Ganav Posted September 22, 2014 Report Posted September 22, 2014 Acest tutorial prezinta un mijloc de a observa toate operatiile(scriere in registrii/fisiere/in memorie, trafic in retea, relatia intre procesul respectiv si celelalte procese si thread-urile sale) pe care le realizeaza un executabil atunci cand este rulat. Avem nevoie de process monitor(procmon) care poate fi gasit in system internal suite:Sysinternals SuiteCunoscand toate fisierele create sau modificate de catre un executabil putem sa-l stergem in intregime. Acest lucru ne permite sa obtinem un numar nelimitat de utilizari ale unor aplicatii de tip free trial. Pentru inceput rulam procmon.exe ca si Administrator(Vista/Win 7,8). Vom avea o fereastra asemanatoare cu cea de mai jos:Observam ca avem un filtru dupa numele procesului; in cazul acesta notepad.exe. Acest filtru va afisa toate operatiile pe care le realizeaza notepad atunci cand este rulat. Dam click pe Ok/Apply. Observam ca in partea stanga(jos) este un contor al numarului de evenimente(apeluri API). Lansam in exectuie notepad.exe pentru a vedea daca filtrul este unul valid. Observam o fereastra similara cu cea de mai jos:Acum scriem un fisier cu notepad pentru a vedea daca operatia de scriere este observata de process monitor:Salvam fisierul sub numele de testestest.txt, dupa care verificam rezultatele obtinute cu procmon. Observam urmatoarele:Notepad a scris in fisierul C:\Utils\testestest.txt. Rezultatele se pot salva in format .csv care sunt relativ usor de prelucrat ulterior. Astfel, putem observa orice scriere a oricarui executabil ceea ce ne permite sa-l stergem in intregime. Optiunea uninstall lasa unele chei/fisiere care pot indentifica o instalare precedenta. 1 Quote
