Использование procmon от sysinternals для диагностики проблемных мест в исполняемом коде
Сразу хочу сказать, что это только демонстрация возможностей procmon для определения проблемных мест в программном обеспечении. 1С83 была выбрана для опытов из-за неочевидности способа поиска точки входа в процедуру проверки наличия установленных эмуляторов ключа.
Она выполняется через различное время после старта порядка 3~10 мин, и вызывает появление окна «нарушение целостности системы» с последующим закрытием приложения. Я призываю всех использовать только лицензионное программное обеспечение. Рассматривать эту статью, как описание возможности взлома, нет смысла. Хотя бы потому, что 1С83 давно взломана и без меня. Любой 1с-ник за секунду вам скажет, как ее запустить без ключа.
Если кто не в курсе procmon от sysinternals умеет ставить перехватчик на системные события работы процессов с файлами и регистром виндуза. И хотя любой процесс плодит гигантское количество обращений к файлам и регистру при старте, да и в процессе работы тоже, использование фильтров и поиска по событиям упрощает нахождение нужного. Интересной особенностью procmon является сохранение стека вызовов у каждого события. Таким образом можно проследить какие модули и в каком месте породили то или иное событие.
SMART жесткого диска
Итак, ставим фильтр по имени процесса 1с.
Запускаем 1с, и потом только включаем захват событий. Таким образом мы пропустим большое количество ненужных нам событий, случающихся при старте. Ждем появления сообщения о нарушении целостности.
Останавливаем захват событий и начинаем просмотр с конца в поисках чего-то подозрительного. Практически сразу наталкиваемся на что-то интересное.
Щелкаем на любое событие и идем на вкладку Стек.
Все что выше горизонтальной черты очевидно уже принадлежит модулям ядра виндуза, а вот три адреса ниже представляют интерес. Какой-то из них наверняка есть адрес возврата в тело процедуры проверки. Запустим же 1с заново и приатачимся отладчиком из Visual Studio, для простоты, т.к. оно уже у нас есть под рукой.
Остановим процесс и введем искомый адрес в окно дизассемблера, например, самый первый в порядке вызовов.
Ведущие нули в таком количестве оно нам дописало, т.к. это 64-бит процесс. Вот он и вызов из которого предполагается возврат на искомый адрес. Поставим точку останова, запустим остановленный процесс, и будем ждать.
Paint 3D — самая лучшая БЕСПЛАТНАЯ программа от Microsoft !
Через какое-то время точка останова действительно срабатывает. Проходим вызов одним шагом вперед по F10 и смотрим содержимое регистра AX, все знают, что вызовы функций чаще всего возвращают результат именно в нем. Видим какую-то подозрительную константу, которая совпадает с далее следующей командой сравнения CMP.
Запускаем выполнение дальше и убеждаемся, что ничего не поменялось, программа ругается как обычно и вылетает. Что ж, а что будет при отсутствии эмулятора? Запускаем 1с заново, останавливаем, переходим по нашему адресу, ставим точку останова. Все, как и раньше.
Заходим в менеджер устройств виндуза и выключаем устройство эмулятора, переименовываем раздел регистра с дампами и файл драйвера в System32, так как в списке захваченных событий выше мы видели обращения к соответствующим именам. Запускаем процесс из Visual Studio и ждем.
Видим, что в данном случае возвращается другая константа, которая тоже рядом проверяется. Запускаем выполнение дальше и убеждаемся, что прога работает без проблем. Предположим, что 0xa19d это проверка пройдена нормально, а 0x91cb это нарушение целостности.
Двумя строчками выше видим безусловный переход JMP и понимаем, что предыдущий перед точкой останова вызов call, это точка входа в процедуру проверки и, видимо, предыдущий вызов проверяет регистр виндуза, а вызов в точке останова — файлы, что вполне согласуется с порядком захваченных событий. Проходя отладчиком путь от точки входа до выхода из процедуры в режиме с включенным эмулятором, убеждаемся, что переход на адрес 0x10e67dfb1 приводит к аварийному завершению. Таким образом, если попробовать перескочить сразу из точки входа на адрес 0x10e67df99, то, возможно, проверка будет пройдена.
Лезть в справочники за кодами инструкций не придется, т.к., к счастью, сразу выше точки входа мы видим двухбайтовую инструкцию безусловного относительного перехода JMP. Понятно, что код инструкции это EB, а второй байт означает смещение. Т.к. все знают, что регистр адреса текущей инструкции всегда содержит адрес следующей за исполняемой в данный момент, то к адресу точки входа нам надо прибавить 2 и от этого места посчитать количество байтов до целевого адреса, так у нас получится нужное смещение (второй байт инструкции) 2E. Открываем окно дампа памяти и по адресу входа в процедуру проверки меняем два байта на нашу инструкцию.
Запускаем программу выполняться дальше. И что мы видим? Нам повезло и это работает 🙂
Здесь можно было бы сказать, что теоретически можно использовать функцию виндуз API WriteProcessMemory, и автоматизировать внесение изменений в оперативную память процесса после его старта, но исследования в этом направлении я не продолжал, так как не было такой цели.
Источник: habr.com
Linesecurecoin что это за программа
Иван Осокин
Оцените автора
Добавить комментарий Отменить ответ
Свежие записи
- Зачем нужны промокоды?
- Особенности работы выдувного экструдера
- Аренда кабриолетов
- Контейнерные перевозки грузов из Китая: главные преимущества и недостатки
- Зеркала в интерьере — принципы подбора
Вам также может понравиться
В последнее время покупателям в розничных магазинах
Кабриолет — стильный и представительный автомобиль
Если верить проводимым исследованиям, более половины
Сердце функционирует без перерывов. Строение данного
Активное развитие технологий создает новые условия
Сегодня выразить свою принадлежность к военно-патриотической
Один из выгодных для бизнесменов способов продвижения
Такой сбой происходит каждый раз, когда кто-то хочет
- Политика конфиденциальности
- Пользовательское соглашение
Вы заметили как с момента прихода Динара Халилова началась
В городе Салавате планируют открыть производственный
Временно возглавляющий минпром Башкирии Фарит Гильманов (ранее
Источник: siding-rdm.ru
Для чего нужна программа Kaspersky Secure Connection?
Практически все пользователи антивирусного ПО от Касперского могут найти на своих компьютерах программу с названием Kaspersky Secure Connection. Она может присутствовать в виде ярлыка на рабочем столе, а также как иконка в системном трее.
Из этой статьи вы узнаете, что данная программа из себя представляет и нужна ли она на вашем компьютере.
Назначение программы
По сути Kaspersky Secure Connection представляет из себя обыкновенный VPN клиент, задача которого это создание защищенного соединения.
Принцип работы VPN
Когда вы выходите в интернет через VPN клиент, весь входящий и исходящий трафик проходит через специальный сервер. Благодаря этому при перехвате пакетов с данными, например, злоумышленниками, расшифровать их у последних не получится. Таким образом обеспечивается высокая конфиденциальность и защищенность ваших данных.
Все это относится к любому VPN клиенту. Что касается конкретно Kaspersky Secure Connection, то тут стоит отметить, что он является платным.
Окно бесплатной версии программы
В бесплатной версии, которая устанавливается автоматически практически со всеми продуктами Касперского, имеется ограничение в 200 МБ данных. Это настолько маленький объем, что его не хватит даже на день полноценной работы в интернете. По его истечении Вам будет предложено приобрести платную версию.
Кому нужно шифрование данных в интернете?
Правильный ответ – практически всем! И это действительно так. Ведь все мы активно используем данные своих пластиковых карт при оплате покупок и услуг в интернете. Пароли от сайтов, например, от социальных сетей, также регулярно передаются на сервера авторизации, при входе на тот или иной ресурс.
Особенность данной ситуации в том, что 99% сайтов используют шифрованный/защищенный протокол https, который сам по себе является безопасным для сохранности ваших данных. Именно по этой причине большинству пользователей не нужен клиент шифрования данных (VPN), так как конфиденциальность их информации обеспечивается протоколом https.
Вывод
Полезность программы Kaspersky Secure Connection для большинства рядовых пользователей приравнивается к нулю, учитывая, что она является ограниченно – бесплатной. Также стоит учесть, что она автоматически загружается при включении компьютера и “съедет” часть его ресурсов постоянно находясь в оперативной памяти в виде службы и отдельного процесса. Удаление Kaspersky Secure Connection не просто приветствуется, а рекомендуется!
Удаление Kaspersky Secure Connection
Делается это стандартным способом (панель управления/система) не затрагивая функциональность антивируса Касперского.
Источник: helpadmins.ru
Speechengines что это за программа
Это набор компонентов для Microsoft Agent, который позволяет агенту произносить слова. Для того, чтобы реализовать эту возможность у Вас должны быть установлены необходимые компоненты. Взять их можно с сайта Microsoft:
Или из нашего проекта. Находятся компоненты по пути:
Шаг 163 — Что такое Microsoft Speech Engines для Microsoft Agent
Это набор компонентов для Microsoft Agent, который позволяет агенту произносить слова. Для того, чтобы реализовать эту возможность у Вас должны быть установлены необходимые компоненты. Взять их можно с сайта Microsoft:
Или из нашего проекта. Находятся компоненты по пути:
Всем привет ребята Поговорим мы о таком как Common Files, вот только не стоит думать что это программа, нет, это именно папка, да, она расположена в Program Files, но это не программа. Это папка и при этом системная папка. Внутри ее хранятся данные от других программ, что именно, то пока это непонятно. Но точно не пользовательские данные, нет, можно сказать что служебное что-то там лежит.
Вы наверно думаете, а можно ли удалить папку Common Files? Нет ребята, этого делать нельзя, ибо скорее всего будут проблемы, если не сейчас, то в будущем.
Вот кстати вспомнил. Как-то было время я оптимизировал винду и вот удалял там папки, смотрел как работает винда, стабильно или нет.. В общем вроде настроил все и лишнее по удалял. Ну и всю настроенную винду я забекапил. Потом работаю себе за компом и нужно мне поставить программу а она не ставится!
При том что на чистую винду она ставится стопудово, это точно! Короче ребята, были еще приколы в той винде. Мораль этого всего такова: не стоит удалять системное, ибо может выйти боком не сейчас, так потом
У меня папка Common Files находится как в C:Program Files (x86):
Так и просто в C:Program Files:
Тут мы видим папки Java, microsoft shared, nsklog, Services, SpeechEngines, System, Yandex, что это все за папки? Это все папки программ, которые у вас стоят на компе, а также просто системные папки винды. Удалять не стоит ничего тут, ибо глюков может и не будет, а может и будут или сейчас или в будущем. Короче у меня глюки были после того как я уже не помню что удалил из папки Common Files.. ВСПОМНИЛ! Я удалил какую-то папку, в имени которой было слово Share и после этого у меня не работал мобильный интернет от модема
Также вот узнал что в Common Files находятся так называемые общие файлы, то есть файлы, которыми пользуется не одна программа, а несколько. Еще там вроде могут хранится базы данных, служебные отчеты.
Если у вас руки все таки чешутся очень и вы хотите удалить Common Files, окей, есть вариантик. Вам нужно сделать образ диска системного на другой физический диск. То есть вам нужно сделать бэкап, никакие проги качать и ставить не нужно, ибо в самой винде (ну кроме Windows XP) есть штатный инструмент для создания резервной копии.
В него можно попасть из Панели управления, там ищите резервные копии или восстановление, уже не помню как точно называется. Создали бэкап, убедились что он на другом диске сохранился, для проверки восстановитесь с него и если все окей, то можете экспериментировать. Признаюсь, что я так сам делал, можно удалять и смотреть как что работает, службы отключать, короче допиливать винду под себя и при этом если что, то восстановить все как было раньше из образа!
На этом все, аккуратно пользуйтесь виндой и она будет служить вам верой и правдой долгое время. Удачи
Добавить комментарий Отменить ответ
Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.
Источник: teh-fed.ru