Как понять, что делает один процесс с другим процессом?

Question

[ForhaxeD]

Привет, %habrauser%!


Имеется два процесса в системе.

Ситуация:


Первый процесс меняет что-то в памяти второго процесса.


Задача:


Необходимо изучить, что именно он меняет и что именно с него читает. Возможно это реализовано с помощью атача процесса с последующим вызовом апишных функций ReadProcessMemory, WriteProcessMemory.


Существует ли софт, который может перехватить эти данные и как-нибудь залогировать?


P.S. с WinAPI не работал, поэтому не совсем понимаю, можно ли на эти две функции поставить хук, беглое гугление результатов не принесло.

Answer 1

[Hint]

Если один процесс внедрил свой модуль в другой, то ReadProcesMemory и WriteProcessMemory уже не нужны (можно работать с памятью напрямую).
Вам надо поставить хуки в чужом процессе и в процессе-жертве на некоторые функции (WritePM, ReadPM, VirtualProtect, LoadLibrary) и логировать вызовы. Довольно просто, если умеете программировать. Таким же способом можно и заблокировать вызовы.

Answer 2

[Killy]

Перехватить и залогировать, в принципе, может Jetico Personal Firewall.

Но наверное это не совсем то, что Вы ищете. И в логе (а так же во всплывающих сообщениях, пока не настроите), будет только тип доступа. Ни адресов, ни каких либо ещё подробностей.

Но взглянуть стоит — хотя бы чтобы оценить возможности перехвата.

Для простоты можно отключить (bypass) все ветки кроме Process Atack. И в Process Atack добавить правила для интересующих приложений с записью лога. Остальное тоже можно пропускать.

Answer 3

[Дмитрий]

Если на скорую руку, то виртуалка(vmware,virtual box) и win32apioverride. Эта тулза ни что иное как API-монитор(халявный и с достаточно серьезным функционалом).Если этот способ не прокатил, то значит виртуалка + WinDbg(для ускорения работы virtualkd). В WinDbg есть расширение являющейся API монитором(!load logexts)