Oppure

Loading
04/01/10 11:15
HeDo
Postato originariamente da D@vide:

lo so, ma con la quantità di lamer e script kiddie che girano su questo forum, spiegare nel dettaglio in cosa consiste questa tecnica equivale a dare una pistola in mano ad un bambino.



Se spieghi la teoria che ti ha portato a realizzarlo anzichè spiegare come fare vedrai che i lamer non capiranno.


basta fare uno static link inject nell'eseguibile ed il gioco è fatto.

contenti?
aaa
04/01/10 11:27
Per "static link" intendi le dependency del file exe o cosa ?

Per "injection" intendi "a runtime" o semplicemente scrivendo nel file ?


@mitor : hai modo di farmi avere l'eseguibile da avviare? (solo quello)

Probabilmente il "pubblico" a cui si rivolge il prodotto finale, è capace di mettere mani al launcher ... potrebbe quindi sorpassare il "meccanismo"?
Ultima modifica effettuata da 04/01/10 11:31
04/01/10 11:33
HeDo
Postato originariamente da nessuno:

Per "static link" intendi le dependency del file exe o cosa ?



si

Postato originariamente da nessuno:

Per "injection" intendi "a runtime" o semplicemente scrivendo nel file ?



intendo eseguire del codice nel processo di destinazione, come se fosse parte di esso.
aaa
04/01/10 11:39
TheKaneB
Alcuni antivirus potrebbero lamentarsi in quanto la modifica dei file exe è ritenuta esclusiva di compilatore, linker e... virus! avete fatto dei test a proposito?
So per certo che alcuni antivirus iniettano dentro i file exe un checker di integrità (almeno, lo facevano 10 anni fa... magari ora le cose sono cambiate), calcolano e memorizzano un hash per tutti gli eseguibili del sistema e fanno ogni volta il controllo sui file aperti dai processi, se questo è un eseguibile scatta l'allarme.

Fate tanti controlli con diverse marche di AV, non è una cosa piacevole avere l'antivirus che rompe!
aaa
04/01/10 11:44
HeDo
Postato originariamente da TheKaneB:

Alcuni antivirus potrebbero lamentarsi in quanto la modifica dei file exe è ritenuta esclusiva di compilatore, linker e... virus! avete fatto dei test a proposito?
So per certo che alcuni antivirus iniettano dentro i file exe un checker di integrità (almeno, lo facevano 10 anni fa... magari ora le cose sono cambiate), calcolano e memorizzano un hash per tutti gli eseguibili del sistema e fanno ogni volta il controllo sui file aperti dai processi, se questo è un eseguibile scatta l'allarme.

Fate tanti controlli con diverse marche di AV, non è una cosa piacevole avere l'antivirus che rompe!


non ti preoccupare, già testato e non da problemi :)
aaa
04/01/10 11:51
TheKaneB
beh, allora buon lavoro ;) io ho usato una tecnica simile per un mio vecchio progetto. In quel caso però avevo programmato un runtime linker per il mio OS (che forse un giorno porterò alla luce...), manipolava la relocation table degli eseguibili in fase di creazione del processo, per fare puntare le funzioni della libreria standard tutte ad un unica istanza di codice (una sorta di dll, diciamo). Se la libreria in questione non era caricata, il linker si occupava di caricarla e ripetere ricorsivamente la procedura sino a soddisfare tutte le dipendenze e avviare il programma...

bella storia :D il mio Nintendo DS ancora piange quando mi vede arrivare con una schedina microSD in mano... XD
aaa
04/01/10 13:00
intendo eseguire del codice nel processo di destinazione, come se fosse parte di esso.


Ok ... quindi più o meno un metodo simile a quello che pensavo ... (WriteProcessMemory ecc ...).

Comunque, attenzione perchè, in effetti, questi metodi sono sicuramente attenzionati da tanti antivirus.

Ovviamente non da TUTTI gli antivirus (che non avrai potuto testare) e non allo stesso "livello di controllo" (molti hanno diversi livelli di controllo ...).
04/01/10 14:25
HeDo
Postato originariamente da nessuno:

intendo eseguire del codice nel processo di destinazione, come se fosse parte di esso.


Ok ... quindi più o meno un metodo simile a quello che pensavo ... (WriteProcessMemory ecc ...).

Comunque, attenzione perchè, in effetti, questi metodi sono sicuramente attenzionati da tanti antivirus.

Ovviamente non da TUTTI gli antivirus (che non avrai potuto testare) e non allo stesso "livello di controllo" (molti hanno diversi livelli di controllo ...).


niente di tutto questo :)

l'antivirus non vede nulla, perchè, se proprio vogliamo tirarlo in ballo, quando controlla il tutto è già avvenuto :)

non entro più nel dettaglio ma fidatevi che è così :k:
aaa