DOMANDA Programma per analizzare il comportamento di un eseguibile

[Eren88]

Ciao a tutti, sapreste consigliarmi un programma che monitori i cambiamenti del sistema apportati da un eseguibile? Cioè intendo un programma che faccia il confronto di tutti i file e del registro di sistema prima e dopo l'avvio di un eseguibile in modo da sapere esattamente cosa fa l'eseguibile. Grazie mille in anticipo

 

[ezio2000]

WinMerge è Open Source e fa confronti eccellenti tra file in formato testuale, come quelli del Registro.
Cosa fa "esattamente" un eseguibile... tramite Registro non lo saprai mai consicurezza, visto che, OLTRE alle modifiche apportate dal programma, anche dopo pochi secondi troverai DECINE se non CENTINAIA di modifiche apportate da decine di altri servizi in contemporanea esecuzione.
Molte modifiche si potranno riportare al programma che le ha generate, ok, ma MOLTISSIME altre non saranno riferibili ad alcun "produttore", ivi compreso l' eseguibile in esame.

 

[DispatchCode]

Ciao a tutti, sapreste consigliarmi un programma che monitori i cambiamenti del sistema apportati da un eseguibile? Cioè intendo un programma che faccia il confronto di tutti i file e del registro di sistema prima e dopo l'avvio di un eseguibile in modo da sapere esattamente cosa fa l'eseguibile. Grazie mille in anticipo

Ci sono una miriade di software per il monitoring di un programma, non ne basta uno solo.

I tools di solito non vanno a fare confronti su qualsiasi tipo di file, ma su cose specifiche (in buona parte dei casi è per verificare il comportamento, per capire se è malevolo o no). Il registro di sistema è una di queste. Puoi usare ad esempio RegShot https://sourceforge.net/projects/regshot/
Tanti altri sono stati sviluppati da Nirsoft, e puoi trovarli qui https://www.nirsoft.net/windows_registry_tools.html

Non saprai esattamente cosa fa l'eseguibile, ma solo se viene toccato il regedit. Per sapere se lancia altri processi o cosa va a manipolare esattamente, dovresti usare altri tools ancora; idem per sapere se stabilisce una connessione verso l'esterno ad esempio.

Puoi anche dare uno sguardo a ProcessMonitor e ProcessExplorer per raccogliere più informazioni su ciò che fa l'eseguibile, ma dipende quanto sul "difficile" vuoi andare. ?

 

[Eren88]

Grazie mille a entrambi per la risposta! Darò un'occhiata tutti questi programmi. Magari li provo in una macchina virtuale senza nessun programma installato in modo da avere dei risultati più puliti possibile

 

[DispatchCode]

Grazie mille a entrambi per la risposta! Darò un'occhiata tutti questi programmi. Magari li provo in una macchina virtuale senza nessun programma installato in modo da avere dei risultati più puliti possibile

In realtà gli ultimi due che ti ho linkato ti consentono di applicare dei filtri a ciò che vedi, quindi puoi filtrare per singolo eseguibile e anche singoli eventi.

 

[ezio2000]

Grazie mille a entrambi per la risposta! Darò un'occhiata tutti questi programmi. Magari li provo in una macchina virtuale senza nessun programma installato in modo da avere dei risultati più puliti possibile

Non esiste un SO senza nessun programma installato: se eliminassi TUTTI i processi/servizi di Windows... semplicemente cesserebbe di funzionare: in questo momento col solo Browser aperto Gestione Attività mi evidenzia 87 processi di Windows attivi, tutti programmi che modificano continuamente registro e file system. Senza molti di questi il tuo programma non potrebbe essere né lanciato, né visualizzato a schermo né gestito da Windows.

Se il tuo intento è craccare un programma la via migliore (e ovviamente difficile....) è il Reverse Engineering del suo codice. Cosa non impossibile se il linguaggio è interpretato (es. C#), cosa riservata a programmatori in Assembly se è in C++.

Infatti anche filtrando solo quello che fa il tuo programma... esso per funzionare correttamente accederà comunque una o più volte a decine e decine di API e .dll di Windows: vai a trovare le API e .dll che ti interessano... per poi disassemblarle.