 |
eXeL@B —› Вопросы новичков —› Галочка в диалоговом окне винды |
| Посл.ответ | Сообщение |
|
|
Создано: 10 августа 2006 14:23 · Личное сообщение · #1 Собственно в диалоговом окне винды есть галочка ее нужно программно снять. Изменяются 3 параметра в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG\Seed и 2 напрямую относящиеся к значению галочки. Один из них флаг, а второй меняется каждый раз с разными значениями. Видимо при изменении состояния галочки, вызывается какая-то функция (могу предположить, что из Crypt32). Как эту функу выловить? И чем. SoftIce'ом не пользовался 100 лет уже =( Олькой получится? ----- Blame the victim!  |
|
|
Создано: 10 августа 2006 15:00 · Личное сообщение · #2 1nn0cent пишет: Как эту функу выловить? Олькой получится? В окне CPU щелкаешь правой кнопкой мыши search for -> Name xxxxxxx Сначала пробуешь имена в текущем модуле, потом все. Бряк ставь тоже по правой мыше - F2 просто портит импорт(баг однако). Функции работы с реестром - RegOpenKeyExA RegQueryValueExA Через них должен добраться и до своей. По поводу Cryptography\RNG\Seed - это Виндовый механизм, его многие используют. |
|
|
Создано: 10 августа 2006 15:20 · Личное сообщение · #3 tundra37 это все понятно. Дело в том, что галочка находится... гм... ну короче зайди в сетевые подключения, свойства кокого-то соединения. Вот видишь там галочки? Вот допустим одну из них я и снимаю... ----- Blame the victim! |
|
|
Создано: 10 августа 2006 22:28 · Личное сообщение · #4 1nn0cent, я что-то не понял... А что тебе мешает найти Хэндл окна этой "галочки" и потом уже легко отлавливаешь сначала клик по ней, а потом посмотришь, чот дальше делается... Быстро найти хэндл прога Ws32.exe может легко... Она в комплекте с Borland Delphi приходит... Кидаю её сюда (~90 кб.)  5ded_10.08.2006_CRACKLAB.rU.tgz - Ws32.exe
|
|
|
Создано: 11 августа 2006 09:06 · Личное сообщение · #5 1nn0cent пишет: свойства кокого-то соединения. Вот видишь там галочки? Это окно explorer.exe, но олли вряд ли сможет его отлаживать, хотя можно попробовать. Эксплорер ведает панелью задач. Если ее не трогать, то может прорвешься. |
|
|
Создано: 12 августа 2006 03:14 · Поправил: 1nn0cent · Личное сообщение · #6 Поставил-таки Сайс... Даже работает... Но вот беда: окошко Explorer'а, запись в реестр ведется (судя по всему) функой RegSetValueExA (ну и прочими). Да вот не срабатывает бряк ни на одну из них =( (команду addr и для чего она нужна знаю) ----- Blame the victim! |
|
|
Создано: 12 августа 2006 08:10 · Личное сообщение · #7 RegSetValueEx(W) – так пробовал? ----- ЗЫ: истЕна где-то рядом, Welcome@Google.com |
|
|
Создано: 12 августа 2006 09:00 · Личное сообщение · #8 1nn0cent пишет: RegSetValueExA (ну и прочими) Demon666 пишет: RegSetValueEx(W) – так пробовал? Эта функа входит в понятие "прочие"  У меня довольно большой опыт крэкинга.
----- Blame the victim! |
|
|
Создано: 12 августа 2006 09:53 · Поправил: Demon666 · Личное сообщение · #9 Хотел узнать какая система (имелась ввиду XP?) если правильно понял, хм… считал что бряк ставить на RegSetValueEx(A) не имеет смысла!? (explorer.exe) <-- Выходит, что ошибался!? ;) Думаю о EXP=\SystemRoot\System32\advapi32.dll упоминать тоже не имеет смысла? ----- ЗЫ: истЕна где-то рядом, Welcome@Google.com |
|
|
Создано: 12 августа 2006 11:02 · Личное сообщение · #10 1nn0cent Есть такая SHLWAPI.dll и в ней API типа SHRegSetUSValue и т.п. Они экспортируются в exeplorer.exe |
|
|
Создано: 13 августа 2006 13:02 · Личное сообщение · #11 Demon666 пишет: имелась ввиду XP? Она родимая... Demon666 пишет: Выходит, что ошибался!? ;) Может и нет. Бряки ставил сразу на все, что можно... =) В XP работаю всего месяц... Demon666 пишет: Думаю о EXP=\SystemRoot\System32\advapi32.dll упоминать тоже не имеет смысла? Абсолютно прав. tundra37 пишет: Есть такая SHLWAPI.dll и в ней API типа SHRegSetUSValue и т.п. Они экспортируются в exeplorer.exe Так... А вот об этом не знал. Спасибо. Попробую. ----- Blame the victim! |
|
|
Создано: 29 августа 2006 18:55 · Личное сообщение · #12 Вот наконей добрался до проекта... К сожалению, запись в реестр производит svchost.exe =( Все никак не решусь попробовать подебагить его Олькой... Кто-нить пробовал? ----- Blame the victim! |
|
|
Создано: 30 августа 2006 01:34 · Личное сообщение · #13 1nn0cent пишет: К сожалению, запись в реестр производит svchost.exe Что-то ты напутал. svchost.exe действительно работает с реестром, но только на чтение - нет у него функций RegSet, да и по смыслу его задач ему это не нужно. Правда есть вирусы маскирующие себя под svchost.exe - может ты на это нарвался. |
|
|
Создано: 30 августа 2006 16:21 · Личное сообщение · #14 tundra37, маловероятно =) Ну не знаю... RegMon определят запись нужных значений именно svchost'ом... ----- Blame the victim! |
|
|
Создано: 31 августа 2006 03:16 · Личное сообщение · #15 Как работает ReMon здесь написано: www.ddj.com/184410109 Т.к. использован драйвер, то олли просто не сможет все перехватить  Нужно софтайс использовать и похоже для доступа к реестру другой механизм используется. Мне удалось сделать аттач к svchost - только внимательно смотри его номер. Там тьма тредов, т.ч. замучишься ловить.
Кстати, галки ставит аплет ncpa.cpl - это длл такая, которую можешь запустить как экзе. Короче надо от окошка плясать и смотреть какие API вызываются. |
|
|
Создано: 09 сентября 2006 03:35 · Личное сообщение · #16 www.wasm.ru/toollist.php?list=21 Тут есть тексты regmon, правда старая версия. Там драйвер используется, т.ч. точно олии не возьмет то, что в svchost ... По крайней мере можно попробовать адрес поймать, где в реестр лезут. |
|
eXeL@B —› Вопросы новичков —› Галочка в диалоговом окне винды |
Для печати