APImonitor监控dll文件加载（新手向）

Departure

动态加载dll文件的最普遍使用的即为loadlibrary系列函数，这里介绍APImonitor监控dll文件加载的流程。
首先安装APImonitor，这个可以去别的技术帖找包或者直接去官网http://www.rohitab.com上下，这个不难
接下来就是打开APImonitor
这里我是调整了一下左边显示栏，所以界面有所不同，不过不影响
在那一堆组件的最上方有一个竖放的望远镜图标，点击它，它的功能是find，即搜索
在里面键入你想找到API名称（注意区分大小写，点全字搜索只会让你什么都搜不到，大家可以试试，自己严谨一些还是更快），这里我们输入的是LoadLibrary

回车，左边栏目会展开，仔细观察可以看到展开部分里面有一行是变灰的，这就是它的搜索结果

但这并不是我们想要的，为什么呢？因为这里find的搜索功能本质上和大家大学计算机基础课上学的python里find函数类似，都是返回第一个，所以多敲几次回车就好了

第二次出来的是这个，还不是。敲到第四回的时候终于找到了，我们把它左边的方框给勾上

可以看到有一行很显眼的蓝色字体Monitor New Process，点它
在Process那一栏右边的文件夹标志那里面浏览你要监控的程序文件

点OK，这个时候会触发程序自动开始运行，

可以在右边寻找你想要知道的信息
PS：实际我图里面的是错误示范哈图里面虽然各步操作没问题（大家可以放心操作），但是大家可以看出来我是先选monitor new process再点API的。一开始你要先选好API再选monitor new process，否则后面就算你重启程序APImonitor都没有反应的。可能是因为自动启动的原因，当我关闭自启动的程序去选API的时候监控程序也结束了。有大佬知道原因的话拜托评论教我

冥界3大法王

正好我前两天看Ghidra电子书时也弄了一个Koodo Reader
Koodo Reader这玩意是调用浏览器的，所以你会发现是多进程的

我先用Process Monitor设置下并重启，想不到啥也没有监控到
用DIE查下壳，64位的，如下图所示。


所以左侧库该选择C++，不然就会像我一样，卡顿半天


主、副二窗口出来了，后台进程还是不停的捕获中。。。


由于这里条目比较多，所以右键菜单中的排除和包括得操作许多次，这么操作不是上策。
所以，导出来，再结合EmEditor过滤+编辑。

Andy1024

请教下api monitor无法监控到KernelBase.dll中的导出函数，它监控的是kernel32.dll的导出函数，这个问题有解吗？

Suxinlan

看着好复杂的样子

xixicoco

感谢教程，有空试试

Tskysheep

学习了，感谢楼主

sam喵喵

能不能加个功能，对于Exe缺少的DLL或者不在exe需要目录的dll，可以右键下载或者切换到其他目录同名dll

XXTK

多学一点总是没有错的

youseitei

学习了，原来还可以这样

yinsel

动态调用的api为什么没法监控到呀 是我使用方法有问题吗