| Сейчас на форуме: Rio (+5 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Как заблокировать обращение программы к реестру? |
| Посл.ответ | Сообщение |
|
|
Создано: 22 мая 2008 19:56 · Личное сообщение · #1 Подопытная программа во время своей работы удаляет жизненно необходимые ключи из собственного подраздела HKCU\Software\TestProg\...\ Как это можно перехватить и заблокировать удаление?  |
|
|
Создано: 22 мая 2008 20:52 · Личное сообщение · #2 ну, отладчег в руки и ставь бряки на апи работы с реестром. Потом когда найдешь то что тебе нужно нопь их. ----- xchg dword [eax], eax |
|
|
Создано: 23 мая 2008 07:37 · Личное сообщение · #3 Этот путь понятен. Однако в данном случае вопрос принципа: приручить прогу, не взламывая её. Основное удалось сделать, остался только этот момент, т.е. найти возможность перехватить эту API в системе (пусть это будет Win XP SP2). Устроит и другой вариант: пусть себе удаляет. При этом надо найти какой-то способ использовать факт удаления и им воспользоваться для того, чтобы сразу после этого запустить reg-файлик или батник. Иными словами, можно не перехватывать, а только вытащить из системы информацию в виде, пригодном для запуска исполняемого файла. Существует ли такая возможность? |
|
|
Создано: 23 мая 2008 08:01 · Личное сообщение · #4 ChVL пишет: Существует ли такая возможность? ога, и называется она InqSoft Sign 0f Misery... ----- -=истина где-то рядом=- |
|
|
Создано: 23 мая 2008 08:05 · Личное сообщение · #5 Можешь просто запретить всем (ну или только пользователю под которым запускаешь) удалять этот ключ. Правая кнопка -> Permissions... |
|
|
Создано: 23 мая 2008 08:44 · Личное сообщение · #6 Инждкти свою длл и сплайси все апишки для работы с реестром. ----- xchg dword [eax], eax |
|
|
Создано: 23 мая 2008 09:39 · Личное сообщение · #7 KingSise А что сможет InqSoft Sign 0f Misery? Если можно написать скрипт, значит известны функции, которые надо использовать. А именно это мне и надо. Zorn Это уже пройдено. Не проходит. Прога должна прочитать содержимое подраздела (сверить ключи). Режим только чтение не проходит тоже, прога тут же снимает ограничение и прописывает полный доступ. v0id2k Извините, а по-русски можно? |
|
|
Создано: 23 мая 2008 09:40 · Поправил: MACKLIA · Личное сообщение · #8 -del ----- Что один человек сделал , другой всегда сломать может... |
|
|
Создано: 23 мая 2008 13:22 · Личное сообщение · #9 ChVL ChVL пишет: а по-русски можно? тебе предлагают написать свою dll и прикрутить её к проге. она будет контролировать работу с реестром. имхо вариант патча/инлайна наиболее оптимален, если нет возможности полностью зарегистрировать программу. |
|
|
Создано: 24 мая 2008 04:41 · Личное сообщение · #10 ChVL, v0id2k, есть ещё проще путь - detours. Просто пишем свой обработчик для RegOpenKey/RegQueryValue и фильтруем. Прогу изменять не надо. |
|
|
Создано: 26 мая 2008 18:59 · Личное сообщение · #11 s0larian Спасибо! Думаю, что Ваша наводка пригодится в дальнейшей работе. В данный момент вот так сразу мне не поднять свой обработчик, несмотря на хороший Help и массу примеров в detours. Всё-таки этот раздел форума называется Вопросы новичков... |
|
|
Создано: 27 мая 2008 10:20 · Личное сообщение · #12 Ааа... хмм... му? Ты если ты хоть чуть-чуть знаешь С и понимаешь что такое nmake, то берёшь simple\simple.cpp и изменяешь "Sleep" на "RegOpenKey" и потом тестируешь на изменённой версии sleep5, исправляешь косяки и запускаешь на жертве. |
|
|
Создано: 27 мая 2008 14:17 · Личное сообщение · #13 Пропатчить IAT на фильтр. ----- invoke OpenFire |
|
|
Создано: 27 мая 2008 19:44 · Поправил: s0larian · Личное сообщение · #14 Ice-T, так detours делает проще - втыкает jmp в начало функции. Так что не надо патчить оригинальный exe образ. |
|
|
Создано: 30 мая 2008 11:15 · Личное сообщение · #15 Ерунду, господа, пишете, причём полную. Пропатчить, DLL инжектить - затраты труда и времени большие. ChVL - скачай програму AutoIT, там быстро напишешь скриптик для запуска программы и правки ключа реестра (язык на Visual Basic похож). Т.е. скрипт запускает программу и следит за реестром, как только поменялись данные - переписывает их и закрывается, а программа остаётся работать, если не можешь сам написать - могу помочь, работы на 5 минут. |
|
|
Создано: 30 мая 2008 19:59 · Поправил: s0larian · Личное сообщение · #16 pool, эээ, тоже вариант, но вся работа происходит в чей-то проге. Как я понял, чувак хотел свой инструмент?.. А иначе можно вообще запустить под Thinstall и потом чистить эмулируемый registry. |
|
|
Создано: 01 июня 2008 18:27 · Поправил: ChVL · Личное сообщение · #17 pool Спасибо, но это не тот случай. AutoIt хорошо знаю, сделал немало прог для автоматической установки. Затем освоил Inno Setup и понял, что к AutoIt никогда не вернусь. Прога для меня лично служит безропотно. Смысл работы в том, чтобы сделать патч для всеобщего пользования, причём такой, который приручает прогу, не взламывая её. Удалось сделать всё, остался единственный момент. Казалось бы пустячок: запустить reg-файлик тогда, когда надо... s0larian Не, Thinstall - это совсем не интересно. Чувак действительно захотел сотворить свой инструмент, но пока споткнулся. Придётся смотреть, что такое nmake... |
|
|
Создано: 01 июня 2008 23:01 · Личное сообщение · #18 ChVL, эээ... nmake это Microsoft-овский make: en.wikipedia.org/wiki/Make_%28software%29 Запускает С/C++ компилер. Учи С - вся прога - 20 строк. |
|
eXeL@B —› Вопросы новичков —› Как заблокировать обращение программы к реестру? |
Для печати