Нужен совет...
 

Вобщем так.
Есть программа, доступ к ней по логину/пасу.(читает с сервера)
Значит сама программа представляет из себя downloader тоесть получаю доступ, жму кнопку, программа(в моём случае) грузит с сервера .dllку и инжектит в процесс.

Цель: отловить эту .dllку и сохранить на хард.
Вобщем нужен совет что можно и как нужно делать :)

загружаешь прогу в дебаггер. ставишь бряк на CreateFileW (WriteFile, CloseHandle) -> смотришь куда сохраняется. а дальше делай с ней что хочешь (dll, в смысле)

или чтобы отследить процесс загрузки этого всего можно поставить bp на сетевые функции вроде recv, URLDownloadToFileW и InternetReadFile

Тут такая проблемка с дебаггером...прога запакована Themid'ой и olly просто вылетает..
Какой можно использовать в этом случае ? (UnThemida не распаковывает)

Заюзать модификацию ольги, включить плаги, и все будет отлаживаться

например

http://reversengineering.wordpress.com/2008/09/07/ollydbg-mod-4-execryptor-themida/

Большое спасибо, буду пробовать :)

снифнуть трафик можт легче?

или сдампить с памяти уже заинжек4еную либу

Какой софт нужен для первого и второго варианта ?

А что если никуда не сохраняеться? Ведь нигде не сказанно что она сохраняеться на жёский диск? Можно же из памяти загрузить?
Я в этом не очень разбираюсь, так что сорри если ошибся.

Сдампить можно например PE Tools используя (процесс свой найдёш, и посмотриш список загдуженных dll'ок), али каким отладчиком, скорей всего ядерным, раз олька не подошла (например WinDbg).

А ещё можно используя Process Monitor (http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx) посмотреть куда dll сохраняеться, если, конечно, она всё-таки сохраняеться на диск.

Вобщем не смог я dll.ку найти...названия я её не знаю а в процессе больше 100 их...как можно сравнить процесс до внедрения и после (ручками не прокатывает, даже порядок разный)