Ukryć się przed RegMon?

0

Cześć,

Może ktoś ma pomysł jak ukryć swój program (jego działanie) przed działeniem programu monitorującego rejestr Regmon.

Myślałem o FindWindow i jak znajdzie Regmon, to zamyka mój program ale jak ktoś zmieni nazwę pliku wykonywalnego. Być może się mylę.

Jak ktoś ma jakieś pomysły, to proszę podzielić się nimi.

Z góry wszyskim dzięki za pomoc
Janek

0

RegMon śledzi odwołania na tak niskim poziomie, że ukrycie byłoby dość trudne. Ale tak jak mówisz - możnaby spróbować wykryć program i wykonać odpowiednią akcję w swojej aplikacji.

Myślę, że możesz wykonać kilka różnych prób wykrycia.

  • szukanie po Caption okna głównego
  • szukanie po nazwie klasy programu
  • porównanie ścieżki uruchomionego programu ze znalezioną w rejestrze do tego programu
  • o ile nazwę programu można łatwo zmienić, o tyle nikt nie zmieni nazwy sterownika .vxd (bo trzeba by .exe modyfikować) - dlatego też możesz spróbować otworzyć plik .vxd z flagami współdzielenia tylko dla swojej aplikacji - jeśli plik jest używany to powinieneś dostać błąd (nie testowałem, ale to logiczne)

To takie propozycje - jak napiszesz funkcję, która zwraca true jeśli odpalony jest RegMon to będę wdzięczny za podesłanie na [email protected] - taka sama funkcja przydałaby się dla FileMona.
Kiedyś sam nosiłem się z zamiarem napisania takowej, ale jakoś nie było motywacji ani większej potrzeby ;).

Powodzenia.

0

Myślałem o FindWindow i jak znajdzie Regmon, to zamyka mój program ale jak ktoś zmieni nazwę pliku wykonywalnego. Być może się mylę.

A co ma nazwa pliku do FindWindow? :> Kolega nie bardzo orientuje sie chyba w tej funkcji ;]

tKC

1 użytkowników online, w tym zalogowanych: 0, gości: 1