AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Sprachen und Entwicklungsumgebungen Object-Pascal / Delphi-Language Delphi Prüfsumme des eigenen Programs im Speicher ermitteln
Thema durchsuchen
Ansicht
Themen-Optionen

Prüfsumme des eigenen Programs im Speicher ermitteln

Ein Thema von Jasmine · begonnen am 16. Aug 2005 · letzter Beitrag vom 27. Sep 2005
Antwort Antwort
Seite 1 von 2  1 2      
Jasmine

Registriert seit: 30. Jun 2005
Ort: Rom / Italien
24 Beiträge
 
Delphi 7 Personal
 
#1

Prüfsumme des eigenen Programs im Speicher ermitteln

  Alt 16. Aug 2005, 11:25
Hallo Liebe Delphi Freunde,

ich möchte gerne eine Prüfsumme meines eigenen Programs im Speicher ermitteln.
Es geht mir nicht darum, wie die Prüfsumme ermittelt wird oder welchen Algo ich
dafür verwenden muss, sondern wie ich herausbekomme wo im Speicher sich mein Program
befindet und wie ich in einer Schleife schnell wie Werte auslesen kann.

Es geht darum zur Laufzeit zu überprüfen, ob mein Programm gepatched oder verändert worden ist.

Habe schon alles durchsucht, aber leider nichts gefunden.

Über jegliche Tips und Hilfestellungen würde ich mich sehr freuen.

Danke....

Jasmine
Jasmine
  Mit Zitat antworten Zitat
Olli
(Gast)

n/a Beiträge
 
#2

Re: Prüfsumme des eigenen Programs im Speicher ermitteln

  Alt 16. Aug 2005, 11:47
Gepatcht im Vergleich zu was? Das Image sieht im Speicher schonmal anders aus als auf der Platte, das ist hoffentlich klar?!

Das sog. Modulhandle ist die Adresse deines Moduls im Speicher. Die Größe kannst du durch APIs (MSDN-Library durchsuchenVirtualQuery/MSDN-Library durchsuchenVirtualQueryEx) oder Auslesen des PE-Headers ermitteln. Danach mußt du nur noch sicherstellen, daß du auf alle Speicherstellen Lesezugriff (MSDN-Library durchsuchenVirtualProtect/MSDN-Library durchsuchenVirtualProtectEx) hast und es würde funktionieren ... Moduladresse in PDWORD casten und DWORD-weise und superschnell auslesen. Kein Problem.
  Mit Zitat antworten Zitat
Jasmine

Registriert seit: 30. Jun 2005
Ort: Rom / Italien
24 Beiträge
 
Delphi 7 Personal
 
#3

Re: Prüfsumme des eigenen Programs im Speicher ermitteln

  Alt 16. Aug 2005, 11:59
Hallo Olli,

danke für die schnelle Antwort.

Es geht mir natürlich nur um den Programspeicher im Vergleich zu einer festen,
vorher ermittelten Prüfsumme des compilierten Programms, also der .exe Datei.

Jasmine

Jasmine
  Mit Zitat antworten Zitat
Benutzerbild von Zacherl
Zacherl

Registriert seit: 3. Sep 2004
4.629 Beiträge
 
Delphi 10.2 Tokyo Starter
 
#4

Re: Prüfsumme des eigenen Programs im Speicher ermitteln

  Alt 16. Aug 2005, 12:36
Hallo,
du könntest die Prüfsumme im Header der EXE unterbringen und dann zur Laufzeit mit der aktuellen Prüfsumme vergleichen. Hier findest du den "DEC Cipher" von Hagen (negaH). Da meine ich war eine große Demo dabei, die auch die Prüfsumme in ihrem eigenem Header speichert.

Florian
Projekte:
- GitHub (Profil, zyantific)
- zYan Disassembler Engine ( Zydis Online, Zydis GitHub)
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#5

Re: Prüfsumme des eigenen Programs im Speicher ermitteln

  Alt 16. Aug 2005, 13:44
Zitat:
es geht darum zur Laufzeit zu überprüfen, ob mein Programm gepatched oder verändert worden ist.
Wenn das OS deine EXE von Platte in den Speicher lädt, dann patcht in fakt das OS dein Image im Speicher. Das OS zerlegt erstmal alle Sektions der EXE und lädt sie in andere, zerlegte Speicherbereiche. Danach patcht es in den Codesegmenten, sogar Resourcen im Speicher zb. die Relokationen. Da diese Relokationen abhängig davon sind WO im Speicher die einzelnen Sections geladen werden, wird je nach aktueller Speicherbelegung anders realokiert.

All dieses verhindert einen einfachen Algorithmus zur Ermittlung einer Prüfsumme zu programmieren. Zudem ist es dann sogar abhängig von der jeweiligen OS Version.

Unveränderlich kann man aber das Image der EXE auf Platte ansehen. Weshalb auch MS die Digitalen Signaturen zum Scutz dieser Images einfach hinten an die EXE dranhängt. Das was du suchst gibt es also schon, Stichwort Codesignaturen.


Gruß Hagen
  Mit Zitat antworten Zitat
Jasmine

Registriert seit: 30. Jun 2005
Ort: Rom / Italien
24 Beiträge
 
Delphi 7 Personal
 
#6

Re: Prüfsumme des eigenen Programs im Speicher ermitteln

  Alt 16. Aug 2005, 13:54
Ui, gar nicht so einfach, wie ich dachte.

Danke für die Tips und Erklärungen.

Werde wohl dann mal versuchen soeine Codesignatur zu erstellen, bzw. eine Prüfsumme der .exe und
dann im laufenden Programm überprüfen, ob die .exe verändert worden ist.

Versuche dann, wie Flo schon meinte, die Prüfsumme im Header unterzubringen oder am Ende der .exe
anhängen.

Jasmine

Jasmine
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#7

Re: Prüfsumme des eigenen Programs im Speicher ermitteln

  Alt 16. Aug 2005, 14:34
Hänge sie hinten an. Im Header wäre zwar noch platz aber exakt an dieser Stelle würden Viren zb. Manipulationen vornehmen die eventuell deine Signatur zerstören könnten.

Allerdings schützt diese Methode eben nicht vor dem "dynamischen Patchen" durch unbefugte Programme während der Laufzeit.

Gruß Hagen
  Mit Zitat antworten Zitat
PierreB
(Gast)

n/a Beiträge
 
#8

Re: Prüfsumme des eigenen Programs im Speicher ermitteln

  Alt 25. Sep 2005, 12:17
Zitat:
Werde wohl dann mal versuchen soeine Codesignatur zu erstellen, bzw. eine Prüfsumme der .exe und dann im laufenden Programm überprüfen, ob die .exe verändert worden ist.
Moin,

genau sowas wollte ich auch machen, hast du es mittlerweile geschafft ?
Oder kann mir jemand anderes Tipps geben wie man sowas sehr einfach realisieren könnte ?

Thx
  Mit Zitat antworten Zitat
PierreB
(Gast)

n/a Beiträge
 
#9

Re: Prüfsumme des eigenen Programs im Speicher ermitteln

  Alt 27. Sep 2005, 16:22
Hm, ich such wirklich nach ner ganz einfachen Variante, keiner ne Idee ?
  Mit Zitat antworten Zitat
Olli
(Gast)

n/a Beiträge
 
#10

Re: Prüfsumme des eigenen Programs im Speicher ermitteln

  Alt 27. Sep 2005, 16:35
Zitat von PierreB:
Hm, ich such wirklich nach ner ganz einfachen Variante, keiner ne Idee ?
Die einfachste Variante ist, egal ob im Speicher oder auf Platte, die EXE zu hashen (oder was auch immer) bevor sie läuft. Daran arbeite ich gerade - darf ich aber nicht rausgeben. Das Prinzip wird wohl über einen Treiber laufen - also über ein externes "Programm". Das Programm kann sich selber nie zuverlässig selber prüfen, es sei denn, daß die einzelnen Funktionen markiert sind. Ansonsten besteht nämlich das Problem, daß man schwerlich Funktionen von Variablen unterscheiden kann. Und ein Hash/Prüfsumme (oder was auch immer) über eine Veränderliche (lat. Variable) ist wohl ziemlich aussichts- und sinnlos.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 05:59 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz