Триальные защиты широко распространены в шароварах, в результате чего мы получаем полнофункциональную программу, работающую 30 дней или около того, а потом «деньги на бочку» или «до свидания». На самом деле, 99% триальных защит ломаются на автомате без напряжения мозговых извилин. Ни знания ассемблера, ни навыков работы с отладчиком, ни утомительного поиска торкающего крака/сернума/кейгена не требуется. Просто берем и ломаем.
Введение
Цена шаровар невелика и в среднем составляет порядка 20-50 долларов, однако десяток мелких утилит уже обгоняет в стоимости легальный дистр хрюши и вплотную приближается к стоимости таких мощных пакетов, как, например, Photoshop, причем если на Photoshop’е многие реально зарабатывают деньги (и его приобретение окупается), то утилиты сосут деньги, делая жизнь приятной в мелочах, но не собираются возвращать их назад, так что разработчикам шаровар следует задуматься о ценовой политике. Снижение стоимости в два раза зачастую повышает продажи в четыре!
Любая IDE от JetBrains абсолютно бесплатно! Лайф-хак для тех, кому надо. WebSrorm | PhpStorm
Даже если человек хочет заплатить за программу, чтобы стать настоящим зарегистрированным пользователем, в большинстве случаев он не может этого сделать из-за неразвитости платежных систем. Перевод денег требует слишком больших телодвижений, убивающий всю мотивацию на корню («я вот тут трясу деньгами, а у меня их не берут! Ну, и не надо! пойду лучше кряк поищу!»).
Давно замечено, что игры на сотовые телефоны чаще покупаются, чем ломаются. Во всяком случае, процент пиратства там в разы ниже, чем на ПК. А все потому? Да потому, что купить игру, отправив SMS, проще, чем лазить по сети в поиске кряка, рискуя подцепить трояна или другую заразу.
Мыщъх, демонстрируя разнообразные техники взлома, в первую очередь стремился показать слабость и бесполезность популярных защитных механизмов, неспособных остановить даже квалифицированных пользователей, вооруженных набором утилит, входящих в штатную поставку операционных систем семейства Windows NT, не говоря уже о специализированных хакерских отмычках!
Какие бывают защиты
Условно-бесплатные программы можно разделить на две большие категории. В первую (самую многочисленную) попадают полнофункциональные шаровары, защищенные «испытательным сроком» (он же «триал», от английского «trial» — испытание, проба), а во вторую — демонстрационные версии, в которых часть кода физически отсутствует и соответствующая функциональность не реализована (например, нельзя распечатать или сохранить документ).
Демонстрационные версии, как правило, не имеют ограничения срока пользования, но взломать их непросто. Теоретически недостающий код можно дописать и прицепить к программе через DLL, но для этого как минимум потребуется разобраться со всеми внутренними структурами данных, что требует кропотливого дизассемблирования. А это — и опыт, и время. Короче, хачить демки — не резон. Намного выгоднее купить полнофункциональную версию и распространять именно ее.
Взлом любого бота, серийника или ключа
Мы будем говорить исключительно о триальных программах. Очевидно, чтобы ограничить срок своего использования, защита должна где-то вести счетчик запусков или запоминать день своей инсталляции, сверяя его с текущей датой. Еще программа должна установить скрытый флаг, не удаляющийся при деинсталляци для предотвращения повторной установки. Если бы такого флага не существовало, даже неквалифицированный пользователь мог бы легко обмануть защиту, просто удалив программу и тут же переустановив ее. Обнаружив и удалив этот флаг вручную, мы сможем взломать программу, ни разу не разобравшись в устройстве защитного механизма.
Весь вопрос в том: где может храниться защитный флаг? Очевидно, не в каталоге самой программы, поскольку в этом случае он гибнет при его удалении (а удалить каталог программы — первое, что придет пользователю в голову). Следовательно, это должен быть либо каталог Windows (включая все подкаталоги), либо реестр. Программы времен MS-DOS записывали флаг своего присутствия в энергонезависимую CMOS-память, в физические сектора жесткого диска или другие «злачные» места, но сейчас время защит подобного типа уже прошло, что, впрочем, неудивительно, поскольку запись в CMOS возможна только с нулевого кольца (т.е. защите понадобится драйвер), а низкоуровневая работа с жестким диском нуждается в правах администратора и вызывает срабатывание проактивных антивирусных технологий, в результате чего защищенная программа теряет значительную часть рынка и пользователи начинают шарахаться от нее, как от привидения, что, в общем-то, совершенно закономерно.
Как показывает личный опыт автора, реестр и каталог Windows покрывают приблизительно от 90% до 96%-99% всех триальных программ, что является очень хорошим результатом (для взломщиков). Но прежде, чем отправляться на поиски флага регистрации, рассмотрим пару альтернативных способов взлома.
Виртуальные машины
Рост тактовой частоты современных процессоров вызывает ответный рост интереса ко всевозможным эмуляциям. Продвинутые виртуальные машины типа VM Ware позволяют вполне комфортно работать с Windows 2000 уже на Pentium-III 733 MHz, а на Pentium-4 все уже просто «летает».
Поддержка виртуальной мыши и общего буфера обмена существенно упрощает работу с гостевыми осями. По умолчанию виртуальная мышь всегда включена — просто перемещаем курсор внутрь окна VM Ware и автоматически переключаемся на гостевую операционную систему. Соответственно, переводя его за пределы окна — возвращаемся к основной (host) операционной системе. А поддержка виртуальной сети позволяет программам работать с Интернетом (если, конечно, им это нужно). В общем, не жизнь, а самая настоящая сказка.
Не так уж трудно раз в месяц переустановить гостевую ось со всеми триальными программами, а в последних версиях VM Ware все даже проще. Механизм Record/Replay позволяет создавать «слепки» операционной системы, «проигрывая» их сколько угодно раз. Очевидно, что создав слепок до установки защищенной программы и выполнив «откат», мы сможем заново установить ее сколько угодно раз и защита не сможет этому противостоять (на самом деле — сможет, но об этом мы поговорим чуть позже).
В общем, использование виртуальных машин — не такая уж и безумная идея. Она хорошо работает со сложными защитами, которые не удается взломать никаким другим путем, однако если программа требует прямого доступа к железу (особенно к видеокарте), то VM Ware отдыхает. Допустим, устанавливаем мы поверх VM Ware видеоплеер и что?
Ни тебе аппаратного сглаживания изображения, ни тебе оверлея для правильной цветопередачи. и чтобы не тормозило, потребуется нехилая мощность ЦП. То же самое относится к 3D играм и скринсейверам. Действительно, какой смысл в скринсейвере, если он работает только под VM Ware?!
Рисунок 1. С программой, запущенной из-под VM Ware, можно работать так же, как и с обычной программой.
Игры со временем
Перевод системных часов взад — самый популярный способ взлома, но, естественно, не самый удачный. Во-первых, как уже говорилось выше, программа может вести счетчик запусков, а, во-вторых, с переведенными системными часами работать очень неудобно. Впрочем, последней беде легко помочь!
Существует множество утилит типа Trial Freezer, «замораживающих» триал путем «подсовывания» защищенной программе поддельного времени. При этом системные часы продолжают идти правильно и остальные программы работают, как ни в чем не бывало, то есть Trail Freezer действует только на ломаемую программу.
К сожалению, универсального способа «навязывания» поддельного времени не существует и даже простая защита без труда определит, что ее поимели. В частности, при создании файла на диске, ось назначает ему время в соответствии с показаниями системных часов. Trial Freezer его не корректирует. Со всеми вытекающими отсюда последствиями. Тем не менее, полностью отказывается от него не стоит.
Поиск флага на диске
Предположим, что защита создает специальный файл, используя его как флаг своего присутствия. Как быстро найти его на диске, не зная в каком каталоге он находится и даже не будучи уверенным в его существовании? Достаточно многие хакерские руководства рекомендуют использовать знаменитый файловый монитор Марка Руссиновича.
Файловый монитор, конечно, чрезвычайно мощная штука, но среднестатистическая программа обращается к сотням, а то и тысячам системных файлов — динамическим библиотекам, шрифтам. Замаскировать флаг своего присутствия под DLL или шрифт — плевое дело, а вот обнаружить его без отладчика — это ж какую интуицию надо иметь!
Рисунок 2. Определение даты создания файла через «Проводника».
Нет! Мы пойдем другим путем! Заходим в Program Files и смотрим на дату создания (не путать с MS-DOS датой!) файлов программы или дату создания ее каталога. Чтобы узнать дату создания достаточно щелкнуть по файлу (каталогу) правой кнопкой мыши и в появившемся контекстом меню выбрать пункт «Свойства» (см. рис. 2). В FAR’е то же самое делается путем нажатия на (см. рис.
3).
Рисунок 3. Определение даты создания с помощью FAR’а.
Ок, записываем (запоминаем) дату создания файла/каталога, после чего нажимаем «Пуск -> Поиск -> Файлы и папки» и говорим — искать файлы, созданные в обозначенную дату. Действуя таким образом, мы найдем все файлы/папки, созданные программой при инсталляции. А также все файлы и папки других программ, установленных в тот же самый день. Для простоты положим, что мы устанавливаем не более одной программы в день.
Сносим защищенную программу через «Установку/Удаление Программ», после чего повторяем поиск вновь. Если часть файлов остались неудаленными — с определенной степенью вероятности это и есть флаги присутствия. Удаляем их в корзину (или перемещаем в другой каталог) и переустанавливаем защищенную программу.
Рисунок 4. Поиск файлов с заданной датой на диске.
В каких случаях описанная техника поиска файлов-флагов не срабатывает? (Разумеется, при том условии, что защита хранит флаги присутствия именно в файлах, а не в реестре). Первое, что приходит в голову — использование NTFS-потоков.
Да, действительно, на файловой системе NTFS можно беспрепятственно создать еще один поток внутри уже существующих файлов, ранее созданных другими программами (если, конечно, у защищенной программы достаточно прав). Однако потоки не поддерживаются FAT’ом и потому делают защиту крайне неуниверсальной. К тому же, о потоках знают далеко не все программисты. В общем, на практике потоки используются крайне редко.
А вот что используется часто — так это создание флагов присутствия уже после установки. При первом запуске программы или за несколько дней до истечения триала. А после срабатывания триала очень часто создается еще и флаг «сработал триал». Обнаружить такие флаги позволяет «поиск файлов, созданных за последние. дней», находящийся там же, где и «Поиск файлов и папок».
Поиск флага в реестре
Реестр велик и могуч. Он содержит миллионы записей, в которых можно спрятать целое государство! Причем, далеко не все ветви отображаются штатным редактором реестра. Достаточно многие защиты создают флаги присутствия через native-API функции, которые доступны только native-API функциям, то есть низкоуровневым функциям операционной системы, а редактор реестра использует высокоуровневые функции, принадлежащие подсистеме win32, что затрудняет борьбу с защитами.
Реестр можно условно разделить на пользовательскую часть (уникальную для каждого пользователя) и системную (одинаковую для всех пользователей). Подавляющее большинство ветвей системного реестра доступны только с правами администратора, поэтому если защищенная программа была установлена из-под пользовательского аккаунта, то с вероятностью, близкой к единице, можно утверждать, что флаг присутствия расположен именно в пользовательском реестре.
Хорошо, пусть в пользовательском. А как его найти? Вот тут кто-то советует воспользоваться монитором реестра Марка Руссиновича, чтобы посмотреть — к каким ветвям реестра обращается программа при установке. Очевидно, что одной из этих ветвей будет флаг присутствия. Однако помимо флага присутствия, программа читает и другие ветви реестра.
Очень много ветвей. Настолько много, что на поиск нужно может уйти несколько дней. К тому же, удалять ветви, к которым произошло обращение, очень опасно, особенно если их назначение неизвестно. Одно неверное движение мышью — и хана системе. Вот так радость!
На самом деле искать флаг присутствия совершенно необязательно. Пуск -> Настройка -> Панель Управления -> Пользователи и Пароли». Создаем нового пользователя, заставляя систему создавать девственно-чистый экземпляр пользовательского реестра и устанавливаем программу, войдя в систему под его именем. Если программа установилась и успешно работает, значит — действительно, она хранит флаг присутствия в пользовательском реестре.
Рисунок 5. Запуск программы от имени другого пользователя.
Теперь заходим в систему под нашим основным именем, создаем ярлык исполняемого файла защищенной программы, щелкаем по нему правой клавшей мыши и в «свойствах» ставим галочку напротив пункта «запускать от имени другого пользователя». Все! Теперь при каждом запуске программы будет высвечиваться диалоговое окно для ввода имени и пароля, что немного занозит, но все же это лучше, чем совсем ничего. Однако не все программы могут быть запущены подобным образом и для некоторых из них необходимо использовать штатную утилиту командной строки runas.exe с ключами /profile и /env, назначение которых можно узнать из справки.
Переходим к более сложной части — системному реестру. Самое лучшее, что можно сделать — это до установки защищенной программы вызвать штатную утилиту Microsoft Backup (Пуск -> Выполнить -> ntbackup.exe), во вкладке «Архивация» взвести галочку «Состояние системы», сохранив реестр на диск. После окончания триала достаточно выполнить операцию восстановления, возвращая реестр в исходное состояние. При этом, естественно, теряются все системные настройки, выполненные после архивации и перестают работать программы, установленные после этого момента, требуя переустановки, что является главным недостатком описанной методики.
Рисунок 6. Резервирование реестра с помощью штатной утилиты Microsoft Backup.
С другой стороны, свыше 90% триальных программ хранят флаги присутствия именно в системном реестре, а потому Microsoft Backup становится весьма эффективным средством взлома. В принципе, ничего не мешает нам установить все «постоянные» программы (не требующие регистрации), после чего зарезервировать реестр, тогда время «обустройства» системы после отката существенно сократится.
Существуют специализированные утилиты типа TrailReset, ищущие флаги присутствия, создаваемые популярными протекторами типа Armadillo, ASProtect, ExeCryptor, etc. и удаляющие их из реестра, не трогая настройки остальных программ, что позволяет нам получить вечный триал без лишнего геморроя. Однако достаточно часто TrailReset не срабатывает, вынуждая нас прибегать к ручному сохранению/восстановлению реестра.
Мы также можем задействовать и утилиты, предназначенные для деинсталляции программ, которые не умеют удалять себя сами. Таких утилит очень много, но принцип у них один — перед установкой программы создается «слепок» реестра, а после — выполняется поиск вновь созданных ветвей. Утилиты автоматической деинсталляции ломают большое количество триальных защит, но. далеко не все из них. В частности, в системном реестре содержится так называемое «защищенное хранилище», в которое лезет большинство триальных программ, но которое не проверяет ни одна известная мне утилита автоматической деинсталляции.
Сложные защиты
Развитие Интернета привело к появлению мерзкого класса триалов, требующих активации через сеть. Если на активацию отпущено хотя бы семь дней, мы получаем тот же самый триал, но только с крылышками, ломаемый посредством сохранения/восстановления реестра (или же поиском флагов на диске). Хуже, если активация требуется при первом же запуске программы!
Такие защиты обычно работают по следующему принципу: программа определяет конфигурацию компьютера, отправляя данные на сервер активации. Если на сервере активации такая конфигурация еще не обозначена, сервер отправляет кодовый ответ «включить триал», после чего программа работает определенное количество дней. Повторные активации, как легко сообразить, не дают желаемого результата, поскольку сервер видит, что данный пользователь уже активировал программу, а его триал истек.
Ситуация кажется безнадежной, но нас здорово выручает тот факт, что в информацию о конфигурации обычно входит и MAC-адрес сетевой карты (если она есть), который, теоретически должен быть уникален и на планете Земля не может существовать двух сетевых карт с одинаковыми MAC-адресами. Но это, повторюсь, теоретически. Практически же MAC-адрес легко изменить с помощью специальных утилит или, что еще проще и безопаснее, установить драйвер виртуальной сетевой карты, MAC-адрес которой зачастую может быть изменен через графический интерфейс управления драйвером!
Также некоторые (между прочим, достаточно многие) защиты откладывают активацию до первого выхода в Интернет, справедливо полагая, что постоянный доступ в сеть есть не у всех и включать его в список обязательных требований — по меньшей мере, негуманно. Следовательно, любой нормальный персональный брандмауэр спасет нас от посягательств защиты — достаточно запретить программе ломиться в Инетернет! Впрочем, пародия на брандмауэр под названием Windows Firewall, встроенная в XP, помогает далеко не всегда. Дело в том, что она не запрещает программам вызывать системные функции, определяющие — подключен ли компьютер к сети или нет, а потому — если компьютер подключен к сети, но установить соединение с сервером активации не удается, защита вправе потребовать, чтобы пользователь отрыл ей доступ на брандмауэре.
Другой тонкий момент. Некоторые защиты содержат в своем теле жестко прошитую дату «забастовки», например, на шесть месяцев отстоящую от текущей даты. Тогда, даже если мы удалим флаг присутствия, переустановить программу по окончании этого срока уже не удастся. Выход — скачать свежую версию или же перевести системные часы назад (воспользоваться утилитой Trial Freezer).
Заключение
Ломать — не строить и во взломе ничего сложного нет. Защитные механизмы намного проще, чем они кажутся. Главное — начать, а там мы по ходу что-нибудь да придумаем. Например, начнем точить ассемблер и осваивать отладчик, постепенно переходя от грубого взлома в сторону намного более ювелирного.
Источник: prosto-vzlom.blogspot.com
Кряк без дизассемблера
В шароварах широко распространены триальные защиты, в результате чего мы получаем полнофункциональную программу, работающую 30 дней или около того, а потом — деньги на бочку или до свидания. На самом деле 99% триальных защит ломается на автомате без напряжения мозговых извилин. Ни знания ассемблера, ни навыка работы с отладчиком, ни утомительного поиска торкающего кряка/серийника/кейгена не требуется. Просто берем и ломаем!
Цена шаровар невелика и в среднем составляет порядка 20-50 долларов, однако десяток мелких утилит уже обгоняет в стоимости легальный дистр хрюши и вплотную приближается к стоимости таких мощных пакетов, как, например, Photoshop. Но если на Photoshop’е многие реально зарабатывают деньги (и его приобретение окупается), то эти утилиты сосут деньги, делая жизнь приятной в мелочах, но не собираются возвращать их назад, так что разработчикам шаровар следует задуматься о ценовой политике. Снижение стоимости в два раза, зачастую повышает продажи в четыре!
Даже если человек хочет заплатить за программу, чтобы стать настоящим зарегистрированным пользователем, в большинстве случаев он не может этого сделать из-за неразвитости платежных систем. Перевод денег требует слишком больших телодвижений, убивающих всю мотивацию на корню («Я вот тут трясу деньгами, а у меня их не берут! Ну и не надо! Пойду лучше кряк поищу!»).
Давно замечено, что игры для сотовых телефонов чаще покупаются, чем ломаются. Во всяком случае, процент пиратства там в разы ниже, чем на ПК. А почему? Да все потому, что купить игру, отправив sms, проще, чем лазить по Сети в поисках кряка, рискуя подцепить трояна или другую заразу.
Как взломать триальные программы
—> —>
Группа: Администраторы
Сообщений: 4954
Статус: Offline
Все написанное ниже — не для кул хакеров. Скорее это для тех, у кого вместо лишних денег на покупку программ есть некоторый азарт побороться с ними. Использована терминология непрофессионала, не судите строго.
Речь пойдет не о взломе, патчах, кряках и тому подобной бяке. Остановимся мы на программах, которые предлагают свои полноценные (не всегда) версии для опробования в течении некоторого числа дней и(или) какого-то количества запусков.
Сначала о сути вопроса. Для того чтобы ограничить использование Вами какой-нибудь программы, она должна (обычно при первом запуске) так сказать пометить территорию. Это должна быть какая-то запись в реестре или в каком-нибудь файле на диске (запись в BIOS и напрямую в физический сектор жесткого диска здесь не рассматривается).
В последующем программа при запуске (не всегда) будет проверять эту запись и, сравнивая ее с текущей датой, делать выводы о том, стоит ли Вам разрешить работу. Иногда программы выводят приветственное окошко(т.н. Nag Screen), в котором пишут «Вам осталось ХX дней на опробование. «. Что касается отсчета запусков, то тут несколько иначе: эта запись должна при работе изменяться программой, отображая в её содержимом уже произведенное число запусков.
Что же обычно представляют из себя эти Trial записи? Это уже на усмотрение самих авторов программ.
Нулевой вариант: Я его даже и не собирался описывать, потому как решил, что он сегодня нигде уже не используется. Оказалось — нет, жив, курилка. Слишком уж все просто: программа перед работой проверяет дату какого-нибудь файла, который был создан во время инсталляции или первого своего запуска (чаще всего именно дату самого исполнимого файла) и, если она отстоит от текущей более, чем на заявленный триальный срок, то программа шумит и ругается. Но самое смешное, что после переустановки она, как миленькая, заново начинает отсчет (понятное дело: при установке файлы получают свежие даты).
Кстати такой вариант защиты иногда используется как составная часть комбинированной (например CommView проверяет дату создания двух папок внутри своей рабочей папки).
Первый вариант: программа создает файл в системной папке (или в папке windows или, иногда, в корневой папке диска C:) с именем, подобным на какой-либо системный файл, например wsock321.dll или winhelp.cnt и т.п. Файл для маскировки (не всегда) делается скрытым/системным или забивается всякой ерундой, например взятой из подобного ‘правильного’ файла, так что при просмотре содержимого будет казаться, что файл вполне нормальный.
На самом же деле в файле будет выделена небольшая область, где и будут записаны (часто в зашифрованном виде) дата первого запуска (или наоборот последнего) и счетчик запусков или, к примеру, число записанных CD матриц или отсканированных страниц и т.п. С помощью подобных файлов AudioGrabber помечал для себя, что регистрационный номер, введенный Вами при регистрации, — левый. А проверялся этот номер во время подключения к интернет базе CDDB. А не слишком известная у нас программа для создания антихакерской защиты ACPprotect так вообще ограничилась только этим единственным вариантом триальной защиты.
Второй вариант: используется один из тех файлов, которые уже есть в системе и запись в которые не блокирована. Например win.ini, system.ini, odbc.ini и т.п. Выбирается какая-либо наиболее забитая непонятными (для неспециалиста) буквенно-цифровыми наборами секция и в ней делается запись в таком же невразумительном виде. Такой механизм, в частности, использовался популярными программами FineReader и Lingvo.
Третий вариант, наиболее распространенный: запись производится в реестре Windows. Разновидностей — масса. Но все они сводятся к созданию в реестре ключа (ключей) или значения (тоже может быть несколько), которые будут хранить необходимую информацию.
Очень часто Trial-ключи располагаются не в той секции реестра, которая выделена для хранения настроек программ (это секции Software Название Фирмы Производителя), а пытаются затеряться среди чужих (конечно, не все поступают так), например среди Microsoft — их очень много в реестре. Другое очень модное место для создания триал-ключа — это ветвь ..CLSID. Там расположены буквально тысячи однообразных (типа ) ключей, содержащих специальные идентификаторы классов для зарегистрированных COM элементов. Обращение к этим ключам идет довольно активное. Вот где прятаться хорошо!
Некоторые продвинутые программисты не ограничиваются использованием одного метода, а объединяют и переплетают их в затейливый клубок, ой жадные. Примеры — программа AfterScan, LingoWare Translator, те же FineReader и Lingvo.
Ну а те, кто не настолько продвинут или просто не желает всеми этими фокусами забивать себе голову, приобретают крутую и недешевую вещь ASProtect (детище Алексея Солодовникова). Она, кроме сжатия, шифрования, проверки целостности, защиты от взлома и др., позволяет ввести ограничения на использование программы (на текущий момент — по третьему варианту, в последнее время несколько модифицированному). Registry Trash Keys Finder как раз в основном и направлена на поиски ключей, подобных тем, которые создаются ASProtect’ом и некоторыми другими подобными ей (в частности очень популярная среди западных программистов Armadillo).
А зачем, собственно, спросите Вы, эти ключи искать? Конечно чтобы удалить или подправить! Обычно программа, при запуске не обнаружившая свою триальную метку, считает себя только что инсталлированной и поздравляет Вас с началом ее опробования (и, кстати, тут же создавая новую метку). То, что нам и нужно! Некоторые программы хитрят и создают триальные метки уже при инсталляции.
Их может генерировать и сама программа установки. В этом случае удаление триального ключа позволит Вам как минимум произвести успешную переустановку программы.
Группа: Администраторы
Сообщений: 4954
Статус: Offline
Итак, все-таки будем искать. Инструментарий: во-первых это программы мониторинга доступа к файлам и доступа к реестру. Стандартно рекомендуемые: FileMon и RegMon от компании Sysinternals. Достоинства: бесплатные, удобные для перехода к найденной позиции по двойному клику на строке, широкие возможности фильтрации.
Главный недостаток: некоторые программы имеют встроенный механизм защиты от таких программ и запросто захлопывают и FileMon и RegMon без всяких предупреждений. Неплохая альтернатива этим программам: Win-eXpose-I/O и Win-eXpose-Registry от компании Shetef Solutions and Consulting Ltd. Достоинства: часто работают там, где не работают FileMon и RegMon, есть возможность фильтрации каждой функции в отдельности. Как недостаток можно указать SHAREWARE’ность.
Вторая группа софта для нашей цели — это утилиты для создания снимков системы (например до первого запуска программы и после) и сравнения затем этих снимков. Программа, которую очень неплохо иметь для определения изменений в реестре, это Advanced Registry Tracer от скандально известной компании Elcomsoft. Множество очень удобных функций: просмотр снимка реестра, сохранение выбранных ветвей в REG файлах, откат обнаруженных изменений, возможность хранить в каждой базе (кстати базы можно создавать для каждой исследуемой программы разные) множество снимков реестра и производить сравнение любой пары, переход к указанному ключу в Regedit и многое другое. Недостаток один — Shareware, но он легко устраняется посещением определенных сайтов .
Для того, что бы отслеживать изменения в файлах и реестре при установке программ неплохо подходит удобный, сделанный в виде мастера FireLog, который создает комплексный отчет об изменениях в файлах, реестре и ini-файлах (просто тотальная слежка :). Жаль, что проект этот уже давно не развивается. Лично меня больше всего устраивает, как быстро и добротно выполняет аналогичную работу очень компактная утилита Regshot, к тому же позволяющая быстро сохранять сделанные снимки для последующего использования.
Имейте ввиду: использовать утилиты второй группы имеет смысл только при установке, первом запуске триальной программы (правда замечены программы, делающие дополнительные метки уже только при втором запуске, так что не поленитесь проконтролировать и второй запуск исследуемой программы) и при последнем запуске, после которого ознакомительное использование становится невозможным (при этом некоторые программы создают дополнительные метки, сигнал, что программа свое отработала). При этом результативность слежки будет максимальной, потому что Вы увидите именно изменения, а не всё подряд, как это происходит в случае с программами-шпионами (чтобы уменьшить число записей в их логах, активно применяйте фильтры).
Однако обойтись без программ мониторинга в этих делах практически невозможно, потому что многие программисты стараются припрятать триальные записи от Ваших глаз, создавая их не сразу же при запуске, а при каком-нибудь специфическом событии в программе. Так, например, иногда поступает всем известный навороченный менеджер закачек Reget Deluxe. Отследить момент создания им триального ключа довольно сложно, тем не менее RegMon элементарно укажет Вам на обращение к этому ключу, даже если его пока еще и не существует в реестре. Чудеса.
Источник: tak-bilo.ucoz.com