Как работает mjrwmon ?

Тема в разделе "WASM.RESEARCH", создана пользователем yos196, 25 янв 2020.

  1. yos196

    yos196 New Member

    Публикаций:
    0
    Регистрация:
    20 дек 2017
    Сообщения:
    17
    Есть такая тулза которая может логирываЕть запросы к реестру винды на запись.Я просмотрел таблицу импорта этой софтины по 3м экзешникам, и ниче такого особого не обнаружил. Но прикол в том что зверьки которые по своей деятельности лазиют в реестр, пытаются уйти в засаду и не палить себя когда эта софтина выполняется... Я так подозреваю что эта софтина(mjrwmon) ставит какие то хуки через оф. не документированое АПИ.Может кто знает как оно отслеживает завпросы на запись в реестре?

    ЗЫ: оно довольно древнее ,еще до 7ки по ходу, но палит обращения на запись в реестр без всяких запусков через UAC.Для меня єто реально загадка, как оно работает, что за апи юзает...
     
  2. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    yos196, может всё совсем просто == делает сохранку реестра и сравнивает по нему наличие новых записей.
     
    Indy_ нравится это.
  3. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    2.000
    yos196 нравится это.
  4. TrashGen

    TrashGen ТрещГен

    Публикаций:
    0
    Регистрация:
    15 мар 2011
    Сообщения:
    1.191
    Адрес:
    подполье
  5. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    2.000
    Он сейчас procmon'ом называется.
     
  6. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
    Был еще регшот или как то так, но он работал именно на базе снимков реестра и их сравнения. Его уже канеш немодно использовать.
     
  7. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    MJRegWatcher

    procmon: 143k событий по реестру до запуска.

    Походу оно весь реестр дампит прямым перечислением, как сразу и сказали.
     
  8. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
    Походу Инде не осилил поставить фильтр по интересующему его процессу, что в принципе не удивительно, зная Инде.
     
  9. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    Нет вот, процесс задан именно по имени, таких в системе больше нет.
     
  10. yos196

    yos196 New Member

    Публикаций:
    0
    Регистрация:
    20 дек 2017
    Сообщения:
    17
  11. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    2.000
    To monitor registry operations in more detail, see Registry. COM-объект. Скорей всего так, лень проверять.
     
  12. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    yos196,

    Даже если бы он был ядерным фильтром за две недели ты как нуби смог бы разобрать. Если не хочешь за пару минут паблик инструментами посмотреть, то тебе тоже сюда(каждый придурок с комерс задачей должен платить) https://wasm.in/forums/wasm-commerce.27/
     
  13. voffka0

    voffka0 Member

    Публикаций:
    0
    Регистрация:
    22 янв 2019
    Сообщения:
    136
    [math]https://youtu.be/UdeoLIDZjwM?t=3435[/math]