Всё-таки мы немного не до конца разобрали скрытую установку.Как-то всё в общих чертах.Первое:как убрать окошко с предупреждением и подтверждением отсылки ID?Вчера читал инфу по этому поводу,один говорит,что можно перепаковать установщик с помощью NSIS (как в той сборке).При создании нового дистрибутива можно контролировать все вызовы-алерты.Глянул этот NSIS-без сноровки особо не разберёшься.
Другой рекомендовал удалять окошки так (цитирую):
"Когда вываливается мессага,то из тела "rutserv.exe",или "rfusclient.exe",(не занималась детальным анализом,поэтому точно сказать не могу,но одинаковое присутствует в обеих файлах)вызвается апишка MessageBoxW и после нажатия отправить на мыльник данные для подключения в регистр eax заноситься значение 6,что говорит программе совершить требуемые действия.Для того что б исключить отображение сообщения и одновременно выслать письмецо,нужно каким то образом совершить перехват данной айпишки и в своём обработчике,не вызывая оригинального кода подставить в регистр eax правильный указатель.Прямой патчинг не подходит из за наличия цифровой подписи у файлов,остаётся внедрение своего кода в адресное пространство процесса.Самым простым и беспалёвным способом является использование уязвимости типа dll Hijacking.Суть уязвимости сводится к тому,что приложение не проверяет корректность путей при загрузки файлов в частности системных длл например и можно создать файл с одинаковым названием и поместить в одну директорию с программой и произойдёт загрузка.В этой своей дллке установить перехват посредством сплайсинга,или другими способами,придумано множество,один из самых простых сплайсинг,очень старый,но вполне подойдёт для такой прикладной задачи.Вот и вся метода.Из системных длл к примеру можно использовать rasadhlp.dll."
И снова,как-то в общих чертах.Плюс к этому рмс после установки появляется в пункте "Программы и компоненты".Так что юзер может свободно удалить.И наконец,это окошко о видеонаблюдении.
Nedovirus, небольшой ликбез можешь запилить?