Здравствуйте, подскажите программу для просмотра того что наделал установщик. Например что он добавил в реестр, куда что записал, и т.д.

| Сообщение посчитали полезным:

Uninstall Tool



| Сообщение посчитали полезным: RedYu

procmon

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

Анпакнуть тело и в скрипте посмотреть не судьба ?

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

http://www.nektra.com/products/spystudio-api-monitor/
или аналог

unknownproject пишет: Анпакнуть тело и в скрипте посмотреть не судьба ?

не судьба, учитывая, что стандартные библиотеки установщика могут быть пересобраны и нести любую зловредную нагрузку.

| Сообщение посчитали полезным:

Тут на самом деле масса вариантов со своей спецификой. Есть продукты работающие на основе снапшотов (типа Total Uninstall etc), если нужно посмотреть только итоговые изменения фс и реестра, есть мониторы в реальном времени, дающие понимание всей последовательности действий как например упомянутая spystudio и подобные, есть решения на основе песочниц и вм, и есть отдельные инструменты для конкретного случая и задачи. Для простых задач (типа сбора инфы для создание портабельной версии программы) хватает примитивных "снапшотных" решений, а для исследования малвари или разных "хитрых" инсталлеров часто и spystudio&co мало полезны и без специальной изолированной среды не обойтись

| Сообщение посчитали полезным:

они бывает драйвера переписывают и системные либы потом если снести то и система летит)) сам когдато хотел такую защиту для триала делать)) но меня опередили)))

| Сообщение посчитали полезным:

ВМ, хотя можно и в живой системе - кому как нравиться

+

SysTracer - создание снимков реестра и файловой системы для их последующего сравнения на предмет модификации, добавления или удаления данных.
http://forum.ru-board.com/topic.cgi?forum=35&topic=40033#1

+

Монитор трафика на выбор:
Http Analyzer
http://forum.ru-board.com/topic.cgi?forum=35&topic=29092#1
или
HTTP Debugger
http://forum.ru-board.com/topic.cgi?forum=35&topic=34851#1

| Сообщение посчитали полезным:

а как же Sandboxie ?

| Сообщение посчитали полезным:

SDK пишет:
а как же Sandboxie ?
Buster Sandbox Analyzer ссылку на который я оставлял в предыдущем посте работает как раз на основе Sandboxie

trion1 пишет:
Монитор трафика на выбор
А если оно по UDP общается? Траф мониторить лучше на выходе из вм, или на уровне ядра подписавшись на соответствующие события. В простых случаях на живой системе можно каким-нибудь Wireshark снифать, или попроще для расшифровки https чем-то вроде Fiddler прокси.

| Сообщение посчитали полезным: