ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
05.03.2010, 15:02
|
|
Новичок
Регистрация: 15.03.2008
Сообщений: 11
Провел на форуме:
103379
Репутация:
10
|
|
Обход защиты программы.
Имеется программа с очень мудреной защитой.
Алгоритм:
0.5)Обнаруживает в памяти(Даже если просто запускал)
Procmon и не запускается. Или идет п.1
1)После запуска просит логин-пароль(Логин и пароль с их форума,и подойдут в прогу только после оплаты подписки.
2)После 1го входи,программа записывает твой HW-ID на твой акк и под другим компом уже не зайти.
3)Программа предлагает дллки(которые и нужны). Ты выбираешь что тебе надо.
Она скачивает в какую-то временную папку эту дллку,инжектит ее в нужный процесс и сразу закрывается.
Вопрос решен.
Последний раз редактировалось matro; 05.03.2010 в 18:13..
|
|
|
05.03.2010, 15:42
|
|
Reservists Of Antichat - Level 6
Регистрация: 23.08.2007
Сообщений: 1,237
Провел на форуме:
18127311
Репутация:
1676
|
|
как все же проследить куда она сохраняет дллки?
Filemon'ом пробовал?
|
|
|
|
05.03.2010, 15:45
|
|
Новичок
Регистрация: 15.03.2008
Сообщений: 11
Провел на форуме:
103379
Репутация:
10
|
|
Если пробовать запускать Filemon до,после или во время работы программы то она вырубается и больше не запускается пока не перезапустишь комп.
Последний раз редактировалось matro; 05.03.2010 в 18:13..
|
|
|
|
05.03.2010, 15:48
|
|
Reservists Of Antichat - Level 6
Регистрация: 23.08.2007
Сообщений: 1,237
Провел на форуме:
18127311
Репутация:
1676
|
|
Исправь программу чтобы она так не делала?
|
|
|
|
07.03.2010, 23:12
|
|
Новичок
Регистрация: 15.03.2008
Сообщений: 11
Провел на форуме:
103379
Репутация:
10
|
|
Как отследить куда программа сохраняет длл?
Пробовал мониторить все временные папки.. результатов 0.
По логам Filemon'a не видно куда сохраняет длл,только сами конфиги.
|
|
|
|
08.03.2010, 12:56
|
|
Постоянный
Регистрация: 12.07.2006
Сообщений: 327
Провел на форуме:
1654818
Репутация:
117
|
|
куда она инжектит эти длл? если сама загружает то LoadLibrary лови, если в другой процесс то посмотри какие длл и откуда он юзает(например в ольке Executable modules).
Ну или CreateFile лови, или там сэндбокс какойнить поробуй. вариантов куча)
|
|
|
|
08.03.2010, 13:07
|
|
Новичок
Регистрация: 15.03.2008
Сообщений: 11
Провел на форуме:
103379
Репутация:
10
|
|
Сообщение от zeppe1in
куда она инжектит эти длл? если сама загружает то LoadLibrary лови, если в другой процесс то посмотри какие длл и откуда он юзает(например в ольке Executable modules).
Ну или CreateFile лови, или там сэндбокс какойнить поробуй. вариантов куча)
Скачивает с сервера,хранит около 50 секунд неизвестно где,потом инжектит в другой процесс.
Прога запакована themid'ой. Защита от Процмона при старте есть,но после логин формы память не проверяет,поэтому залогировал весь процесс скачки длл с сервера и ижектт в логах процемона,но там всеравно не видно путей,куда она скачивает.
|
|
|
|
08.03.2010, 16:34
|
|
Постоянный
Регистрация: 12.07.2006
Сообщений: 327
Провел на форуме:
1654818
Репутация:
117
|
|
другой процесс то работает с ними? тогда не удалиш дллку никак. либо может инжект какойнить хитрый.
http://www.sandboxie.com/
не знаю правдо как темида к этому отнесёца.
|
|
|
|
25.03.2010, 00:41
|
|
Участник форума
Регистрация: 16.07.2008
Сообщений: 118
Провел на форуме:
154185
Репутация:
32
|
|
Олька с плагинами на необнаружение в помощь.
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
