式。。dump+ida+调试。。虽然慢，但是很练基本功。。把运行中的程度du ... 问下，为什么非要脱壳修复iat？vm后的就算脱了还是vm后的代码呀，我和你一样也都是dump分析加带壳调试，工作关系一般只是扣算法，所以问下你们哪些场景下需要脱壳。 2020-2-6 01:17 0
白菜大哥雪币： 12504 活跃值： (3093) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 16 楼 kakasasa 问下，为什么非要脱壳修复iat？vm后的就算脱了还是vm后的代码呀，我和你一样也都是dump分析加带壳调试，工作关系一般只是扣算法，所以问下你们哪些场景下需要脱壳。强迫症。。。 2020-2-6 07:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复