监控软件抓取试用信息不对,是BUG?
本帖最后由 朱朱你堕落了 于 2022-11-25 12:16 编辑下载地址: https://cowtransfer.com/s/2551aba465524a 点击链接查看 [ 录像演示修复.rar ] ,或访问奶牛快传 cowtransfer.com 输入传输口令 4btjqc 查看;
Revo Uninstaller Pro和Total Uninstall监控安装程序,貌似这两个软件有BUG,为什么这么说,
这个软件打开后,关闭,之后退出,软件试用信息理应保存在注册表的这个键值里。
下面这个试用,是我提前分析出来的
Windows Registry Editor Version 5.00
[
@=hex:9d,89,bb,b2,9c,86,d0,aa,9d,b0,cc,b0,9c,cd,be,cc,ce,86,cc,b2,9d,86,99,b2,\
99,af,94,ca,ce,86,cb,cb,98,96,8d,ac,9d,95,91,b1,9c,bf,99,9f,9d,95,98,cb,9d,\
86,be,cf,9b,96,bf,ab,ce,86,cb,cb,9c,cc,90,cb,9d,cd,89,ac,99,af,c8,9f,9c,96,\
8c,cf,9b,96,8c,cc,9c,bf,99,ae,9d,b3,bb,d1,ce,86,a7,9f,9d,96,cb,cb,9d,95,c8,\
b3,9b,cc,9d,9f
清除这个可以实现无限试用,但是为了省事,我测试用Revo Uninstaller Pro和Total Uninstall抓取安装时的信息,安装时就监控,之后打开软件,关闭软件,再退出,
这时再停止监控,那么上面这个
按理说应该肯定能抓取到的,但如录像中所示根本就没有上面这个注册表项,具体可看录像,不知道是不是X64下Wow6432Node重定向的原因,还是本身软件的原因(我使用的是PJ版,高手们PJ的不完美?),
又或是我哪里没有设置正确的原因,不会是全球两大知名的软件,翻车了?
大佬帮忙看下。谢谢。
我去,都上传错了,这失误。。 朱朱你堕落了 发表于 2022-11-25 12:24
https://cowtransfer.com/s/2551aba465524a 点击链接查看 [ 录像演示修复.rar ] ,或访问奶牛快传 cowtra ...
没太看明白到底需要什么帮助。。。。是好奇为什么没有监控到吗?
我看了下键值的位置,那些位置应该是com组件注册的时候系统写入的
也就是调用regsrv32.exe来注册dll的时候由系统自动进行的初始化,所以会出现“只监控安装主进程行为的话抓不到注册表写入动作”。用火绒可以抓到是因为火绒是监控的整个系统。
至于搜出来数量和监控到的不一致,注册表里很多项是属于引用的,你理解成是镜像或者类似linux的软链接,写入一处 就会在其他地方也出现同一个东西,最简单的 你试试随便改里面的一个值,然后看看别的地方有没有同步被修改就能知道了。
关于用户
s-1-15-231-xxxx 这个就是当前用户的SID
这个值可以通过CMD执行whoami /user 获取
本帖最后由 quiet0 于 2022-11-22 10:57 编辑
我记得有款国外的监控软件,电脑很多东西都可以监控很全面。minikeylog, 但是没有注册总是会弹窗。看看有没有大神解决弹窗。 process monitor 不好使? 监控软件以管理员身份运行试试。 有可能这个键值不是主程序直接写入的。
而是临时生成了一个批处理去执行的
或者生成了一个reg文件,然后用系统自带方式导入的。 可能 这两货对自己不进行监控{:1_918:} 感谢分享