Потестируйте API шпиона. kerberos

По просьбам трудящихся выкладываю для теста обновленную версию с опциями строк и CSV плюс еще кое-чего. Тестируем....

kerberos 1.11

http://rapidshare.com/files/64114848/kerb111pub.rar.html

 

Rustem
Лог в конце кривой получается:
Конец лога при CSV:

Код (Text):

1. "victim.exe",0212,0079E034,"HeapAlloc",0019C130,
2. "

Без CSV:

Код (Text):

1. victim.exe   | 0580   0079E034 | HeapAlloc(00150000, 00000000, 00000010) returns: 00171750
2. victim.exe   | 0580   0079E034 | HeapAlloc(

 

Если выбрать 1-й раз файл victim.exe, то логу даётся по умолчанию имя victim.rep, если после этого, не перезапуская kerberos, выбрать другой файл, то имя лога по умолчанию не меняется и остаётся victim.rep

 

twgt Да, ошибочка с CSV- лишняя запятая

BugsFixed:

v1.12
http://rapidshare.com/files/64149356/kerb112pub.rar.html

 

Rustem
а можно куда-нибудь в другое место а то с рапидой не срастаеться =)))

 

nobodyzzz

 

парт2

 

парт3

 

В некоторых случаях происходит следующее:

Код (Text):

1. 0000002B C60C378AC4699E9C37EEDC7DB4DD15A9C322101D.{PE} | 005AC751 | GetModuleFileNameA(00000000, 0012F8F7, 00000105) returns: 00000054
2. 0000002C 0000002C 0000002C 0000002C 0000002C 0000002C 0000002C 0000002C 0000002C C60C378AC4699E9C37EEDC7DB4DD15A9C322101D.{PE} | 005AC851 | lstrcpynA(0012F8F7: "C:\Documents and Settings\ROOT\Desktop\C60C378AC46...", 0012FA1C: "C:\Documents and Settings\ROOT\Desktop\C60C378AC46...", 00000105) returns: 0012F8F7
3. 0000002D C60C378AC4699E9C37EEDC7DB4DD15A9C322101D.{PE} | 005AC85E | GetThreadLocale() returns: 00000419

 

twgt
thx

 

Rustem
пару пожеланий(в серьез не воспринимать -это так косметические фишечки):
- в csv неплохобы добавить строку-заголовок(ну типа module,ret addres, function, return)
- весьма не плохо было бы выбирать чем разделять в csv - тот же эксель почему-то считает что разделителем должна быть точка с запятой, не очень удобно каждый раз говорить экселю что разделитель на самом деле запятая

и еще валялась у меня где-та утилитка на подобие dll2spy из Tools, только делала spy-базы из импорта, может ее стоит сделать достоянием общественности?

 

nobodyzzz Учтемс в след. версии

Насчет утилиты - возражать не буду...Присылай

PS Сам как то хотел сделать типа нее))

 

Rustem
Я составил базу и не могу понять почему с ней не делается ни одной записи в файл (размер == 0). Может быть это из-за того, что файл базы оч. большой или из-за большого количества коментированных строк... Если вырезать раскоментированные строки и запихать в др. файл, то с ним работает.

http://rapidshare.com/files/64347977/test.rar.html

возвращаясь к дублированию порядкового номера, в конце лога получил следующее:

Код (Text):

1. 0000002D 0BC1BB9C67AB66DE38BC7448072F6B540FE6FBEC.{PE} | 004094CF | FindClose(00262638) returns: 00000001
2. [b]0000002E 0000002E [/b]
3. ========================================================================================================================================================================================================
4.  
5. END OF REPORT

И еще, могут ли быть проблемы при выводе параметров функции WriteFile? Например если записывается строка содержащая \n, \0 ...

Мне кажется будет лучше, если лог не будет блокироваться в процессе работы и будет флушится. Т.к. у меня есть программы которые не имеют гуи и висят в памяти, если их убивать, то в лог пустой.

Я сегодня наверое не закончу дописывать (:

Проверял на программке упакованной армой, программа нормально отработала, но в конце перестала писать в лог. Использовал стандартную базу. Конец лога:

Код (Text):

1. test_d.exe   | 004064AA | LoadStringA(00400000, 0000FFE2, 0012D318: "Access violation at address %p. %s of address %p", 00000400) returns: 00000016
2. test_d.exe   |

Размер лога: 65519 bytes (почти FF FF)

Из косметического: в имени репорта получаются двойные точки

Было бы действительно класно, если бы проект жил, например, на sourceforge.

 

Styx_ROCK

Надо посмотреть.Если программа не большая, то выложи...проверю (test_d.exe и у которой имя модуля странное)

И еще: чем столько комментировать функции в базе, проще, наверно, создать новую)

Насчет флушивания лога...в опциях есть галочка типа Disable Log Cach -как раз сразу пишется в файл без кэша.

 

Rustem

Понятно, спасибо.
Вот программка(вызывает MessageBox). Та, что со странным именем - троян, если надо могу выложить.

http://rapidshare.com/files/64537032/test_d.rar.html
441 KB

Дублирование порядкового номера можно получить на notepad-е.
В настройках при этом стоит Only exe calls и Line numbers

 

При обработке файла с именем 3.exe_ создается рапорт с именем 3.erep

 

При выборе базы вызывается диаллог "сохранить" вместо "открыть"

Проблемы с прикрепленной базой. Лог нулевого размера.

 

[kernel32.dll]
MessageBoxA ,4
-твоя база и не будет работать. т.к MessageBoxA находится в user32.dll ))

 

нда, вот это я выдал (:

 

обчещаная import2spy(с исходниками =)))