Witaj Marek S, 15 lis 2017 w news:oui601$u6s$1@node1.news.atman.pl
napisałeś/aś:
> W dniu 2017-11-15 o 13:25, Grzegorz Niemirowski pisze:
>
>>
>> Rejestr jest duży, system plików też. Miejsc jest wiele. Dlatego
>> własnie potrzebny będzie Process Monitor.
>
> Właśnie przeanalizowałem działanie programu. Nie wiem czy właściwie.
> Wziąłem jego PID jako filtr ale żadnych odczytów z dziwnych miejsc
> rejestru nie znalazłem poza jednym - ale to nie to. Za to zdumiało
> mnie, że w:
>
> C:\Users\użytkownik\AppData\Local\Temp\desktop.ini:tu_kupa_znaków
>
Ja jako domorosły hakier bawiłbym sie jeszcze inaczej skoro nie masz
żadnych śladów.
Mozesz zainstalowac ten program na czysto w jakiejs virtualce
monitorujac zmiany jakie wprowadza w systemie. Mozesz odpalic instalke
w Sandboxie i podejrzec jakie pliki sa tworzone. Zmian w rejesterze
nie zobaczysz - chyba że można te pliki z piaskownicy dotyczące
rejestru jakoś podejrzeć np. w regedit.
Ja do instalacji wiekszosci programów uzywam Total Uninstall, który
monitoruje wszystkie zmiany. No, prawie wszystkie...
Przydatne sa programy z Nirsoftu: RegFromApp, ProcesActivityview,
RegistryChangesView chociaż wdaje się że procmon z Sysinternals łyka
tę trójkę.
Mozesz tez wyciagnac jakis wniosek sciagajac i sprawdzajac
dzialanie...cracka - bo może to być jakiś wpis do rejstru, a
niekoniecznie wygenerowany serial czy zhexowany program.
>
> Czy jest możliwe, że dany proces tworzy jakiś inny jeszcze, który
> coś gdzieś sprawdza? Jeśli tak, to czy da się ustalić jego nazwę?
>
No chyba bardzo prosto, uruchamiasz program i choćby w menadzeże zadań
obserwujesz, czy nie pojawił się oprócz niego jakiś dodatkowy proces.
Tak mi się wydaje, ale już pisałem co ze mnie za spec.
|