Перехват вызовов API

>Люди, подскажите кто-нть, как перехватывать >вызовы функций API, например, так как это >делает SoftIce.

Вообще-то если вы смотрели формат PE (Portable Executable) win32-exeшников (и dll)то навеное обратили
внимание на секцию экспорта функций. Так вот
в этой секции хранятся все RVA адреса, хинты,
и ординалы к экспортируемым функциям, то бишь
все API функции хранятся в *.dll которые находятся в системном каталоге винды.
Если интересно могу свою прогу кинуть которая
выдает все внутренности PE-exe, dll - файлов
Могу еще дать доку и пример как выдрать
нужные адреса из памяти (загруженного образа PE).
С уважением ко всем программерам Acid JAM
mailto [EMAIL]jamk@mail.ru[/EMAIL]

>Люди, подскажите кто-нть, как перехватывать >вызовы функций API, например, так как это >делает SoftIce.

советую купить книгу Рихтера про Win32, там есть все что тебе нужно и даже больше.

Можно подпатчить обработчик ВинАпи функции. Хотя конечно не как СофтАйс ))

Нифига SoftICE не патчит - он просто работает
как системный процесс и владеет регистрами
DR0-DR7 которые доступны только в PM и только
системным программам - это и есть отладочные регистры, там устанавливаются точки останова
(до 4 точек). Вот
А если статически перехватить - то да надо
как я уже писал - знать формат PE файлов и
переправить таблицу экспорта функций.
И все

Best regardz from JAM

Со статическим перехватом - понятно. У Рихтера, по-моему, как раз про это и написано. А вот как запуститься как системный процесс и работать с отладочными регистрами, как написано у AcidJam'a?

какой смысл переправлять таблицу экспротов .. когда все работающие в данный момент программы будут пользовацца старыми адресами апи-функции .. лучше менять сами обработчики а таблицу экспортов оставить в покое... хотя здесь есть свои технические проблемы скажем восстановление кода после своей обработки процедуры ..

Насколько я слышал, области памяти, в которых лежат функции kernel`a, user`a и gdi, защищены от изменения, и исправлять их просто так невозможно. Так как же тогда изменить обработчики этих функций?

понятное дело предварительно перейдя в нулевое кольцо каким-нить из известных на данный момент способов 8-))

А ссылочку нельзя, где про эти способы почитать можно было бы?

у IczeLion (или IceZeLion) есть tutorial по написанию VxD драйверов, лежит на их сайте

Как-то я изменил адреса API так: поставил на область памяти где лежат адреса атрибут записи, заполнил ячейки с помощью LoadLibrary и GetAddrProc, а потом назад поставил ReadOnly.

Причина: я не мог прилинковать к декомпиленой проге стандартные библиотеки не переделывая текста. Пришлось делать свой стартовый модуль, который вручную модифицировал память с адресами, а потом вызывал основной текст.