W dniu 2017-11-15 o 13:25, Grzegorz Niemirowski pisze:
Rejestr jest duży, system plików też. Miejsc jest wiele. Dlatego własnie
potrzebny będzie Process Monitor.
Właśnie przeanalizowałem działanie programu. Nie wiem czy właściwie.
Wziąłem jego PID jako filtr ale żadnych odczytów z dziwnych miejsc
rejestru nie znalazłem poza jednym - ale to nie to. Za to zdumiało mnie,
że w:
C:\Users\użytkownik\AppData\Local\Temp\desktop.ini:tu_kupa_znaków
grzebie intensywnie. Swoją drogą co to za składnia z dwukropkiem po
nazwie pliku? Poza tym plikiem jeszcze zapisuje do logów. Poza tym
wyłącznie otwieranie mnóstwa DLLi.
Czy jest możliwe, że dany proces tworzy jakiś inny jeszcze, który coś
gdzieś sprawdza? Jeśli tak, to czy da się ustalić jego nazwę?
--
Pozdrawiam,
Marek
|