API Monitor : Windows API 함수 호출 실시간 감시 & 분석

API Monitor은 Windows 애플리케이션이 호출하는 API 함수 호출을 실시간으로 감시하고 분석할 수 있게 도와주는 툴입니다.

Windows 보안 솔루션 업계에는 큰 도움을 주는 도구라 생각합니다.

 

http://www.rohitab.com/apimonitor

API Monitor: Spy on API Calls and COM Interfaces (Freeware 32-bit and 64-bit Versions!) | rohitab.com

 

주요 기능 / 특징

• 애플리케이션이나 서비스에서 호출되는 다양한 Windows API 함수들을 가로채고, 인자, 반환값, 호출 시점 등을 로그로 보여줌
• 필터링 기능을 통해 관심 있는 API만 선택적으로 감시 가능 (모듈 또는 함수 단위 필터링)
• 비동기 I/O 호출 완료 시 입력 버퍼 캡처 가능 (API Monitor v2)
• 32비트 및 64비트 애플리케이션 감시 가능 버전 제공
• “자동 연결 (auto attach)” 스크립트/도구가 존재하여, 특정 프로세스가 시작될 때 자동으로 API Monitor에 연결하는 방식 사용 가능

---

동작 원리 (추정 / 알려진 방식)

• 대상 프로세스에 DLL 인젝션 또는 API 후킹 방식으로 코드를 삽입하여, 원래 API 호출을 가로채는 훅(Hook)을 설치하는 방식으로 동작하는 것으로 보임
• API 호출 전/후에 브레이크포인트(breakpoint)를 설정하고 인자 값 또는 리턴 값을 읽어오는 방식도 일부 사용됨
• 비동기 호출의 경우, 호출 완료 시점을 감지하고 입력 버퍼나 출력 버퍼 데이터를 캡처하는 기능이 내장됨

---

한계점 / 주의점

• 최신 Windows (특히 Windows 10/11)에서는 동작이 보장되지 않거나, 일부 API 감시가 정상적으로 작동하지 않는 경우가 있음
• 64비트 애플리케이션 및 최신 보안 기능 (ASLR, DEP, 코드 서명 등) 환경에서는 기존 훅 기법이 우회되거나 충돌을 일으킬 수 있음
• 서비스로 실행되는 프로세스는 API Monitor가 프로세스 시작 시점부터 감시하기 어려움 (“attach only to running process” 식의 제약)
• 도구의 개발 및 업데이트가 활발하지 않다는 평가가 있음 (몇 년간 버전 업데이트가 거의 없음) 
• 일부 크래킹 / 리버스 엔지니어링 방지 기술에서는 API 모니터링 탐지를 회피하는 기법을 쓸 수 있음 (즉, 이 툴을 무력화하도록 설계된 소프트웨어도 존재 가능)