|
阅读:1209回复:0
想做一个研究程序动态行为的工具箱
功能主要包括
1, 能够显示出进程中加载的各个模块的信息,能读取内存数据, 能把内存加载的信息还原成文件。 2, 文件和注册表的监控, 需要实现在内核运行的filter driver, 在windows DDK里面有sample。 反病毒软件里面一般都是有这种模块的, 但是他们也不会提供API给用户。 3, 程序的网络活动监控, windows vista和windows 2008 里面引入了一个叫windows filtering platform的东西,实现网络监控和防火墙功能是很方便的, 往往还需要实现一个叫WFPcallout driver的东西. 在以前的操作系统里面可能需要通过TDI filter, NDIS filer, winsock LSP来实现。 至于那个open source 的winpcap好像是不能实现基于进程的抓包的。 4, 系统API访问的监控。 5, 一个简单的用户界面, 6, 最关键的是要有一个扩展机制, 能够通过插件和脚本扩充功能。 现成的这方面工具好像都是只有给人操作的图形用户界面, 没有提供通过插件或者脚本扩充的功能。 用起来很不方便。 我主要是出于想有一个动态监控或者修改程序行为的工具箱和学习两个目的来做这个东西的, 有谁有兴趣的可以一起搞搞, 一起学习, 可以去我的空间http://space.itpub.net/15853184留言。 |
|
