Поиск к какому ключу или файлу обращается программа

Сейчас на форуме: tyns777, cppasm, dutyfree, asfa (+7 невидимых)

Посл.ответ	Сообщение
Relouwes Ранг: 0.2 (гость) Активность: 0=0 Статус: Участник	Создано: 24 декабря 2016 15:48 · Поправил: Relouwes · Личное сообщение · #1 Здравствуйте всем. Нужна помощь в исследование программы, к каким ключам она обращается или файлам. Делал снапшоты системы и после отменял их, но так и не удалось найти файл (ключ) который проверяет программа. Уверен что дело в этом, так как делал бэкап акронисом и откатывался до установки программы и все норм. После установки этой программы, она меняет или создает файл(ключ) в системе после которого уникальности компьютера нет. Помогите пожалуйста. Запуская Process monitor, программа перестает работать.

BiteMoon Ранг: 15.7 (новичок), 12thx Активность: 0.05↗0.07 Статус: Участник	Создано: 31 декабря 2016 17:18 · Поправил: BiteMoon · Личное сообщение · #2 Есть одно хорошее решение этой проблемы,по крайней мере я так делал с некоторыми программами,чтобы выяснить к каким ключам обращается нужная мне программа.Познакомься с таким явлением,как команда regedit,откроется редактор реестра,выбираешь "Файл"->"Экспорт",экспортируешь(сохраняешь) весь реестр в файл с расширением "reg",потом,в зависимости от установленных в программе ограничений исследуешь её таким образом. Например,если ограничение на количество запусков,то несколько раз запускаешь и закрываешь программу,после нескольких таких манипуляций должно уменьшиться количество запусков,запускаешь файл экспортированного реестра,даёшь своё согласие на проведение данной операции и ждёшь пока данные реестра будут переписаны,когда процесс будет закончен,то выйдет ответ об этом.После этого запускаешь программу и смотришь изменилось ли допустимое количество запусков.Ну,думаю про остальное догадаешься сам.Если ограничение по дате или времени использования,то проверяешь подобным образом эти данные...сразу пардон,если не получится,для более детального рассмотрения,нужно больше информации...есть ещё программы типа regshot,которые делают снимки реестра,сравнивают их и изменения в параметрах выводят в отдельный файл,который потом можно читать и изучать.)))Если данные методы не помогают,то защита построена или на каких-нибудь данных какого-то файла,или софтина создаёт ключи в недоступных ветвях реестра... С новым годом!!!Удачного исследования софтин!!!
Kindly Ранг: 275.9 (наставник), 340thx Активность: 0.22=0.22 Статус: Участник RBC	Создано: 31 декабря 2016 17:29 · Поправил: Kindly · Личное сообщение · #3 Relouwes видел как минимум 2 "неотслеживаемых" стандартными средствами типа меток: 1. Записывается значение в оперативную память в зависимости от чего-то, например, если нельзя выполнить проверку ключа на сервере или записаны иные бан-значения. 2. Записывается значение в загрузочную область, как в mbr, так и в efi. ----- Array[Login..Logout] of Life
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 31 декабря 2016 17:37 · Личное сообщение · #4 Relouwes Название программы в студию. Мин. рабочий набор. Чем защищена? Что говорит ProtectionID? О чём собственно речь? OllyDbg/x64dbg использовали?

Для печати