Sto cercando un modo per poter bloccare l'avvio di alcuni eseguibili. Ho trovato un programma che lo fa e, quando si prova a lanciare l'eseguibile bloccato con questo programma, windows mi restituisce questo l'alert (http://drp.ly/SOHr). Ho provato con l'acl ma non ottengo lo stesso risultato. Quale potrebbe essere lo strumento utilizzato dal programma?
Probabilmente il programma in questione si inietta in tutti i processi ed effettua l'hooking della API CreateProcess e/o di altre API correlate, intercettando così tutte le creazioni di processi ed eventualmente vietando quelle proibite. Non è roba che si può fare in .NET, sono cose che si fanno solitamente in C o in C++ (e anche così sono piuttosto complesse).
Amaro C++, il gusto pieno dell'undefined behavior.
Grazie mille della risposta. Sinceramente ho provato a decompilare l'applicativo e ho visto che è stato scritto in vb 6. Probabilmente ha realizzato l'interfaccia sfrutta in vb e poi ha utilizzato qualche libreria che ha scritto lui sfruttando qualche dll, può darsi?
Può benissimo essere, come può anche essere che in realtà l'applicazione in questione usi qualche metodo più rudimentale (o che la persona che l'ha scritta sia talmente masochista da aver fatto quello che ho spiegato prima tutto in VB6- ma lo giudico molto improbabile, già riuscire a scrivere una dll non-COM in VB6 è un'impresa).
Amaro C++, il gusto pieno dell'undefined behavior.
Sarei curioso di sapere come hai fatto a decompilare un EXE compilato in VB6.0...Originariamente inviato da peppetomico
Grazie mille della risposta. Sinceramente ho provato a decompilare l'applicativo e ho visto che è stato scritto in vb 6.
Oh be', per capire che è scritto in VB6 non ci vuole molto, basta aprirlo con un editor esadecimale e si vedono subito alcune cose caratteristiche; si fa ancora prima vedendo le dipendenze con il dependency walker.
Amaro C++, il gusto pieno dell'undefined behavior.
Permessi di invio
Rispondi quotando