ANTICHAT — форум по информационной безопасности, OSINT и технологиям

загружаешь прогу в дебаггер. ставишь бряк на CreateFileW (WriteFile, CloseHandle) -> смотришь куда сохраняется. а дальше делай с ней что хочешь (dll, в смысле)

или чтобы отследить процесс загрузки этого всего можно поставить bp на сетевые функции вроде recv, URLDownloadToFileW и InternetReadFile

Тут такая проблемка с дебаггером...прога запакована Themid'ой и olly просто вылетает..
Какой можно использовать в этом случае ? (UnThemida не распаковывает)

Заюзать модификацию ольги, включить плаги, и все будет отлаживаться

например

http://reversengineering.wordpress.com/2008/09/07/ollydbg-mod-4-execryptor-themida/

Большое спасибо, буду пробовать

снифнуть трафик можт легче?

или сдампить с памяти уже заинжек4еную либу

Какой софт нужен для первого и второго варианта ?

А что если никуда не сохраняеться? Ведь нигде не сказанно что она сохраняеться на жёский диск? Можно же из памяти загрузить?
Я в этом не очень разбираюсь, так что сорри если ошибся.

Сдампить можно например PE Tools используя (процесс свой найдёш, и посмотриш список загдуженных dll'ок), али каким отладчиком, скорей всего ядерным, раз олька не подошла (например WinDbg).

А ещё можно используя Process Monitor (http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx) посмотреть куда dll сохраняеться, если, конечно, она всё-таки сохраняеться на диск.

Вобщем не смог я dll.ку найти...названия я её не знаю а в процессе больше 100 их...как можно сравнить процесс до внедрения и после (ручками не прокатывает, даже порядок разный)