AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen
Thema durchsuchen
Ansicht
Themen-Optionen

DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen

Ein Thema von hoika · begonnen am 28. Feb 2020 · letzter Beitrag vom 2. Mär 2020
Antwort Antwort
Seite 1 von 2  1 2      
hoika

Registriert seit: 5. Jul 2006
Ort: Magdeburg
8.276 Beiträge
 
Delphi 10.4 Sydney
 
#1

DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen

  Alt 28. Feb 2020, 15:08
Hallo,
ich verteile mein Programm als mit Winrar erzeugter, selbstauspackender Exe (das eigentliche Setup ist mit Innosetup gebaut).
Angeblich soll diese Exe die Dll DXGIDebug.dll nachladen, wenn Sie im Pfad der gepackten Exe liegt.

Weiss jemand, was das heißt?
Heiko
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.184 Beiträge
 
Delphi 12 Athens
 
#2

AW: DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen

  Alt 28. Feb 2020, 15:14
Verwendet WinRAR oder InnoSetup DirectX?

Das ist eine Debug-Schnittstelle für Microsoft's DirectX Graphics Infrastructure (DXGI)
$2B or not $2B
  Mit Zitat antworten Zitat
hoika

Registriert seit: 5. Jul 2006
Ort: Magdeburg
8.276 Beiträge
 
Delphi 10.4 Sydney
 
#3

AW: DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen

  Alt 28. Feb 2020, 16:03
Hallo,
Der Self-Extract-Teil von Winrar lädt Dll's aus dem Verzeichnis der Exe nach,
u.a. diese DirectX-Dll.
Heiko
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.184 Beiträge
 
Delphi 12 Athens
 
#4

AW: DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen

  Alt 28. Feb 2020, 18:58
Joar, wie wäre es dann mit 7zip statt WinRAR für SelfExtract?


Hast 'ne alte Version von WinRAR?

In deren Readme klingt es so, als wenn die das gebugfixt haben und sich vor sowas schützen.
Zitat:
Version 5.31

3. Bugs fixed:

a) WinRAR SFX module could load DLL libraries from its own executable
folder as a result of calling some Windows API functions.
It could lead to security threat if DLL files with malicious code
were stored in the same folder as SFX archive. Now SFX module
takes additional steps to prevent such situation in Windows Vista
and newer.
https://www.rarlab.com/rarnew.htm
$2B or not $2B
  Mit Zitat antworten Zitat
hoika

Registriert seit: 5. Jul 2006
Ort: Magdeburg
8.276 Beiträge
 
Delphi 10.4 Sydney
 
#5

AW: DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen

  Alt 28. Feb 2020, 20:37
Hallo,
ich habe die aktuellste Version.
Die macht zwar einige Sachen, aber die betreffende Dll wird zuerst geladen
und erst danach kommt eine Fehlermeldung.

Nunja:
Ich muss mir das mal genauer ansehen.
Heiko
  Mit Zitat antworten Zitat
hoika

Registriert seit: 5. Jul 2006
Ort: Magdeburg
8.276 Beiträge
 
Delphi 10.4 Sydney
 
#6

AW: DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen

  Alt 28. Feb 2020, 21:04
Hallo,
so habe gerade mal schnell eine Dll geschrieben,
und in der Tat, die DLL wird geöffnet,
aber nicht über LoadLibrary, sondern über CreateFile.
Und dann kommt ein Hinweis, dass diese Datei entfernt werden muss,
sonst geht es nicht weiter.

Hm.
Heiko
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.184 Beiträge
 
Delphi 12 Athens
 
#7

AW: DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen

  Alt 29. Feb 2020, 02:44
Ist das jetzt nur ein DLL-Hook-Schutz
oder doch gar 'ne Art autmatsche gefundene DLL-Plugin-System?
$2B or not $2B

Geändert von himitsu (29. Feb 2020 um 09:13 Uhr) Grund: schlechtschreibfehler
  Mit Zitat antworten Zitat
hoika

Registriert seit: 5. Jul 2006
Ort: Magdeburg
8.276 Beiträge
 
Delphi 10.4 Sydney
 
#8

AW: DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen

  Alt 29. Feb 2020, 07:34
Hallo,
so richtig werde ich damit auch nicht schlau.
Heiko
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.184 Beiträge
 
Delphi 12 Athens
 
#9

AW: DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen

  Alt 29. Feb 2020, 09:29
Nja, aktuell sieht es ja erstmal nur so aus, dass "diese" DLLs nur zur Analyse binär geladen werden.
k.A. ob und was passiert, wenn eine DLL den Test besteht.

Also MSDN-Library durchsuchenLoadLibraryEx mit LOAD_LIBRARY_AS_DATAFILE und DONT_RESOLVE_DLL_REFERENCES,
aber auf keinen Fall mit LOAD_LIBRARY_SEARCH_APPLICATION_DIR.
Oder einfach direkt LOAD_LIBRARY_SEARCH_SYSTEM32.
Abgesehn davon, dass Windows selbst schon jahrelang einen Schutz integriert hat, wodurch System-DLLs nicht aus dem Programmverzeichnis geladen werden, damit man z.B. keine kernel32.dll als billigen Hook da rein legen kann.

Ich sag ja 7zip, dann hättest dir jetzt den Quellcode des Self-Extract angucken können.



Ich dachte erst da findete man 200 Milliarden Einträge zu Bei Google suchenwinrar load dll, aber geht scheinbar alles nur um UNACEV2.DLL und viele Seiten sind nur Kopieen des selben Artikels.

und mittendrin: Nordkoreas neues Antivirusprogramm ist eigentlich eine über 10 Jahre alte Antivirus-Engine von Trend Micro, mit vielen Whitlists der eigenen Staatstrojaner.
Da frag ich mich grade, ob der deutsche Staatstrojaner von unseren Programmen gefunden wird.



Wir haben doch unseren eigenen Antivirusguru hier im Forum.
Hatte vergesen wie er hieß, aber mußte hier ja nur nach Neuseeland suchen, und dann nochmal nach Island, als ich meinen Fehler bemerkte.
Falls es was Böses ist, dann weiß Assarbad es bestimmt zuerst.
$2B or not $2B

Geändert von himitsu (29. Feb 2020 um 09:54 Uhr)
  Mit Zitat antworten Zitat
hoika

Registriert seit: 5. Jul 2006
Ort: Magdeburg
8.276 Beiträge
 
Delphi 10.4 Sydney
 
#10

AW: DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen

  Alt 2. Mär 2020, 08:40
Hallo,
so, bin etwas weiter.

Aktuelle WinRar-Version 5.80:
Das Laden der DirectX-Dll und aller weiteren wird jetzt verhindert.

Aber:
Es gibt ein QueryImage "<pi-ms-win-core-synch-l1-2-0.dll" (ja mit < am Anfang, was laut Dateisystem gar nicht geht)
Was ist das denn?
Heiko
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 08:36 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz