21.9. Вызовы библиотечных функций

Очень много информации о программе можно получить путем анализа обращений, которые она делает к библиотечным функциям. Например, при использовании протокола SSL (Secure Sockets Layer) применение сниффера не дает никаких результатов, т. к. все сообщения, передаваемые по сети, оказываются зашифрованы. Но под Windows большинство программ для доступа к сети, так или иначе, используют библиотеку wsock32.dll (Windows Socket 32-Bit DLL). И, перехватывая обращения к функциям из этой библиотеки, можно получить доступ к содержимому передаваемых и получаемых сообщений, не применяя сниффер.

Аналогичным образом можно перехватывать и протоколировать обращения к другим библиотекам, входящим в состав Windows или распространяемым вместе с исследуемой программой.

Существует несколько решений для разработчиков, позволяющих перехватывать обращения к библиотечным функциям, например библиотека Detours, созданная корпорацией Microsoft, и библиотека ApiHooks, разработанная человеком по имени Радим Пича (Radim "EliCZ" Picha). Также в Интернете можно найти и готовые программы, предназначенные для протоколирования обращений к библиотечным функциям, например APIS32 от Виталия Евсеенко и APISpy32 разработки Ярива Каплана (Yariv Kaplan).