 |
eXeL@B —› Вопросы новичков —› Regmon vs Новичок |
| Посл.ответ | Сообщение |
|
|
Создано: 02 сентября 2007 19:17 · Личное сообщение · #1 Ой люди, помогите. Хотел тут поледить за програмой через Regmon. В первый раз. Начал он мне выводить много всяких сообщений. Ну я немножко покопался где то в настройках и теперь он ничего не выводит. Совсем Скажите пожалуста, что исправить и можно ли сделать что бы он следил только за одной программой, а не за всей системой? Спасибо  |
|
|
Создано: 02 сентября 2007 19:29 · Личное сообщение · #2 Угарное название топика - инструмент создан для облегчения жизни, а не в качестве мяса 
White Rabbit пишет: что исправить Cкорее всего ctrl+E - остановить/продолжить слежку White Rabbit пишет: можно ли сделать что бы он следил только за одной программой, а не за всей системой? Ага, используя фильтры - Ctrl + L. В строке инклуд введи название процесса или ключа. |
|
|
Создано: 02 сентября 2007 19:58 · Личное сообщение · #3 Да заработало, спасибо. А как же он облегчает. Вот в моей подопытной программе я в отладчике выяснил, что программа обращается к реестру и если не находит ключа то считает себя триал-версией. Выяснил даже ключ, а regmon показывает что любая программа обращается к каким то ключам реестра. И помимо нужного ключа, моя подопытная ещё целую тучу обращений делает. Получается надо все ключи подряд просматривать или искать подозрительный? |
|
|
Создано: 02 сентября 2007 20:40 · Личное сообщение · #4 Поставь фильтр в регмоне только на свою прогу и просматривай, как ты выразился, подозрительные. |
|
|
Создано: 03 сентября 2007 05:26 · Личное сообщение · #5 White Rabbit Include/Exclude, надеюсь, не нужно объяснять. А вообще, Process Monitor в этом плане куда удобней. ----- Security through obscurity is just an illusion |
|
|
Создано: 03 сентября 2007 07:11 · Личное сообщение · #6 Скачал Process Monitor (PM). Неплохо, неплохо. Благодарю. Посмотрел в W32Dasm'е список функций. В программе нет таких функций как "RegOpenKey" "CreateFile" "CloseFile" "ReadFile" и др. Но PM говорит, что программа обращается и к реестру и файлы какие то создаёт. 1. W32Dasm не даёт полный список функций? 2. Откуда PM находит эти функции? |
|
|
Создано: 03 сентября 2007 07:26 · Поправил: pushick · Личное сообщение · #7 White Rabbit Так если она пакованная, откуда там будут в W32Dasme функции? Что за прога то? Peid'ом посмотри чем упакована. PM находит их через хуки в SSDT на сервисы реестра. ----- Security through obscurity is just an illusion |
|
|
Создано: 03 сентября 2007 08:28 · Личное сообщение · #8 Нет, нет. Программа не пакованная. Собственного это crackme. Я для "контрольной закупки" ещё один crackme посмотрел. Там тоже нет функций ни создания файла, ни чтения и др. Т.е. W32Dasm показал мне функции различные, но среди них нет ни одной на файл и реестр. Но при этом PM усиленно показывает, что программа обращается к реестру и создаёт какие то файлы Вот например: 189469 9:10:2... keygenme.exe 3620 CreateFile F:\Windows 189599 9:10:2... keygenme.exe 3620 CreateFile F: 189948 9:10:2... keygenme.exe 3620 RegOpenKey HKLM\System\CurrentControlSet\TerminalServer Но в файле нет таких функций. P.S. через хуки в SSDT на сервисы процесса - это ведь SetWindowsHookEx и тому подобные, если я правильно понял. А SSDT это ? |
|
|
Создано: 03 сентября 2007 11:35 · Личное сообщение · #9 Процедуры и функции можно и не импортировать, а вызывать из памяти операционки. Сейчас поищу примерчик... |
|
|
Создано: 03 сентября 2007 11:42 · Личное сообщение · #10 почитай статью эту http://exelab.ru/art/?action=view&id=388 и обрати внимание на GetProcAdress. Нужно использовать связку LoadLibrary/GetProcAdress/FreeLibrary для вызова не импортнутых методов. |
|
|
Создано: 03 сентября 2007 14:12 · Личное сообщение · #11 White Rabbit пишет: через хуки в SSDT на сервисы процесса - это ведь SetWindowsHookEx и тому подобные, если я правильно понял. А SSDT это ? Нет. SSDT это таблица системных вызовов, она находится в ядре. Соответственно и хуки эти ставит драйвер. Не все то, что выдает Process Monitor/Regmon инициировано кодом непосредственно приложения. ----- Security through obscurity is just an illusion |
|
|
Создано: 03 сентября 2007 18:22 · Личное сообщение · #12 sai_NT пишет: Процедуры и функции можно и не импортировать, а вызывать из памяти операционки. Да, я сейчас вроде бы припоминаю, что в далёкие времена я про такое что то читал. Правда не помню где. А за статью спасибо. pushick пишет: Не все то, что выдает Process Monitor/Regmon инициировано кодом непосредственно приложения. Вот. Я тоже так думаю. Я когда другой crackme смотрел, я нашёл к нему пароль и никаких файлов, обращений к реестру он не делает для регистрации. => вопрос. А как отличить не нужные обращения к реестру, не нужные создания каких то не понятных файлов от нужных? P.S. И скажите всё таки мне, а как же мне создать вот как у pushika'а синюю цитату что ли или как она там  Извините
|
|
|
Создано: 03 сентября 2007 18:54 · Личное сообщение · #13 White Rabbit пишет: А как отличить не нужные обращения к реестру, не нужные создания каких то не понятных файлов от нужных? Анализируй, что ещё сказать? White Rabbit пишет: И скажите всё таки мне, а как же мне создать вот как у pushika'а синюю цитату что ли или как она там Выделяешь текст мышкой и нажимаешь на "Цитата" вверху сообщения. ----- Security through obscurity is just an illusion |
|
|
Создано: 12 сентября 2007 21:18 · Личное сообщение · #14 ппц. Чем дальше в лес.......... White Rabbit пишет: Получается надо все ключи подряд просматривать или искать подозрительный? покопай побольше прог в регмоне. ты поймешь, что они все обращаются почти к одним и тем же кючам в реестре. обращай внимание в первую очередь не на "системные" ключи, а на ключики, созданные самой прогой в реестре. ----- Ни одно доброе дело не должно остаться безнаказанным !!! |
|
eXeL@B —› Вопросы новичков —› Regmon vs Новичок |
Для печати