监控软件抓取试用信息不对，是BUG？

朱朱你堕落了

下载地址：   https://cowtransfer.com/s/2551aba465524a 点击链接查看 [ 录像演示修复.rar ] ，或访问奶牛快传 cowtransfer.com 输入传输口令 4btjqc 查看；

Revo Uninstaller Pro和Total Uninstall监控安装程序，貌似这两个软件有BUG，为什么这么说，
这个软件打开后，关闭，之后退出，软件试用信息理应保存在注册表的这个键值里。


下面这个试用，是我提前分析出来的
Windows Registry Editor Version 5.00
[HKEY_USERS\S-1-5-21-3857130960-144464471-658307787-500_Classes\Wow6432Node\CLSID\{E3AE51DE-3A0C-4cc3-B053-B1E2273F06B9}]
[
@=hex:9d,89,bb,b2,9c,86,d0,aa,9d,b0,cc,b0,9c,cd,be,cc,ce,86,cc,b2,9d,86,99,b2,\
  99,af,94,ca,ce,86,cb,cb,98,96,8d,ac,9d,95,91,b1,9c,bf,99,9f,9d,95,98,cb,9d,\
  86,be,cf,9b,96,bf,ab,ce,86,cb,cb,9c,cc,90,cb,9d,cd,89,ac,99,af,c8,9f,9c,96,\
  8c,cf,9b,96,8c,cc,9c,bf,99,ae,9d,b3,bb,d1,ce,86,a7,9f,9d,96,cb,cb,9d,95,c8,\
  b3,9b,cc,9d,9f

清除这个可以实现无限试用，但是为了省事，我测试用Revo Uninstaller Pro和Total Uninstall抓取安装时的信息，安装时就监控，之后打开软件，关闭软件，再退出，
这时再停止监控，那么上面这个[HKEY_USERS\S-1-5-21-3857130960-144464471-658307787-500_Classes\Wow6432Node\CLSID\{E3AE51DE-3A0C-4cc3-B053-B1E2273F06B9}]
按理说应该肯定能抓取到的，但如录像中所示根本就没有上面这个注册表项，具体可看录像，不知道是不是X64下Wow6432Node重定向的原因，还是本身软件的原因(我使用的是PJ版，高手们PJ的不完美？)，
又或是我哪里没有设置正确的原因，不会是全球两大知名的软件，翻车了？

大佬帮忙看下。谢谢。

我去，都上传错了，这失误。。

smldhz

朱朱你堕落了 发表于 2022-11-25 12:24
https://cowtransfer.com/s/2551aba465524a 点击链接查看 [ 录像演示修复.rar ] ，或访问奶牛快传 cowtra ...

没太看明白到底需要什么帮助。。。。是好奇为什么没有监控到吗？
我看了下键值的位置，那些位置应该是com组件注册的时候系统写入的
也就是调用regsrv32.exe来注册dll的时候由系统自动进行的初始化，所以会出现“只监控安装主进程行为的话抓不到注册表写入动作”。用火绒可以抓到是因为火绒是监控的整个系统。
至于搜出来数量和监控到的不一致，注册表里很多项是属于引用的，你理解成是镜像或者类似linux的软链接，写入一处 就会在其他地方也出现同一个东西，最简单的 你试试随便改里面的一个值，然后看看别的地方有没有同步被修改就能知道了。

关于用户
s-1-15-231-xxxx 这个就是当前用户的SID
这个值可以通过CMD执行whoami /user 获取

quiet0

我记得有款国外的监控软件，电脑很多东西都可以监控很全面。minikeylog,    但是没有注册总是会弹窗。看看有没有大神解决弹窗。

bester

process monitor 不好使？

满不懂

监控软件以管理员身份运行试试。

liyitong

有可能这个键值不是主程序直接写入的。
而是临时生成了一个批处理去执行的
或者生成了一个reg文件，然后用系统自带方式导入的。

3yu3

可能 这两货对自己不进行监控

yang1111502

感谢分享