Сейчас на форуме: yashechka (+6 невидимых) |
![]() |
eXeL@B —› Крэки, обсуждения —› Вопрос по перехвату функции чтения ключа из реестра |
Посл.ответ | Сообщение |
|
Создано: 24 июня 2005 09:43 · Личное сообщение · #1 Здравствуйте. Ситуация следующая. Жертва после ввода ключа пишет его в реестр и просит перезапустить. После запуска она где-то читает его, чтобы проверить, раскодировать и заполнить about реквизитами. Вот это место я и не могу найти. Вопрос в том, какая API функция читает данные из ключа. Думал что RegQueryValueEx должна открыть ключ, послав в lpValueName имя подключа (в данном случае это "key"). Потом должны считаться данные. Однако, судя по всему был не прав, поскольку так и не нашел вызова этой функции с требуемым параметом. Важно также то, что обращение к памяти для чтения имени ключа происходит явно только в одном случае - при записи (функция RegSetValueEx). Поделитесь, пжалста, опытом как программы могут читать ключ из реестра в себя для анализа. Благодарю за помощь. P.S. Если это важно могу добавить информацию о программе (что за, где взять, чем упакована), но думаю тогда это уже будет не вопрос по исследованию а запрос на взлом. ![]() ----- Get busy living or get busy dying © ![]() |
|
Создано: 24 июня 2005 10:26 · Личное сообщение · #2 |
|
Создано: 24 июня 2005 10:34 · Личное сообщение · #3 |
|
Создано: 24 июня 2005 11:24 · Личное сообщение · #4 Ну что ж. пожалуйста. То, что я исследую. Имя: LearnWords 1.4.2 Размер: 1 977 Кб Упаковка: ASProtect 2.0 Эта версия у меня распакована, с удаленной ВМ. Проблема в том, что на сайте доступна только версия 1.5 www.learnwords.com/rus/download/learnwords.exe Но на ней PEiD не находит никакого протектора, хотя очевидно что он там есть. Так что думаю работать надо с распакованой версией 1.4.2, которую я могу вслать желающим. ----- Get busy living or get busy dying © ![]() |
|
Создано: 24 июня 2005 12:13 · Поправил: Devastator · Личное сообщение · #5 Версия 1.5 не распакованная просмотрели Вы вызов API Есть он сдесь Кусок лога из regmon 213 2.57637856 LearnWords.exe:780 OpenKey HKCU\Software\LearnWords Software\LearnWords SUCCESS Key: 0xE1DBCBE0 214 2.57640845 LearnWords.exe:780 QueryValue HKCU\Software\LearnWords Software\LearnWords\Key SUCCESS "" 215 2.57642885 LearnWords.exe:780 QueryValue HKCU\Software\LearnWords Software\LearnWords\Key SUCCESS "" 216 2.57644952 LearnWords.exe:780 QueryValue HKCU\Software\LearnWords Software\LearnWords\Key SUCCESS "" 217 2.57646852 LearnWords.exe:780 QueryValue HKCU\Software\LearnWords Software\LearnWords\Key SUCCESS "" 218 2.57649953 LearnWords.exe:780 CloseKey HKCU\Software\LearnWords Software\LearnWords SUCCESS Key: 0xE1DBCBE0 219 2.57652886 LearnWords.exe:780 OpenKey HKLM\Software\LearnWords Software\LearnWords NOTFOUND 220 2.57659339 LearnWords.exe:780 OpenKey HKCU\Software\ASProtect\Spec Data SUCCESS Key: 0xE1DBCBE0 221 2.57662887 LearnWords.exe:780 QueryValue HKCU\Software\ASProtect\S pecData\522E822BB7DA9190 SUCCESS 6E 67 8D 15 20 38 34 71 ... 222 2.57665290 LearnWords.exe:780 QueryValue HKCU\Software\ASProtect\S pecData\522E822BB7DA9190 SUCCESS 6E 67 8D 15 20 38 34 71 ... 223 2.57667776 LearnWords.exe:780 CloseKey HKCU\Software\ASProtect\Spe cData SUCCESS Key: 0xE1DBCBE0 ![]() |
|
Создано: 24 июня 2005 14:02 · Личное сообщение · #6 |
|
Создано: 24 июня 2005 14:21 · Поправил: Getorix · Личное сообщение · #7 |
|
Создано: 24 июня 2005 14:32 · Личное сообщение · #8 |
|
Создано: 24 июня 2005 14:38 · Личное сообщение · #9 |
![]() |
eXeL@B —› Крэки, обсуждения —› Вопрос по перехвату функции чтения ключа из реестра |