Сейчас на форуме: tyns777, cppasm, dutyfree (+8 невидимых)

 eXeL@B —› Вопросы новичков —› Песочница для установщиков
Посл.ответ Сообщение

Ранг: 1.0 (гость)
Активность: 0=0
Статус: Участник

Создано: 25 июня 2017 14:18
· Личное сообщение · #1

Здравствуйте, подскажите программу для просмотра того что наделал установщик. Например что он добавил в реестр, куда что записал, и т.д.




Ранг: 77.2 (постоянный), 74thx
Активность: 0.190.15
Статус: Участник

Создано: 25 июня 2017 14:34 · Поправил: sefkrd
· Личное сообщение · #2

Uninstall Tool



| Сообщение посчитали полезным: RedYu

Ранг: 221.3 (наставник), 135thx
Активность: 0.190.07
Статус: Участник

Создано: 25 июня 2017 14:50
· Личное сообщение · #3

procmon

-----
xchg dword [eax], eax




Ранг: 95.1 (постоянный), 247thx
Активность: 0.260.01
Статус: Участник

Создано: 25 июня 2017 14:53
· Личное сообщение · #4

Анпакнуть тело и в скрипте посмотреть не судьба ?

-----
TEST YOUR MIGHT




Ранг: -0.7 (гость), 170thx
Активность: 0.540
Статус: Участник

Создано: 25 июня 2017 15:03
· Личное сообщение · #5

http://www.nektra.com/products/spystudio-api-monitor/
или аналог

unknownproject пишет: Анпакнуть тело и в скрипте посмотреть не судьба ?

не судьба, учитывая, что стандартные библиотеки установщика могут быть пересобраны и нести любую зловредную нагрузку.



Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 25 июня 2017 18:35
· Личное сообщение · #6

Тут на самом деле масса вариантов со своей спецификой. Есть продукты работающие на основе снапшотов (типа Total Uninstall etc), если нужно посмотреть только итоговые изменения фс и реестра, есть мониторы в реальном времени, дающие понимание всей последовательности действий как например упомянутая spystudio и подобные, есть решения на основе песочниц и вм, и есть отдельные инструменты для конкретного случая и задачи. Для простых задач (типа сбора инфы для создание портабельной версии программы) хватает примитивных "снапшотных" решений, а для исследования малвари или разных "хитрых" инсталлеров часто и spystudio&co мало полезны и без специальной изолированной среды не обойтись



Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

Создано: 26 июня 2017 09:26
· Личное сообщение · #7

они бывает драйвера переписывают и системные либы потом если снести то и система летит)) сам когдато хотел такую защиту для триала делать)) но меня опередили)))



Ранг: 7.5 (гость), 10thx
Активность: 0.010.03
Статус: Участник

Создано: 26 июня 2017 12:07 · Поправил: trion1
· Личное сообщение · #8

ВМ, хотя можно и в живой системе - кому как нравиться

+

SysTracer - создание снимков реестра и файловой системы для их последующего сравнения на предмет модификации, добавления или удаления данных.
http://forum.ru-board.com/topic.cgi?forum=35&topic=40033#1

+

Монитор трафика на выбор:
Http Analyzer
http://forum.ru-board.com/topic.cgi?forum=35&topic=29092#1
или
HTTP Debugger
http://forum.ru-board.com/topic.cgi?forum=35&topic=34851#1



Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

Создано: 26 июня 2017 22:29
· Личное сообщение · #9

а как же Sandboxie ?



Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 26 июня 2017 23:55
· Личное сообщение · #10

SDK пишет:
а как же Sandboxie ?

Buster Sandbox Analyzer ссылку на который я оставлял в предыдущем посте работает как раз на основе Sandboxie

trion1 пишет:
Монитор трафика на выбор

А если оно по UDP общается? Траф мониторить лучше на выходе из вм, или на уровне ядра подписавшись на соответствующие события. В простых случаях на живой системе можно каким-нибудь Wireshark снифать, или попроще для расшифровки https чем-то вроде Fiddler прокси.


 eXeL@B —› Вопросы новичков —› Песочница для установщиков
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати