BI.ZONE corporate blog
Debugging
Reverse engineering
Comments 4
0
для решения сторонник задач — например, поиска программ в исследуемом образе системы, которые используют заданный ключ реестра


Что мешает procmon( Process Monitor ) использовать в таких случаях?
К слову, предлагается к скачиванию, даже на микрософтоском сайте.
+1
Что мешает procmon( Process Monitor ) использовать в таких случаях?


Ничего не мешает. С другой стороны, функциональности этой программы не всегда может хватать.
+1
Что мешает procmon( Process Monitor ) использовать в таких случаях?
В современных Windows даже procmon с его драйвером ядра — оверкилл, можно просто подписаться на провайдера событий «Microsoft-Windows-Kernel-Registry» (похожий пример)

Однако, так мы получим факт, что процесс с PID 0x12345 сделал операцию в реестре, но не получим доступ к коду, которым он это сделал. Может, код самоудаляется после выполнения. А тут встали на breakpoint и можно выйти в программу — поотлаживать, посмотреть, какие логические пути ведут к этому вызову API.
Only those users with full accounts are able to leave comments., please.