На другом форуме один чел пишет: "Thinstall известен тем что виртуализирует, помещая в песочницу "sandbox" выполняемый процесс, при этом контролируя все его попытки работы с файловой системой. Так вот, ставим бряк на CreateFileA, ждем срабатывания, смотрим на имя открываемого\создаваемого файла и делаем вывод - как относится данный файл к работе подопытного приложения. Если кажется что файл нужен нам, запоминаем путь, ставим бряк на CloseHandle и ждем срабатывания (по логике после CreateFileA вызовется WriteFile а затем CloseHandle). После этого можно ныжный нам файл скопировать и делать с ним что угодно". Сделал как он говорил. Только вместо CreateFileA была функция CreateFileW. Бряк сработал. Я посмотрел какие вообще вызываются функции в (ОLLY Ctrl+N) Прога попала на бряк, в EAX легло 0012FC38 UNICODE "F:\Program Files\PE plorer\PEExplorer.exe", а на верхушке стека Код (Text): 0012FA08 0012FC38 |FileName = "F:\Program Files\PE Explorer\PEExplorer.exe" 0012FA0C 80000000 |Access = GENERIC_READ 0012FA10 00000001 |ShareMode = FILE_SHARE_READ 0012FA14 00000000 |pSecurity = NULL 0012FA18 00000003 |Mode = OPEN_EXISTING 0012FA1C 00000080 |Attributes = NORMAL 0012FA20 00000000 \hTemplateFile = NULL 0012FA24 7C910738 ntdll.7C910738 Ставлю бряк BPX CloseHandle, бряк сработал ! Что дальше предпринять? Откуда можно скачать распаковавшийся файл? Спасибо.
