Электронная библиотека
Хакер
Бедность не порок, а способ шевелить мозгами...
Xakep, номер #00, стр. 00-028-2
Делаю раз. Запускаю Regmon.
Делаю два. Запускаю Filemon.
Делаю три. Запускаю NETmon.
Смотрю, и волосы дыбом. В окнах Regmon'а и Filemon'a тьма всяких записей. Если чуток напрячься, то вполне можно найти знакомое название «netmon» и в опциях программ, в разделе «фильтр», поставить netmon. Закрываю все и открываю заново. Вот теперь порядок, зафиксированы записи, относящиеся только к нужной программе. Ну а теперь ну очень тщательный (скрупулезный, для умных) анализ полученной информации.
В Filemon что-то ничего в глаза не бросилось. Банальное обращение проги к своему ехе'шному файлу и dll'елке.
(вставить картинку trial2.jpg подпись: «В Filemon отсутствует любая информация к размышлению. Даже для полковника Исаева»)
В Regmon'е уже интересней. Сразу замечается наглое обращение программы к одному и тому же ключу регистра.
(вставить картинку trial1.jpg подпись: «Remon с отловленным ключом реестра»)
Два раза щелкаю по выбранной записи в регмониторе, и открывается виндовсный Regedit, откуда с чистой совестью удаляется треклятый ключ. (Прежде чем лезть в системный реестр - сделай резервную копию файлов реестра (systm.dat и user.dat из корневого директория Виндов), чтобы не пришлось рвать волосы на одном месте и переустанавливать систему).
Ну а теперь осталось только посмотреть на конечный результат. Запускаю NETmon - все в порядке, фокус удался, факир оказался трезв, что в общем-то странно, учитывая специфику «тонкой» работы с реестром. Все. Фанфары и поздравления. Низкие поклоны и широкий занавес. Концерт закончен. А по традиции, следуя классическим библейским традициям (Muslims - must die!), вручаю удочку - рыбу при наличии извилистых мозгов и прямых (обязательно!) рук поручаю ловить тебе самому... Хорошего клева!