Sepertinya sudah lama saya tidak menulis artikel, ternyata rindu juga yah.. kali ini saya akn berbagi tips pemantauan fungsi API pada suatu proses. Bagi virus analis maupun programmer system hal ini sanmgat penting karena kita dapat membaca perilaku maupun kegiatan suatu proses/aplikasi/program yang kita inginkan. Dengan demikian segala (hampir) segala aktifitas suatu proses akan dapat kita rekam dengan membaca fungsi-fungsi yang dia panggil.
Mungkin jika anda jeli, anda dapat mencari software-software sejenis dengan menggerayangi google dengan kata kunci “API Monitor”. :) Disini saya memakai program API monitor dari Rohitab, selain gratis fitur dari API Monitor Rohitab dapat dikatakan sangat komplite jikalau hanya untuk pemantauan API suatu proses.
Apakah anda berminat? Silahkan download disini
Jika malas menginstal silahkan download yang versi portable nya
Berikut adalah tampilan utama program API Monitor
Lihat pada panel sebelah kiri atas, anda dapat memilih module mana saja yang akan anda monitor misalnya anda hany akan memantau fungsi-fungsi dari ntdll.dll (atau native api) dari suatu proses. Maka anda pilih modul ntdll.dll pada module “API Capture Filters”
Nah dengan pengaturan tersebut, API monitor akan menampilkan/merekam pemanggilan fungsi APi yang terdaftar pada Ntdll.dll sesui nama-nama fungsi yang tercentang pada panel tersebut.
Nah sekarang tinggal kita pilih proses target untuk di rekam prosesnya (hook), lihat pada panel kiri bawah lalu klik kanan proses target lalu pilih menu “hook”.
Lalu lihat hasil rekaman fungsi API dan threat yang sedang berjalan pada proses tersebut pada panel “summary” yaitu di sebelah kanan atas.
Sekarang coba kita lihat, rekaman fungsi API muncul disebelah panel kanan atas. Coba anda pilih salah satu proses rekaman fungsi API maka anda lihat panel “Parameters” dan ”Call Stack”, disitu tersiompan informasi parameters dan stack dari pemanggilan fungsi API tersebut.
Sekian, semoga bermanfaat
0 komentar:
Posting Komentar