Доброе времени суток, уважаемые господа дзенствующие. Есть у меня к вам вопрос, но для начала хочу попросить вас не ртфемить и не утфсетить мне. А вопрос мой заключается в следующем: многие из нас ( вас ) знают замечательные утилиты от г-н М. Руссиновича, такие как RegMon и FileMon, эти программы моняторят, соответственно, обращения к файлам и реестру. Замечательный продукт от господ из Compuware под названием BoundChecker позволяет мониторить вызовы ф-ций API. Так вот вопрос - как собственно это делается, ведь не станешь хукать все ф-ции Win32? Будте любезны, расскажите, ну или хотя бы намекните, или дайте линк на инфу об этом. Буду вам премного благодарен...
помоему программы Марка используют драйвера. помоему...да и потом сорцы вроде были до того как их завербовали..
Многоуважаемый Win32, да я знаю как это делают программы Руссиновича, но вопрос мой заключался как это делает BoundChecker???? Не уж-то хукают все Win32 - это просто нереально...
ProfessorNimnull, ну возможно он просто подгружает свою dll к нужному процессу и перехватывает только API вызовы этого процесса
Хукать нужно не все вообще, а только те, которые использует программа, а это более чем реально и, кажется, именно это и делает BoundChecker.
Цитата с книги Техника отладки программ без исходных текстов Т.е. он просто перехватывает функции. Поищи исходники шпиона Мэтт Питтрек'а , КК пишет что он реализовал почти всё что есть в BC и уложился в 7 кб.
