2015-06-26
425
Message boxa
(hWind - номер сообщения, ipText, LpCapture, type)
Message box Indirecta
(IpMsgBoxParams- вывод окна с различными кнопкам
GetDlgItemTextA
Две последним функции фактически взаимозаменяемые, однако отличаются количеством представляемых опций манипулирования
Данные функции возможно использовать в модулях защиты в качестве способа сравнения вводимой информации с требуемой. Но так же можно испробовать другую функцию, выполняющую чтение их окна Tedit именуемая hmemcpy, применяемая для копирования участков памяти. (IpMem, IpMemSourse, nBytes) Данная функция позволяет отлавливать и исследовать программы так же как и предыдущая функция, но требует гораздо больше переходов по точкам остановок до тех пор, пока сама система не позволит инициировать начало запуска модуля защиты. Для того что бы продуктивно использовать данную функцию, злоумышленник устанавливает точки остановки на функции MessageBoxA и при этом оставляет пустые поля для ввода ключевой информации. После данного ввода (неввода) ключевой информации, требуется использовать снова функции поиска точек прерывания, однако производится она уже без подсоедения, к модулю защиты через hmemcpy. Данная функция позволяет обходить элементы модуля защиты непосредственно контролирующие запуск и работу модулей защиты специализированных API функций.
|
|
|
LoadString (hInstance, uID, IpBuffer, IpBufferMax) позволяют читать строки из файла ресурсов и копировать их в определенный злоумышленниками буфер. Принимает она следующие параметры: дескриптор модуля, номер строки файлов ресурсов, указатель на буфер, размер читаемой строки
GetTickCount() возвращает количество миллисекунд со времени запуска системы. Данная функция имеет характер маркирования.
EnableWindow(hWid, bEnabled) данная функция позволяет отключать некоторые опции программы, в том числе связанные с известными API функциями, скрывая тем самым возможность использования известных API функций для локализации модулей защиты. Злоумышленник данную функцию использует для начала запуска работы модуля защиты.
GetDriveTypeA ((ip RootPathName) - возвращает тип диска, что позволяет отслеживать состояние работы модуля защиты связанного с контролем присутствия ключевой информации на определенном носителе.
RegCreateKey (hKey, IpSubKey,Reserved, IpClass,DwOptions, IpSecurity, phkResult)
SetTimer
FindFirstFile() осуществляет поиск файлов в определенной директории с заданным именем.
