API監控工具(SoftSnoop)

SoftSnoop可以監視系統調用了哪些API，從而在SoftICE里可以用這些API設置斷點！是一個很好用的可以捕獲進程調用的Api的程序，但是我在使用過程中發現其只能對靜態導入的Api實現捕獲，因此極大地限制了其使用范圍，前幾天在看了它的源碼，分析之后產生了改進的想法，我對其中ApiHook的部分進行了修改，使之能捕獲動態加載的dll中的Api調用！

更新日志：

相對于SoftSnoop1.3版新增功能

（1）可以捕獲從任一模塊產生的到任一模塊的Api調用，包括動態加載的模塊；可以在調用Api之前輸出Api名稱，Api所屬模塊，Api參數及調用這個Api的地址；可以在Api返回之后輸出Api返回值；

（2）可以像OllyDbg那樣附著到正在運行的目標進程并捕獲其Api，可以隨意終止和繼續捕獲，目標進程不受影響；

（3）可以選擇是否對目標進程進行調試，對一些檢查調試器的程序可以選擇不調試目標進程，對Api捕獲沒有影響；由于修改了ApiHook方式，因此對于加過殼或修改了輸入表的程序也可以進行Api捕獲；

（4）添加了中文版；

（5）解決了1.3版中在加載目標進程時偶爾會產生內存訪問越界的問題；

怎么用？

如果想讓SoftSnoop顯示自己感興趣的Api的參數，請看ApiDef目錄下的SS.txt；如果只想捕獲特點模塊或特定的Api，或者只想捕獲來自某些特定模塊的Api，請在選項窗口進行設置；其它使用方法都很簡單，界面上一目了然，也不用多說了；另外大家覺得有什么不方便的地方自己DIY即可，這就是有源碼的好處：）

實現原理介紹：

SoftSnoop1.3版的ApiHook是通過修改目標進程的輸入表的方法來實現的，這種方法的優點在于實現簡單，但缺點在于無法捕獲動態加載的模塊中的Api，另外對于加過殼的程序和修改了輸入表的程序也是無效的。

另一種應用層的ApiHook方法是修改目標Api的前幾條指令為跳轉指令，當產生Api調用時先跳到我們的程序，我們處理之后再跳回去繼續執行；這種ApiHook的實現方法在這里有詳細的介紹：http://中的ScanModules()函數，大家如果感興趣可以看看；

（2）對于掃描得到的每個模塊，通過讀取其輸出表來獲得其輸出的Api的入口地址和名稱，然后將這些Api添加到待Hook列表中；

對于問題2，分兩種情況進行介紹：

（1）由SoftSnoop創建的目標進程，通過在修改其輸入表來實現其加載我們的ApiSnoop.dll，修改時機是目標進程已經被加載到內存中但還沒有執行的時候，具體實現方法是創建目標進程時加CREATE_SUSPENDED參數，然后修改其輸入表，把我們的ApiSnoop.dll加進去，然后讓目標進程繼續執行，這樣我們的ApiSnoop.dll就會被加載到目標進程的地址空間；這里要說明的是，SoftSnoop1.3版使用的方法沒有公開源碼，是封裝在ForceLibrary.dll里的，其缺點在于必須對目標進程進行調試才能實現加載ApiSnoop.dll，恰好Detours庫中提供了DetourCreateProcessWithDll()函數能夠實現這個功能，因此我就直接使用了這種方法；

（2）附著到正在執行的目標進程http://www.168ftp.com/，通過CreateRemoteThread實現讓目標進程加載我們的ApiSnoop.dll；

其它一些問題的實現方法是：Api調用的參數和來源地址可以通過讀堆棧得到，至于如何讓Api返回時執行我們的代碼從而獲得其返回地址，我沿用了1.3版的實現方法：修改堆棧中的返回地址。

另外1.3版里主程序和SoftSnoop.dll是通過消息進行交互的，這種交互只能是單向的，在1.3.2版里我使用了事件+內存映射文件的方法實現了雙向交互。

下一步的工作：

如果大家覺得這個工具還行，還值得繼續開發的話，請給我支持和建議。

我想可能的改進之處包括：

（1）在Api調用之前停下來，允許用戶查看和修改Api調用的參數；在Api調用返回的時候可以停下來，允許用戶查看參數變化并修改Api返回值；

（2）增強調試支持，因為修改了目標進程加載方式，因此原先1.3版中的一些設置斷點的功能可能有所減弱；

（3）增加反匯編支持，不過這個可能沒有必要，使用OllyDbg就行了：）