Es verwendet wahrscheinlich die Debugging-API und platziert Debug-Hooks an wichtigen Punkten in der Anwendung, um Ereignisse einzufangen. Sie können sogar mit ollydbg tun, was Sie wollen.
EDIT: Ich habe gerade auf der Website und sah die Demo-Videos und ich würde sagen, dass sie fast sicher tun dies über die Debugging-API. Sie platzieren wahrscheinlich Haltepunkte im Ziel an den gewünschten Funktionseintrittspunkten. Wenn ein Trap-Ereignis ausgelöst wird, sieht es so aus, als ob sie einen RPC-Aufruf verwenden, um den Benutzer über ihre API zu benachrichtigen und ihnen zu ermöglichen, zu sehen, was passiert ist, und möglicherweise einige Dinge zu ändern. Zurücksenden, was als nächstes in einem RPC-Aufruf zu tun ist. Ein schönes Design, aber nur ein verklärter Debugger.
Ich kannte OllyDbg schon, aber ich habe es nie wirklich benutzt, und niemals, obwohl ich das machen konnte. – Jazz