13:55 

Если ты не клиент, ты - товар...

Hikedaya
Stance Dance

Давненько у меня под тегом Viruses ans Spam ничего не было.
12.04.2018 в 23:59
Пишет zHz00:

CDBurnerXP и нежелательное ПО
Предупреждаю, что кликанье по ссылкам в этом посте может быть опасно для вашего компьютера. Делайте это на свой страх и риск. Когда дочитаете, поймёте, почему.

Когда я переезжал на новую систему, я в том числе собрался ставить ПО для прожига жизни дисков. В старой системе у меня для этого стоял CDBurnerXP. В этот раз я решил его же поставить -- программа проверенная.

Пошёл на официальный сайт, указанный на Википедии -- cdburnerxp.se/

И прямо оттуда скачал дистрибутив. Запускаю установщик и вижу следующую картину:


Вроде более-менее стандартно, за исключением того, что галочка не снимается. Да. Галочка не снималась! Нажатие ТАБ также не позволяло переключиться на галочку. Хрен с ним, поставил я Оперу, а потом удалил. Основная программа работала нормально.

Больше чем неснимаяемая галочка меня в свое время удивили только уговоры деинсталлятора не удалять программу ну пожалуйста (zhz00.diary.ru/p175908134.htm ).

Так бы и остался этот случай простым курьёзом, кабы я не захотел добыть доказательства того, что эта галочка -- нарисованная! Мне казалось логичным, что если галочка не снимается, то она просто вшита в картинку. Надо достать из инсталлятора эту картинку -- и дело в шляпе.

(инсталлятор Пандоры)

URL записи

@темы: Этот безумный мир, Viruses and Spam

URL
Комментарии
2018-04-13 в 15:37 

Tenno Seremel
Frozen flame
А у меня и привода то даже нет уже…

2018-04-13 в 16:48 

Hikedaya
Stance Dance
Tenno Seremel, увы, проблема не в приводе. CDBurnerXP лишь один из примеров говно-софта, а сколько его еще такого...

URL
2018-04-13 в 16:50 

Tenno Seremel
Frozen flame
Hikedaya, come to the dark side :evil:

2018-04-13 в 18:54 

zHz00
>>Давненько у меня под тегом Viruses ans Spam ничего не было.

Я тоже давненько ничего вирусоподобного не препарировал))

2018-04-13 в 23:24 

Линда Кайе
Тотальная неудачница и убийца жёстких дисков.
Что-то мне кажется, что тут максимум нежелательное ПО, а не вирус.

Про кэш IE позабавило. Скорее всего InstallCore использует WinInet API, и с первого раза картинка скэшировалась, а потом уже каждый раз тянулась именно из кэша. Ничего вирусного в этом поведении нет.

Кстати, галочки стоит проверять через Spy++ какой, а не ресурсы потрошить. Хотя, если программа использует гткаку или какой другой Qt, то окажется, что даже рабочие контролы тупо нарисованы.

2018-04-14 в 00:01 

zHz00
Линда Кайе, да, не вирус. Но отказываться показывать рекламу под процмоном -- признак.
Да, WinInet очень возможен, поэтому и не были видны признаки работы с сетью -- и файерволл тоже не отработал.

Spy++ никогда не использовал. Спасибо, при случае воспользуюсь. Это установщик, поэтому никакие гтк и кутэ не используются. Вивисекция показала, что установщик сгенерирован при помощи InnoSetup.

Потрошить ресурсы смысла дейтствительно было мало, а вот потрошить при помощи специальных утилит потрошения установщиков -- смысл очень даже был. Они всё показали, что есть.

2018-04-14 в 00:45 

Линда Кайе
Тотальная неудачница и убийца жёстких дисков.
Но отказываться показывать рекламу под процмоном -- признак.

Не хочет, чтобы копались в коде, блюдёт копирайт. Короче, есть куча объяснений.

не были видны признаки работы с сетью -- и файерволл тоже не отработал.

Я же говорю, файл скэшировался, поэтому работы с сетью быть не могло в принципе.

смысл очень даже был

И всёже я рекомендую сначала начинать изучать живую прогу, а потом уже потрошить её тело.

2018-04-14 в 00:48 

Tenno Seremel
Frozen flame
Линда Кайе, потрошить всегда дело верное, а уж опосля…

2018-04-14 в 01:09 

Линда Кайе
Тотальная неудачница и убийца жёстких дисков.
Tenno Seremel

Держи извращенца!

2018-04-14 в 13:24 

zHz00
Линда Кайе,

>>Не хочет, чтобы копались в коде, блюдёт копирайт. Короче, есть куча объяснений.

Объяснений действительно куча, но поведение от это не перестаёт быть вирусоподобным. Да, я считаю, что если, к примеру, система защиты от копирования прежде, чем начать работу, проверяет, что она не под отладчиком, не в виртуальной машине, а только после этого проводит проверку подлинности (чтобы никто не раскрыл, как она работает), то она ведёт себя подобно вирусу.

>>Я же говорю, файл скэшировался, поэтому работы с сетью быть не могло в принципе.

Да, возможно и так. А возможно, что обращения в сеть делались от лица интернет эксплорера. Но проверять мне лень.

>>И всёже я рекомендую сначала начинать изучать живую прогу, а потом уже потрошить её тело.

Кстати, а почему?

2018-04-14 в 13:43 

Tenno Seremel
Frozen flame
2018-04-15 в 01:56 

Линда Кайе
Тотальная неудачница и убийца жёстких дисков.
zHz00

А возможно, что обращения в сеть делались от лица интернет эксплорера. Но проверять мне лень.

WinInet – это и есть IE :} Точнее, API, использующееся IE внутрях.

Кстати, а почему?

Потому что быстрее и удобнее. Если видишь галочку, которая не нажимается, запускаешь Spy++ и смотришь, есть ли вообще у окна инсталлера дочернее окно, которое и представляет собой эту галочку. Если есть, смотришь свойства, блокировки там или ещё что. Это гораздо быстрее и информативнее, чем выискивать картинки в ресурсах.

2018-04-15 в 02:31 

zHz00
Линда Кайе,
>>WinInet – это и есть IE :} Точнее, API, использующееся IE внутрях.

К сожалению, я не знаю, как эта штука устроена. Работает ли АПИ от лица процесса напрямую? Или он посылает запросы какой-нибудь ерунде, которая сама качает из интернета, а потом возвращает результат? Если второе, то обращения к сети от данной программы не будут фиксироваться ни с кешированием, ни без.

>>Потому что быстрее и удобнее. Если видишь галочку, которая не нажимается, запускаешь Spy++...

Окей, спасибо! Когда представится случай -- испытаю такой метод.

2018-04-15 в 02:50 

Линда Кайе
Тотальная неудачница и убийца жёстких дисков.
Работает ли АПИ от лица процесса напрямую?

Работает. Весь интерфейс – библиотека WinInet.DLL, которая программой. Все запросы идёт именно из программы, а не сторонней фигни.

     

Записная книжка

главная