Einzelnen Beitrag anzeigen

Benutzerbild von himitsu
himitsu
Online

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.063 Beiträge
 
Delphi 12 Athens
 
#9

AW: DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen

  Alt 29. Feb 2020, 09:29
Nja, aktuell sieht es ja erstmal nur so aus, dass "diese" DLLs nur zur Analyse binär geladen werden.
k.A. ob und was passiert, wenn eine DLL den Test besteht.

Also MSDN-Library durchsuchenLoadLibraryEx mit LOAD_LIBRARY_AS_DATAFILE und DONT_RESOLVE_DLL_REFERENCES,
aber auf keinen Fall mit LOAD_LIBRARY_SEARCH_APPLICATION_DIR.
Oder einfach direkt LOAD_LIBRARY_SEARCH_SYSTEM32.
Abgesehn davon, dass Windows selbst schon jahrelang einen Schutz integriert hat, wodurch System-DLLs nicht aus dem Programmverzeichnis geladen werden, damit man z.B. keine kernel32.dll als billigen Hook da rein legen kann.

Ich sag ja 7zip, dann hättest dir jetzt den Quellcode des Self-Extract angucken können.



Ich dachte erst da findete man 200 Milliarden Einträge zu Bei Google suchenwinrar load dll, aber geht scheinbar alles nur um UNACEV2.DLL und viele Seiten sind nur Kopieen des selben Artikels.

und mittendrin: Nordkoreas neues Antivirusprogramm ist eigentlich eine über 10 Jahre alte Antivirus-Engine von Trend Micro, mit vielen Whitlists der eigenen Staatstrojaner.
Da frag ich mich grade, ob der deutsche Staatstrojaner von unseren Programmen gefunden wird.



Wir haben doch unseren eigenen Antivirusguru hier im Forum.
Hatte vergesen wie er hieß, aber mußte hier ja nur nach Neuseeland suchen, und dann nochmal nach Island, als ich meinen Fehler bemerkte.
Falls es was Böses ist, dann weiß Assarbad es bestimmt zuerst.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.

Geändert von himitsu (29. Feb 2020 um 09:54 Uhr)
  Mit Zitat antworten Zitat