+----------------------------------------------------+
+          名稱：    PE Monitor                      +
+          版本：    v0.10                           +
+          作者：    羅聰                            +
+          日期：    2004-09-06(yyyy-mm-dd)          +
+----------------------------------------------------+


[簡介]
PE Monitor是一個小調試器和反匯編器，用來設置斷點在指定的API上。這樣，可以通過PE Monitor來監控我們需要的PE程序的運行時信息。


[使用方法]
在命令行方式下，輸入：

c:\>PEMonitor 123.exe 參數1 參數2 ... 參數N

其中的“參數1、2...N”是指PE文件“123.exe”的參數。
當程序123.exe運行結束時，會在123.exe的同一個目錄下產生一個123.log，里面記錄了相關的監控信息。如果.log文件沒有產生的話，表示此次的監控并沒有產生任何對我們有用的信息。


[API]
目前監控的API有：
CreateFileA
DeleteFileA
CopyFileA
RegCreateKeyA
RegCreateKeyExA
RegDeleteKeyA
RegSetValueA
RegSetValueExA


[優點]
1、由于被監控的程序是以調試方式運行的，所以得到的監控信息是比較準確的（即肯定是本進程的信息，而不會有垃圾信息）。
2、擴充性比較好，只需要增加要監控的 API 名字即可滿足我們日常分析中的大部分需要。


[缺點]
1、不能處理加殼程序。
2、0.10版還不能下斷點在以序號輸出的API上。


[ToDo]
1、考慮在內存中下斷點。
2、解決不能下斷點在序號輸出的API。