Имеется программа с очень мудреной защитой.
Алгоритм:
0.5)Обнаруживает в памяти(Даже если просто запускал)
Procmon и не запускается. Или идет п.1
1)После запуска просит логин-пароль(Логин и пароль с их форума,и подойдут в прогу только после оплаты подписки.
2)После 1го входи,программа записывает твой HW-ID на твой акк и под другим компом уже не зайти.
3)Программа предлагает дллки(которые и нужны). Ты выбираешь что тебе надо.
Она скачивает в какую-то временную папку эту дллку,инжектит ее в нужный процесс и сразу закрывается.
Вопрос решен.

как все же проследить куда она сохраняет дллки?
Filemon'ом пробовал?

Если пробовать запускать Filemon до,после или во время работы программы то она вырубается и больше не запускается пока не перезапустишь комп.

Исправь программу чтобы она так не делала?

Как отследить куда программа сохраняет длл?
Пробовал мониторить все временные папки.. результатов 0.
По логам Filemon'a не видно куда сохраняет длл,только сами конфиги.

куда она инжектит эти длл? если сама загружает то LoadLibrary лови, если в другой процесс то посмотри какие длл и откуда он юзает(например в ольке Executable modules).
Ну или CreateFile лови, или там сэндбокс какойнить поробуй. вариантов куча)

куда она инжектит эти длл? если сама загружает то LoadLibrary лови, если в другой процесс то посмотри какие длл и откуда он юзает(например в ольке Executable modules).
Ну или CreateFile лови, или там сэндбокс какойнить поробуй. вариантов куча)

Скачивает с сервера,хранит около 50 секунд неизвестно где,потом инжектит в другой процесс.
Прога запакована themid'ой. Защита от Процмона при старте есть,но после логин формы память не проверяет,поэтому залогировал весь процесс скачки длл с сервера и ижектт в логах процемона,но там всеравно не видно путей,куда она скачивает.

другой процесс то работает с ними? тогда не удалиш дллку никак. либо может инжект какойнить хитрый.
http://www.sandboxie.com/
не знаю правдо как темида к этому отнесёца.

Олька с плагинами на необнаружение в помощь.