VPF::Как посмотреть какие API функции использует прога

danilsl

Дата 19.9.2006, 19:54 (ссылка)

(нет голосов)

Загрузка ...

Шустрый

Профиль
Группа: Участник
Сообщений: 78
Регистрация: 15.3.2006

Репутация: нет
Всего: нет

Может быть не та ветка, заранее извиняюсь.
Какую можно использовать прогу для того, чтобы посмотреть какие API функции использует другая софтина?

Damarus

Дата 19.9.2006, 20:08 (ссылка)

(нет голосов)

Загрузка ...

Опытный

Профиль
Группа: Awaiting Authorisation
Сообщений: 671
Регистрация: 6.5.2006

Репутация: нет
Всего: 29

Цитата(danilsl @ 19.9.2006, 20:54

)

Может быть не та ветка, заранее извиняюсь.Какую можно использовать прогу для того, чтобы посмотреть какие API функции использует другая софтина?

dumpbin /imports <PE-файл>

Добавлено @ 20:11
Или любую другую программу, которая может показать таблицу импорта.

Это сообщение отредактировал(а) Damarus - 19.9.2006, 20:09

Alexeis

Дата 19.9.2006, 20:28 (ссылка)

(нет голосов)

Загрузка ...

Амеба

Профиль
Группа: Админ
Сообщений: 11743
Регистрация: 12.10.2005
Где: Зеленоград

Репутация: 16
Всего: 459

В поставку делфи входит программа
TDUMP.EXE
Она показывает секцию импорта.

--------------------

Vit вечная память.

Обсуждение действий администрации форума производятся только в этом форуме

гениальность идеи состоит в том, что ее невозможно придумать

Snowy

Дата 19.9.2006, 20:30 (ссылка)

(нет голосов)

Загрузка ...

Эксперт

Профиль
Группа: Модератор
Сообщений: 11363
Регистрация: 13.10.2004
Где: Питер

Репутация: 30
Всего: 484

Можно посмотреть секцию импорта.
А можно просто глянуть на содержимое файла - все функции перечислены подряд и видны невооружённым глазом.
Если конечно файл не пожат.

danilsl

Дата 20.9.2006, 03:18 (ссылка)

(нет голосов)

Загрузка ...

Шустрый

Профиль
Группа: Участник
Сообщений: 78
Регистрация: 15.3.2006

Репутация: нет
Всего: нет

честно говоря меня интересует файлик C:\WINDOWS\system32\svchost.exe из Win 2003 Std. В нём, как я понимаю напихана куча системных сервисов и TDUMP.EXE на нём солидненько так спотыкается...

Код


C:\Program Files\Borland\Delphi7\Bin>tdump.exe d:\svchost.exe
Turbo Dump  Version 5.0.16.12 Copyright (c) 1988, 2000 Inprise Corporation
                  Display of File D:\SVCHOST.EXE

Old Executable Header

DOS File Size                                       3800h  ( 14336. )
Load Image Size                                      450h  (  1104. )
Relocation Table entry count                          0000h  (     0. )
Relocation Table address                              0040h  (    64. )
Size of header record      (in paragraphs)            0004h  (     4. )
Minimum Memory Requirement (in paragraphs)            0000h  (     0. )
Maximum Memory Requirement (in paragraphs)            FFFFh  ( 65535. )
File load checksum                                    0000h  (     0. )
Overlay Number                                        0000h  (     0. )

Initial Stack Segment  (SS:SP)                    0000:00B8
Program Entry Point    (CS:IP)                    0000:0000


Portable Executable (PE) File

Header base: 000000E0

CPU type                 80386
Flags                    10F [ fixed executable backwards 32bit ]
DLL flags                8400 [ ]
Linker Version           7.A
Time stamp               42435E37 : Fri Mar 25 03:41:27 2005
O/S Version              5.2
User Version             5.2
Subsystem Version        4.0
Subsystem                0002 [ Windows GUI ]
Object count             00000003
Symbols offset           00000000
Symbols count            00000000
Optional header size     00E0
Magic #                  10B
Code size                00002C00
Init Data size           00000C00
Uninit Data size         00000000
Entry RVA                000020C9
Image base               01000000
Code base                00001000
Data base                00004000
Object/File align        00001000/00000200
Reserved                 00000000
Image size               00006000
Header size              00000400
Checksum                 0000E2B3
Stack reserve/commit     00040000/00004000
Heap reserve/commit      00100000/00001000
Number interesting RVAs  00000010
Name                   RVA       Size
------------------  --------  --------
Exports             00000000  00000000
Imports             000032FC  00000064
Resources           00005000  00000418
Exceptions          00000000  00000000
Security            00000000  00000000
Fixups              00000000  00000000
Debug               00003B08  00000038
Description         00000000  00000000
Global Ptr          00000000  00000000
TLS                 00000000  00000000
Callbacks           00000000  00000000
Bound Imports       00000250  00000060
Import Addr Table   00001000  00000140
Delayed Imports     000031FC  00000060
COM Runtime         00000000  00000000
reserved            00000000  00000000

Object table:
#   Name      VirtSize    RVA     PhysSize  Phys off  Flags
--  --------  --------  --------  --------  --------  --------
01  .text     00002B68  00001000  00002C00  00000400  60000020 [CER]
02  .data     00000550  00004000  00000200  00003000  C0000040 [IRW]
03  .rsrc     00000418  00005000  00000600  00003200  40000040 [IR]

Key to section flags:
  C - contains code
  E - executable
  I - contains initialized data
  R - readable
  W - writeable

Comments:
  ┤wCB0

******************************************************************************
Section:             Import
  ImportLookUpTblRVA:00003394
  Time Stamp:        FFFFFFFF : Thu Jan 01 02:59:59 1970
  Forwarder Chain:   FFFFFFFF (index of first forwarder reference)

Imports from ADVAPI32.dll
    (hint = 01F8) RegQueryValueExW
    (hint = 0244) SetServiceStatus
    (hint = 020F) RegisterServiceCtrlHandlerW
    (hint = 01CB) RegCloseKey
    (hint = 01ED) RegOpenKeyExW
    (hint = 024B) StartServiceCtrlDispatcherW
    (hint = 023A) SetSecurityDescriptorDacl
    (hint = 022B) SetEntriesInAclW
    (hint = 023B) SetSecurityDescriptorGroup
    (hint = 023C) SetSecurityDescriptorOwner
    (hint = 0134) InitializeSecurityDescriptor
    (hint = 011A) GetTokenInformation
    (hint = 01AC) OpenProcessToken
    (hint = 01B1) OpenThreadToken

Imports from KERNEL32.dll
    (hint = 0216) HeapFree
    (hint = 0171) GetLastError
    (hint = 0394) WideCharToMultiByte
    (hint = 03CD) lstrlenW
    (hint = 0075) DeactivateActCtx
    (hint = 01A0) GetProcAddress
    (hint = 0254) LoadLibraryExW
                  ActivateActCtx
    (hint = 0251) LeaveCriticalSection
    (hint = 03C1) lstrcmpW
    (hint = 0098) EnterCriticalSection
    (hint = 0210) HeapAlloc
    (hint = 00F8) FreeLibrary
    (hint = 02C1) ReleaseActCtx
    (hint = 0049) CreateActCtxW
    (hint = 00BD) ExpandEnvironmentStringsW
    (hint = 03C4) lstrcmpiW
    (hint = 00B9) ExitProcess
    (hint = 0111) GetCommandLineW
    (hint = 0223) InitializeCriticalSection
    (hint = 01A3) GetProcessHeap
    (hint = 0315) SetErrorMode
    (hint = 034A) SetUnhandledExceptionFilter
    (hint = 02BD) RegisterWaitForSingleObject
    (hint = 025C) LocalFree
    (hint = 0142) GetCurrentProcess
    (hint = 0145) GetCurrentThread
    (hint = 0226) InterlockedCompareExchange
    (hint = 0252) LoadLibraryA
    (hint = 02A3) QueryPerformanceCounter
    (hint = 01DF) GetTickCount
    (hint = 0146) GetCurrentThreadId
    (hint = 0143) GetCurrentProcessId
    (hint = 01CA) GetSystemTimeAsFileTime
    (hint = 035E) TerminateProcess
    (hint = 036E) UnhandledExceptionFilter
    (hint = 0258) LocalAlloc
    (hint = 0245) LCMapStringW
    (hint = 007F) DelayLoadFailureHook

Imports from ntdll.dll
    (hint = 02BD) RtlInitializeSid
    (hint = 01C4) RtlAllocateHeap
    (hint = 02EE) RtlLengthRequiredSid
    (hint = 0372) RtlSubAuthoritySid
    (hint = 0277) RtlFreeHeap
    (hint = 01FA) RtlCopySid
    (hint = 0371) RtlSubAuthorityCountSid
    (hint = 056A) wcscpy
    (hint = 0567) wcscat
    (hint = 02B5) RtlInitializeCriticalSection
    (hint = 035E) RtlSetProcessIsCritical
    (hint = 02A4) RtlImageNtHeader
    (hint = 056C) wcslen
    (hint = 0386) RtlUnhandledExceptionFilter

Imports from RPCRT4.dll
    (hint = 01B2) RpcServerUnregisterIfEx
    (hint = 0194) RpcMgmtWaitServerListen
    (hint = 01B1) RpcServerUnregisterIf
    (hint = 0191) RpcMgmtSetServerStackSize
    (hint = 01AA) RpcServerListen
    (hint = 01BB) RpcServerUseProtseqEpW
    (hint = 01AD) RpcServerRegisterIf
    (hint = 0037) I_RpcMapWin32Status
    (hint = 0193) RpcMgmtStopServerListening

Delayed Load Import Table
ERROR: Internal error at 0x42213f with base 0x400000


C:\Program Files\Borland\Delphi7\Bin>

Это сообщение отредактировал(а) danilsl - 20.9.2006, 03:30

Coder

Дата 20.9.2006, 03:33 (ссылка)

(нет голосов)

Загрузка ...

Опытный

Профиль
Группа: Участник
Сообщений: 733
Регистрация: 13.12.2004

Репутация: 1
Всего: 11

Пропробуй вот эту программу http://ps.russian.ru/API%20Monitor%201.5b.zip

!!! Перед запуском мониторинга грамотно настрой фильтры !!

Это сообщение отредактировал(а) Coder - 20.9.2006, 03:35

SergeCpp

Дата 20.9.2006, 08:22 (ссылка)

(нет голосов)

Загрузка ...

Профиль
Группа: Участник
Сообщений: 955
Регистрация: 8.8.2005
Где: At Home

Репутация: 1
Всего: 124

Dependency Walker 2.1

user posted image

Dependency Walker is a free utility that scans any 32-bit or 64-bit Windows module (exe, dll, ocx, sys, etc.) and builds a hierarchical tree diagram of all dependent modules. For each module found, it lists all the functions that are exported by that module, and which of those functions are actually being called by other modules. Another view displays the minimum set of required files, along with detailed information about each file including a full path to the file, base address, version numbers, machine type, debug information, and more.

Dependency Walker is also very useful for troubleshooting system errors related to loading and executing modules. Dependency Walker detects many common application problems such as missing modules, invalid modules, import/export mismatches, circular dependency errors, mismatched machine types of modules, and module initialization failures.

Dependency Walker runs on Windows 95, 98, Me, NT, 2000, XP, 2003, and Vista. It can process any 32-bit or 64-bit Windows module, including ones designed for Windows CE. It can be run as graphical application or as a console application. Dependency Walker handles all types of module dependencies, including implicit, explicit (dynamic / runtime), forwarded, delay-loaded, and injected. A detailed help is included.

Dependency Walker is completely free to use.

P.S. Кстати, есть возможность поиска в MSDN описания функции, на которой курсор.

Это сообщение отредактировал(а) SergeCpp - 21.9.2006, 11:33

--------------------

http://zoozahita.ru — Бездомные животные Екатеринбурга ищут хозяев

Yanis

Дата 20.9.2006, 09:14 (ссылка)

(нет голосов)

Загрузка ...

Эксперт

Профиль
Группа: Участник Клуба
Сообщений: 2937
Регистрация: 9.2.2004
Где: Москва

Репутация: 13
Всего: 111

А мне нравится PEiD и программа, которую написал Rouse_. Это даже не программа, а демка с исходным кодом. Как раз для того и предназначена - смотреть таблицу импорта и экспорта PE файла.

--------------------

*щёлк*

Snowy

Дата 20.9.2006, 09:15 (ссылка)

(нет голосов)

Загрузка ...

Эксперт

Профиль
Группа: Модератор
Сообщений: 11363
Регистрация: 13.10.2004
Где: Питер

Репутация: 30
Всего: 484

Цитата(danilsl @ 20.9.2006, 03:18

)

интересует файлик C:\WINDOWS\system32\svchost.exe

Не он использует, а его используют dll, чтобы запускаться.
Это такой космодромчик для сервисов, написанных в виде dll.
В нём ты их не найдёшь.

Дата 20.9.2006, 16:23 (ссылка)

(нет голосов)

Загрузка ...

Брутальный буратина

Профиль
Группа: Участник Клуба
Сообщений: 3497
Регистрация: 31.3.2002
Где: Лес

Репутация: 7
Всего: 115

API Spy, век воли не видать.

USSR

Дата 20.9.2006, 17:26 (ссылка)

(нет голосов)

Загрузка ...

Новичок

Профиль
Группа: Участник
Сообщений: 26
Регистрация: 3.7.2006

Репутация: 1
Всего: 1

IDA PRO

0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема \| Delphi: WinAPI и системное программирование \| Следующая тема »