Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Препоръчан отговор


Имам едно EXE с една DLL библиотека, което при старт не се вижда в диспечера на задачи, нито в процес експлоръри. Възможно е само мигновено да се стартира и да се затваря. Приложението си работи и борави с настройките на Windows. Как мога принудително да му извлека параметрите при старт, понеже знам, че има такива? Очаквах да може през CMD да се внесе някаква команда върху EXE-то и да покаже своите данни, но всички увещават да се гледа през кьоравия мениджър на процеси.

Линк към този отговор
Сподели в други сайтове
преди 49 минути, Raze написа:

Като го изпълниш през конзолата какво извежда?

През конзола стартирано нищо не се случва. Само с двоен клик се отваря меню от Windows. Но не е достатъчно, трябват параметри. Вероятно се задават от друг файл върху настройката на Windows.

Линк към този отговор
Сподели в други сайтове

В конзола с тия ключове
-?
-h
--?
--h
--help
или:
http://www.softwaresea.com/Windows/install-Silent-key-finder-10742904.htm#

Редактирано от DarkEdge (преглед на промените)
Линк към този отговор
Сподели в други сайтове

Не за всички изпълними файлове това може да стане, защото някои просто могат да нямат зададени публични параметри, други да са криптирани.

Може да drag & drop файла в PEStudio и след това да видиш дали ще намериш нещо полезно в Strings. От SysInternals също имат Strings.exe програмка, но се изисква работа от команден ред за да изведе резултатите.

Други варианти (щом не се задържа в Task Manager-a/Process Explorer/Process Hacker) е да пробваш да запишеш какво прави с Process Monitor и да филтрираш резултатите само за желания файл/библиотека за да не стане лог файла огромен.

Опция е и да запишеш промените преди и след (snapshots) с програми като Adlice DiffView, Buster Sandbox Analyzer и подобни.


Линк към този отговор
Сподели в други сайтове
преди 39 минути, Бонбон с катран! написа:

Само с двоен клик се отваря меню от Windows. Но не е достатъчно, трябват параметри.

А може просто да няма възможност да работи с ключове!
Като ти трябват ключове, пиши на автора, господин секретен...

Редактирано от DarkEdge (преглед на промените)
Линк към този отговор
Сподели в други сайтове
преди 3 часа, Raze написа:

Кажи какъв файл точно изпълняваш, така само да гадаем, няма да се получи.

Както и да е, стана ми ясно, че за един скрийнсейвър параметри и шорткъти роля не играят, старите им инсталатори показват употребата на параметър "i" на преките пътища. Предполагам такъв параметър са залагали за еднократна употреба при което нещо се внася. В момента употребата му води до отказ да се стартира контролния панел за скрийнсейвър и въобще ако заложиш параметър отказва стартирането. Като добавим, че инсталацията протича онлайн, съвсем не може да ги разгадаеш как програмата винаги остава избрана в списък само след отваряне единствено на setasscreensaver.exe, при условие че скрийнсейвъра е инсталиран и се вижда в списъка, но е премахнат по подразбиране.

КАТО ЗАКЛЮЧЕНИЕ:
Шменти капели с инсталиран авторски скрийнсейвър: оригинално setasscreensaver.exe има свойство да отваря листата с вече избран скрийнсейвър.
Копирано съдържание с инсталиран скрийнсейвър: setasscreensaver.exe отваря листата, но не залага програмата в списък, а само лежи вътре и чака потребител да избере.

РАВНОСМЕТКА: Изглежда има други начини за инсталация на скрийнсейвър, по-оптимизирани от този. Но не знаем кои са те. :) 

Линк към този отговор
Сподели в други сайтове

Обикновено параметър (i) съм срещал главно при MSI инсталатори и при регистриране на библиотеки през regsvr32.

Колкото до това да разбереш какво прави ти споделих някои програми, които биха помогнали и то доста в тази насока (особено DiffView, BSA и ProcMon). Дори може би инсталацията на програмата в Hunter режим-а на Revo или друг деинсталатор.

Линк към този отговор
Сподели в други сайтове
преди 21 минути, DarkEdge написа:

rundll32.exe desk.cpl,InstallScreenSaver {file}

Това съм го използвал преди да стартирам setasscreensaver.exe - тоест скрийнсейвъра според системата е инсталиран и се избира от контролното панелче за избор на скрийнсейвър. Скрийнсейвъра е в листата с останалите скрийнсейвъри. Но когато програмата стартира този контролен панел от нейния (да кажем "конфигуратор") този контролен панел не е избрал нейния скрийнсейвър, тоест той не е заложен и трябва ръчно да си играеш. Докато търсех някакви решения забелязах нещо интересно из класиките от преди 20 години: http://users.on.net/~dwbevan/games/snake/snake.htm

@B-boy/StyLe/ правил съм мониторинг и няма никакви регистрации на библиотека. Много оскъдни данни в регистрите. Интересно, че промени не е отчело за HKEY_CURRENT_USER\Control Panel\Desktop - не желае да отрази системните записи. Ще опитам с някой друг инструмент.

Линк към този отговор
Сподели в други сайтове

@B-boy/StyLe/ новото 20, че файл.scr си променя името по време на инсталация от ZIP архив и отпред на името се добавя някакъв специален празен символ. Опитвайки се да изтрия този символ се появява това безпредметно съобщение на илюстрацията. Иначе, ако добавяш space отпред на някакво име, Windows го игнорира и връща име без space. Ако копирам файла в друга дестинация символа изчезва. Връщайки го на старото местоположение файловете стават два! Ако просто го преместя и върна обратно символа изчезва отново. При това положение без символ програмата стига до моето положение - зареждане на контролния панел без заложен скрийнсейвър. И потребителя трябва да си прелисти, за да избере него. Тия руснаци май си крият името на скрийнсейвъра! Някъде възможно ли е да проверя онлайн кой точно символ е употребен?

remove_special_character.png.0044fea461c603620dc3064c88152038.png

Линк към този отговор
Сподели в други сайтове

@B-boy/StyLe/ @DarkEdge копирах името му и конвертирах текста в хекс байтове. Оказа се, че първия символ е space - празен ред. По този начин допълнението се разпознава и прави асоциацията и активира скрийнсейвъра и всичко работи на 6, без необходимост от други манипулации. Всичко спи. :D 

Линк към този отговор
Сподели в други сайтове

Аз очаквах да е някакъв специален символ на cyrillic или Unicode.

Навремето чистих един бацил и го хванах с един специализиран инструмент, но после взех да ползвам онлайн конвертора, който Васето ми беше споделил:

ls?ss.exe маскиран като lsass.exe

7IV6Sfo.jpg

 

https://www.online-toolz.com/tools/text-unicode-entities-convertor.php

Линк към този отговор
Сподели в други сайтове

Забравих да спомена за други две програми, които също могат да прихващат команди.

Едната е VoosooShiled в секцията Command Lines

https://voodooshield.com/Download/InstallVoodooShield577.exe

Другата е NVT Process Logger Service

https://www.novirusthanks.org/products/process-logger-service/

Линк към този отговор
Сподели в други сайтове
на 6.07.2020 г. в 16:15, B-boy/StyLe/ написа:

Забравих да спомена за други две програми, които също могат да прихващат команди.

Понеже понякога ти се налага да човъркаш изпълними файлове,та-едни добри хора "изляха" и Binary Ninja в публичното пространството(предполагам,че имаш Hex-Rays IDA Pro)

Линк към този отговор
Сподели в други сайтове

Сега като ги спомена се сетих и за една друга моя любима програма от миналото в лицето на FileAlyzer от Spybot

FileAlyzer21-Hex-en.png

https://www.safer-networking.org/products/filealyzer/

Иначе още по темата: (във втората тема включва и спомената от Васко IDA Pro)

https://superuser.com/questions/415360/how-do-i-find-out-command-line-arguments-of-a-running-program

https://stackoverflow.com/questions/8869219/how-can-i-find-out-if-an-exe-has-command-line-options

https://superuser.com/questions/736440/i-cant-get-command-line-parameters-of-exe-file

Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Добави ново...

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите Условия за ползване