софт для реверсинга. или поиск специалиста?

Тема в разделе "WASM.RESEARCH", создана пользователем alex34, 24 дек 2011.

  1. alex34

    alex34 New Member

    Публикаций:
    0
    Регистрация:
    16 сен 2007
    Сообщения:
    19
    есть софт, полный инсталлер, который "разворачивается" на компьютере, инсталлится, прописывает драйвера (.sys), службы (.dll)
    что-то пишет в реестр, итд.

    вопрос - какой программой лучше сделать полный реверс? важно понять как он инсталлит все эти файлы в систему. чтобы потом самому "повторить" алгоритм работы этого инсталлера на своем софте, но с файлами этого "стороннего" дистрибута.

    т.е "вынуть" нужные файлы из инсталлера (это просто) и прописать их в системе самостоятельно так, как это делает инсталлер дистрибута.

    как и чем можно залогировать действия инсталлера с этими файлами, как он их прописывает в систему, что пишет в реестр......
    чтобы на основе этого лога я смог самостоятельно написать свой "инсталлер" нужных мне драйверов и служб, из этого дистрибута.

    или если не все так линейно (т.е совет по софту мне может не дать результат изза отсутствия опыта реверса) то к кому можно обратиться с подобной задачей.
     
  2. Ezrah

    Ezrah Member

    Публикаций:
    0
    Регистрация:
    22 мар 2011
    Сообщения:
    411
    В общем случае это сделать довольно проблематично. Всё зависит от используемого установщика (MSI, NSIS и т.д.). Есть такие, которые создают лог сами в папке установки, есть те, которые содержат скрипт установки в себе. Сложнее всего с теми, которые скрипт установки компилируют, тут без реверса не обойтись. Хотя, наверняка, существуют утилиты, способные декомпилировать скрипт.
    Короче, определите сначала какой тип установщика используется.
     
  3. alex34

    alex34 New Member

    Публикаций:
    0
    Регистрация:
    16 сен 2007
    Сообщения:
    19
    если допустить, что логов инсталлер никаких сам не делает
    и инсталлер "не стандартный", то как?

    то что инсталлер дистрибута покажет весь этот шоколад - боюсь наивно (покрайней мере в софте о котором говорю я).. софт серьезный.

    тут надо именно както самому все вычленить, пошагово, всю его работу по установке. не надеясь на их лог.
    даже если будет лог этого инсталлера - оно мало что даст.... вернее ничего.
    вот он распоковал ДЛЛ, скопировал его в систем32 папку.... прописал сервисом.
    но, как мне взять тотже ДЛЛ и прописать его также, сервисом, как это сделал дистрибут?
    тоже самое и с драйверами СУС.
     
  4. Ezrah

    Ezrah Member

    Публикаций:
    0
    Регистрация:
    22 мар 2011
    Сообщения:
    411
     
  5. spider

    spider Spider

    Публикаций:
    0
    Регистрация:
    25 авг 2007
    Сообщения:
    35
    Самое простое при помощи PeID определить тип инсталятора и найти для него распаковщик. Там же будут скрипты установки и все прочее.

    В худшем варианте я бы посоветовал что-то вроде WinAPIOverride32 - эта софтина логирует все вызовы API функций. В ней можно установить фильтр на API. Вам нудно выбрать функции работы с фалами и работы с реестром. Вобщем покурите но ней мануалы. Таких програм не одна и не две. Эксперементируйте.
    Так же можно установить RegSnap Pro он покажет вам изменения до инсталяции и после. Короче покурите внимательно этот раздел: exelab.ru/download.php?action=list&n=MTU=

    Еще есть софт типа VMSnapshotCompare - он сравнивает два "слепка" виртуальной машины. Установите чистую VMWare сделайте ее копию и на ней установите Ваш софт. Потом скормите этой программе слепки и посмотрите на разницу. Сравнивает она текстовые строки в двух файлах, поэтому резльтат будет не совсем таким, какием его хотелось бы видеть, но наличие нгвых файлов вы увидите точно.

    Прописать что либо в сервисах достточно легко: Сделайте экспорт куста реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet до установки и после установки и сравние два файла. Во втором случае ветка CurrentControlSet будет содержать на одну запись больше. Приведите ее к формату реестра и вот вам файл для регистрации службы.... Если это не руткит конечно и он не скрывает своего присутствия...

    Удачи.
     
  6. ASMatic

    ASMatic New Member

    Публикаций:
    0
    Регистрация:
    5 окт 2010
    Сообщения:
    233
    alex34
    попробуйте разобрать логи ProcessMonitor
     
  7. spider

    spider Spider

    Публикаций:
    0
    Регистрация:
    25 авг 2007
    Сообщения:
    35
    ОО!! Я придумал. Есть такой софт - называетя VMware ThinApp. Он позволяет из любого исталятора сделать портабелный софт. Делает он это методом перехвата функций работы с реестром и файловой системой. Результат своей работы он сложит в 1-2 папки со структурой такой же, как на вашем диске и создаст reg файлы (файлы реестра). Запускать он их будет через свой лаунчер, но он вам не нужен. Вам нужно просто забрать все файлы и файл реестра и написать программу, которая разложит эти файлы в системе по таким же путям, только относительно вашего диска и добавить в реестр полученный в результате работы ThinApp REG-файл.

    Лучшей автоматизации, я уверен, никто не придумает. Опять же все актуально для честного софта, который делает все от своего имени, а не через инжект шелкода в чужое АП и выполненние инсталяции от чужого имени.
     
  8. gorodon

    gorodon New Member

    Публикаций:
    0
    Регистрация:
    19 окт 2009
    Сообщения:
    301
    alex34 [spider ]
    Можете попробовать воспользоваться тулзами из семейства анинсталлеров (например, "Ashampoo UnInstaller") - они позволяют делать снэпшеты реестра и дисков до и после (установки ПО) и сравнивать их. Но это будет сравнение как-бы по-факту, если вам необходимо знать и последовательность уст-х компонентов, то ProcessMonitor, как уже советовали, подойдет в полной мере...
     
  9. spider

    spider Spider

    Публикаций:
    0
    Регистрация:
    25 авг 2007
    Сообщения:
    35
    Вы наверно путаете меня с кем-то! Я советовал а не просил помощи :) Советуйте alex34
     
  10. gorodon

    gorodon New Member

    Публикаций:
    0
    Регистрация:
    19 окт 2009
    Сообщения:
    301
    spider, сорри, ошибся... пост был адресован конечно alex34
     
  11. alex34

    alex34 New Member

    Публикаций:
    0
    Регистрация:
    16 сен 2007
    Сообщения:
    19
    всем спасибо за подсказки, попробуем =)
     
  12. alex34

    alex34 New Member

    Публикаций:
    0
    Регистрация:
    16 сен 2007
    Сообщения:
    19
    вобщем не очень у нас получилось... нужен специалист.
    есть 3 дистрибута (винХП, вин32 (vista/win7), вин64 (vista/win7))

    надо их расковырять, нужные файлы вытащить, ненужные выкинуть.
    и по итогу – надо написать свой установщик (именно исходник, который я потом смогу приделать к своей программе) всех необходимых, оттуда файлов.

    + надо их взломать (снять триалы и различные ограничения, во всех 3х дистрибутах)

    кто возмется? задача серьезная, хорошо оплачу.
    подробности при контакте.

    ася 722-ноль-80
     
  13. alex34

    alex34 New Member

    Публикаций:
    0
    Регистрация:
    16 сен 2007
    Сообщения:
    19
    все еще актуально, ищу хорошего спеца.
     
  14. Vam

    Vam New Member

    Публикаций:
    0
    Регистрация:
    16 июл 2008
    Сообщения:
    149
    Загляни в личку, почти неделя уже прошла...