Filemon for Windows 9x/ME/NT/2K/XP
Regmon for Windows 9x/ME/NT/2K/XP
 

Те, кто лазит по Интернету, наверняка натыкались на целые залежи очень полезных прог, но все они, как правило, либо шароварные (т.е. за них надо платить зеленые бабки, чтобы прислали код), либо с ограниченным временем действия. Таких программулек накапливается куча, и обходиться без них как-то не хочется —привыкаешь, как к помойному ведру. Я бы с удовольствием платил бы за них, но так как постоянная статья дохода, стипендия, составляет всего 4$ USA (да и ту еще не дадут вовремя), приходится крепко думать, как потратить эти «бешеные деньги» и шевелить мозгами в другом направлении.

Очень многие программки с ограниченным временем действия (или по-русски trial’ы) после деинсталляции и повторной установки все равно отказываются работать. (Про)двинутый Чайник сообразит, что прога где-то оставила свой хвост и, натыкаясь на него, отказывается работать. Что делать?

Продвинутый хакер сразу кинется исследовать прогу, чтоб взломать ее и изменить код, отвечающий за проверку времени действия. А что делать Чайнику? Сидеть и ждать, когда другие взломают, и потом долго лазить по хакерским сайтам в надежде найти код или пароль для любимой программки? Ни в коем случае! Лучше попытаемся сделать это все своими шаловливыми ручками.

Немного теории и умозаключений. Где может прятаться хвост? Мест не так уж и много:

1. cистемный регистр (если у тебя, конечно, стоит Windows95/98 или NT);

2. файл win.ini (системный файл — анахронизм (пережиток, родные вы мои), тянущийся со времен Windows3.1) ;

3. создается программой собственный хитрый файл в каталоге Windows, в котором регистрируются все изменения (обычно создается при первом запуске установленной программы).

Ну а теперь чем и как все это отловить?

Сразу выражу благодарность стойкому борцу с хакерами всех мастей — журналу “GAME.EXE“ (под предводительством бравого казачьего атамана Михайло Новикова) за то, что на CD-диске к журналу №2 за 1999 год в разделе «полезные утилиты» выложил очень полезную утилиту Regmon95 (Regmon for Windows NT/9x Mark Russinovich and Bryce Cogswell http://www.sysinternals.com). Кстати, с сайта www.sysinternals. com скачайте еще одну полезняшку (как говорит Евгений Козловский — кто не знает: www.computerra.ru) по имени Filemon (Filemon for Windows NT/9x Mark Russinovich and Bryce Cogswell www.sysinternals.com). Кратенько опишу, что это такое.

Как ты понял из названия, Regmon for Windows NT/9x — это не что иное, как монитор регистра, который отслеживает все обращения к регистру любыми программами и ведет запись всех обращений, а Filemon — фиксирует все обращения программ к файлам (гениально!). Мощные инструменты для ловли нежелательных связей.

А теперь испробуем на примере эту комбинацию из трех пальцев (пардон, программ). У меня есть любимая программка NET-mon v.2.0 для контроля скорости соединения с Интернетом (даже и не вспомню, откуда ее выловил, если приспичит, то попробуй глянуть на каком-нибудь www.download.ru), но вот беда: через 10 дней после установки она (программа) прекращает работать.

Делаю раз. Запускаю Regmon.

Делаю два. Запускаю Filemon.

Делаю три. Запускаю NETmon.

Смотрю — и волосы дыбом. В окнах Regmon’а и Filemon’a — тьма всяких записей. Если чуток напрячься, то вполне можно найти знакомое название «netmon» и в опциях программ в разделе «фильтр» поставить netmon. Закрываю все и открываю заново. Вот теперь порядок, зафиксированы записи, относящиеся только к нужной программе. Ну а теперь ну очень тщательный (скрупулезный, для умных) анализ полученной информации.

В Filemon что-то ничего в глаза не бросилось. Банальное обращение проги к своему ехе’шному файлу и dll’елке.

В Regmon’е уже интересней. Сразу замечается наглое обращение программы к одному и тому же ключу регистра.

Два раза щелкаю по выбранной записи в регмониторе, и открывается виндовсный Regedit, откуда с чистой совестью удаляется треклятый ключ. (Прежде, чем лезть в системный реестр, сделай резервную копию файлов реестра (systm.dat и user.dat из корневого директория Виндов), чтобы не пришлось рвать волосы на одном месте и переустанавливать систему).

Ну а теперь осталось только посмотреть на конечный результат. Запускаю NETmon — все в порядке, фокус удался, факир оказался трезв, что, в общем-то, странно, учитывая специфику «тонкой» работы с реестром. Все. Фанфары и поздравления. Низкие поклоны и широкий занавес. Концерт закончен. А по традиции, следуя классическим библейским традициям (Muslims — must die!), вручаю удочку — рыбу при наличии извилистых мозгов и прямых (обязательно!)

Сaptain Колбасьев