msuhanov 7 фев 2017 в 11:01

Недокументированные возможности Windows: точки остановки для ключей реестра

3 мин

13K

Блог компании BI.ZONEОтладка*Реверс-инжиниринг*

+31

Комментарии 4

msatersam11 7 фев 2017 в 13:11

для решения сторонник задач — например, поиска программ в исследуемом образе системы, которые используют заданный ключ реестра

Что мешает procmon( Process Monitor ) использовать в таких случаях?
К слову, предлагается к скачиванию, даже на микрософтоском сайте.

msuhanov 7 фев 2017 в 13:35

Что мешает procmon( Process Monitor ) использовать в таких случаях?

Ничего не мешает. С другой стороны, функциональности этой программы не всегда может хватать.

qw1 7 фев 2017 в 21:42

Что мешает procmon( Process Monitor ) использовать в таких случаях?

В современных Windows даже procmon с его драйвером ядра — оверкилл, можно просто подписаться на провайдера событий «Microsoft-Windows-Kernel-Registry» (похожий пример)

Однако, так мы получим факт, что процесс с PID 0x12345 сделал операцию в реестре, но не получим доступ к коду, которым он это сделал. Может, код самоудаляется после выполнения. А тут встали на breakpoint и можно выйти в программу — поотлаживать, посмотреть, какие логические пути ведут к этому вызову API.

maxdm 7 фев 2017 в 17:33

Класс, а для объектов ядра подобного нет?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий