eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: LoxmatbIj (+5 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Песочница для установщиков
Посл.ответ Сообщение

Ранг: 1.0 (гость)
Статус: Участник

Создано: 25 июня 2017 14:18 New!
Цитата · Личное сообщение · #1

Здравствуйте, подскажите программу для просмотра того что наделал установщик. Например что он добавил в реестр, куда что записал, и т.д.

Ранг: 70.7 (постоянный)
Статус: Участник

Создано: 25 июня 2017 14:34 · Поправил: sefkrd New!
Цитата · Личное сообщение · #2

Uninstall Tool

| Сообщение посчитали полезным: RedYu


Ранг: 211.3 (наставник)
Статус: Участник

Создано: 25 июня 2017 14:50 New!
Цитата · Личное сообщение · #3

procmon

Ранг: 95.7 (постоянный)
Статус: Участник

Создано: 25 июня 2017 14:53 New!
Цитата · Личное сообщение · #4

Анпакнуть тело и в скрипте посмотреть не судьба ?

Ранг: 0.0 (гость)
Статус: Участник

Создано: 25 июня 2017 15:03 New!
Цитата · Личное сообщение · #5

http://www.nektra.com/products/spystudio-api-monitor/
или аналог

unknownproject пишет: Анпакнуть тело и в скрипте посмотреть не судьба ?

не судьба, учитывая, что стандартные библиотеки установщика могут быть пересобраны и нести любую зловредную нагрузку.

Ранг: 127.6 (ветеран)
Статус: Участник

Создано: 25 июня 2017 18:35 New!
Цитата · Личное сообщение · #6

Тут на самом деле масса вариантов со своей спецификой. Есть продукты работающие на основе снапшотов (типа Total Uninstall etc), если нужно посмотреть только итоговые изменения фс и реестра, есть мониторы в реальном времени, дающие понимание всей последовательности действий как например упомянутая spystudio и подобные, есть решения на основе песочниц и вм, и есть отдельные инструменты для конкретного случая и задачи. Для простых задач (типа сбора инфы для создание портабельной версии программы) хватает примитивных "снапшотных" решений, а для исследования малвари или разных "хитрых" инсталлеров часто и spystudio&co мало полезны и без специальной изолированной среды не обойтись


Ранг: 121.0 (ветеран)
Статус: Участник

Создано: 26 июня 2017 09:26 New!
Цитата · Личное сообщение · #7

они бывает драйвера переписывают и системные либы потом если снести то и система летит)) сам когдато хотел такую защиту для триала делать)) но меня опередили)))

Ранг: 5.0 (гость)
Статус: Участник

Создано: 26 июня 2017 12:07 · Поправил: trion1 New!
Цитата · Личное сообщение · #8

ВМ, хотя можно и в живой системе - кому как нравиться

+

SysTracer - создание снимков реестра и файловой системы для их последующего сравнения на предмет модификации, добавления или удаления данных.
http://forum.ru-board.com/topic.cgi?forum=35&topic=40033#1

+

Монитор трафика на выбор:
Http Analyzer
http://forum.ru-board.com/topic.cgi?forum=35&topic=29092#1
или
HTTP Debugger
http://forum.ru-board.com/topic.cgi?forum=35&topic=34851#1


Ранг: 121.0 (ветеран)
Статус: Участник

Создано: 26 июня 2017 22:29 New!
Цитата · Личное сообщение · #9

а как же Sandboxie ?

Ранг: 127.6 (ветеран)
Статус: Участник

Создано: 26 июня 2017 23:55 New!
Цитата · Личное сообщение · #10

SDK пишет:
а как же Sandboxie ?

Buster Sandbox Analyzer ссылку на который я оставлял в предыдущем посте работает как раз на основе Sandboxie

trion1 пишет:
Монитор трафика на выбор

А если оно по UDP общается? Траф мониторить лучше на выходе из вм, или на уровне ядра подписавшись на соответствующие события. В простых случаях на живой системе можно каким-нибудь Wireshark снифать, или попроще для расшифровки https чем-то вроде Fiddler прокси.
 eXeL@B —› Вопросы новичков —› Песочница для установщиков

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS