Einzelnen Beitrag anzeigen

Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#31

Re: String im Exe-Text verschlüsseln

  Alt 9. Jan 2004, 18:58
"disassembler", darf man nicht mit einem Debugger verwechseln. Fast jeder Debugger enthält auch einen Disassembler aber nicht jeder Disassmbler muß ein Debugger sein.
Wird mit einem aktiven Debugger ein Programm getracet dann kann man die "Anti-Disassembler" Tricks erkennen.

Ein einfacher Disassembler-Trick ist zB. der Call-Stack-Trick. Dabei manipuliert man den aktiven Aufrufstack fun Proceduren so daß der Programmfluß an einer anderen Stelle weitergeht. Der passive Disassembler kann dies NICHT erkennen, er ist dummm.

Dies sähe z.B. so aus:

Delphi-Quellcode:

procedure Hiddenproc;
begin
end;
 
var
  MyProc: procedure = HiddenProc;

procedure CallHiddenProc;
begin
  MyProc;
// obiger Aufruf benutzt einen Indirekten Call, d.h. es wird an die Speicherstelle die in MyProc steht gesprungen.
end;
Der Disassembler sieht nun einen Code der aus der Speicherstelle an Addresse on @MyProc einen Pointer lädt und dahin im program springt. Diese Speicherstelle @MyProc kann aber dynamisch während der Programmlaufzeit modifiziert werden. Diese Modifizierung kann abhänig vom RegCode sein.

D.h. der Programmfluß wird auf direktem Weg dynamisiert. Nur mit einem aktiven Debugger kann man erhausbekommen wohin das Program tatsächlich springt.

Natürlich ist obiger "Trick" kein Trick im eigentlichen Sinne sondern ein Normalzustand in heutigen Programmen. Obiges Beispiel ist aber das Minimal-Beispiel wie Disassembler ausgetrickst werden können.

Hier mal ein anders:

Delphi-Quellcode:
procedure HiddenProc;
begin
  ShowMessage('Hidden');
end;

procedure MyCaller(Proc: Pointer);
asm
  XCHG [ESP],EAX
end;

procedure CallHiddenProc;

  procedure DoCall;
  begin
    MyCaller(@HiddenProc);
    ShowMessage('Test');
  end;

begin
  DoCall;
  ShowMessage('Test1');
end;
Aber auch dieser Trick ist zu offensichtlich für gute Cracker, ein passiver Dissassembler kann aber NICHT mehr den Code in HiddenProc exakt identifizieren.

Gruß Hagen
  Mit Zitat antworten Zitat