здравствуйте форумчане! недавно столкнулся с программй,на которой "перенавесили" защит следит за памятью и не дает себя запускать в песочницах,на виртуалке (VirtualBox), не дает блочить доступ к клавиатуре, видит запущенный Radmin Viewer, плюс все программы по мелочи которые используют функции для снятия скринов или записи видео. пытался блочить ей через Оутпост файрволл инжект в процессы,dde-взаимодействие и другое(см.скрин) есть идея убить какие-нибудь отдельные потоки в приложении или, скорей всего. легче заблочить доступ к памяти?
прога видно самописная, написана на дельфи. Это книжка в .exe файле, в котором отображается pdf-содержимое. никакого поиска/выделения, сочетания клавиш не рабтают, на печать не отправить (win+P)-чтобы на виртуальный принтер. ее можно лишь листать,temp-файлов не нашел.
если через printscreen, то буфер обмена просто пуст. через программы: скажем запустили FastStone Screen Capture, запустили прогу(книжку),то прога выбивает с ошибкой "работа программы невозможна при запущенной FSCC" и закрывает себя
я тоже не понимаю о чем речь. будет тело - будет дело если работает глобально - то скорей всего с драйвером, если работает еще и под х64 - значит хитровыебано чтоб обойти пачгуард. короче тс, слей ее и выложи
Попробуй каку-нить неизвестную прогу для скринов.. может она на известные только обращает внимание, например, смотрит процессы..
Скорей всего тупа хукает нажатия PrtScr. Попробуй Alt + PrtScr или виртуальную клавиатуру. Мейби также палит импорт GetDC, GetDCEx и GetWindowDC,BitBlt etc.
вот: http://rghost.ru/private/25934611/4c2c2078b4f2148d3aa5666f0d0ef360 пысы,она еще с кодом код похоже генерится или по обородуванию и/или наверное по SID'у,говорили,что прога слетает после переустановки системы (при запуске генерится новый код для ключа),старый становится не действительным. в запаре блин забыл сделать снимки системы с помощью RegShot'ов сейчас поищу,но клава заблочена =\ виртуальная клава не работает =D она те же функции должна использовать,что и стандартная пысы, обычная (не виртуальная) клава блочится ВСЯ, работает только мышь для навигации пысы2: песочницу sandoxie распознает как виртуал.машину
Учитывая количество функций под vm и отсутствие запуска без ключа - нецелесообразно ломать. Гораздо быстрее реализовать вариант - сфотографировать на хорошую мыльницу экран, распознать и т.п. Какой бы защита не была - с камерой в руках не обнаружит Инфа: 552740 - OEP 54581C - TsbCheckScreenShot@Create 544488 - TsbCheckScreenShot.TBlockItems 545764 - TsbCheckScreenShot.TBlockItems@Add p.s. Покажите свои наработки, тогда продолжим думать вместе)
всем спасибо.. решил проблему с фотоаппаратом и штативом..300страниц правда пришлось фоткать) пысы винду кстати снес... но прога выдала тот же код > вывод - генерится по оборудованию, проверил на другом ПК-код уже другой(кому интересно если)
вообще тема интересная.) можно былобы на вмваре ее запустить ща посмотрим ап. запустилась с одной хитростью. так что можно спокойно с вм снимать скрины ап2 тоже лень. снял полный mdmp, решил поискать хидеры пдфов - они там есть, как и компонент TPDF. но хрен знает. кстати у кого есть толковая инфа по принципам - не само8о алго а способам антидебага вмпрота?
