AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Sprachen und Entwicklungsumgebungen Object-Pascal / Delphi-Language Delphi Einsprungadresse einer Procedur ermitteln?
Thema durchsuchen
Ansicht
Themen-Optionen

Einsprungadresse einer Procedur ermitteln?

Ein Thema von richard_boderich · begonnen am 28. Jun 2006 · letzter Beitrag vom 28. Jun 2006
Antwort Antwort
Seite 2 von 2     12   
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#11

Re: Einsprungadresse einer Procedur ermitteln?

  Alt 28. Jun 2006, 13:23
Suche mal hier in der DP nach Anticracking etc.pp. da gibts einen Thread in dem ich das alles beschrieben habe. Denn für deine verschlüsselte Prozedur musst du noch viel mehr berücksichtigen als nur deren Addressen zu ermitteln.

Gruß Hagen
  Mit Zitat antworten Zitat
brechi

Registriert seit: 30. Jan 2004
823 Beiträge
 
#12

Re: Einsprungadresse einer Procedur ermitteln?

  Alt 28. Jun 2006, 14:39
@negaH

z.b.? (Es reicht wenn du mir nur einen Stichpunkt nennst) Import und Relocation Tabelle jedenfalls nicht bei einzelnen Funktionen innerhalb einer Exe.
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#13

Re: Einsprungadresse einer Procedur ermitteln?

  Alt 28. Jun 2006, 18:42
http://www.delphipraxis.net/internal...morph&start=90

schau mal da rein

Gruß Hagen
  Mit Zitat antworten Zitat
brechi

Registriert seit: 30. Jan 2004
823 Beiträge
 
#14

Re: Einsprungadresse einer Procedur ermitteln?

  Alt 28. Jun 2006, 19:28
Naja es kommt dabei ja immer drauf an was man verschlüsseln will. Und in dem Thread bist du ja schon davon ausgegeangen, dass es eben keine Methoden sind.

Hat mal also:
1) eine Exe
2) keine Methoden
3) keine globalen Variablen

kann man den code einfach verschlüsseln.

Den das Problem der Importtabelle tritt nicht auf, da direkte aufrufe von LoadLibrary erst einen relativen call haben und die einen Absoluten. (gilt ab mind. Delphi 3)
Hat man weiterhin keine globalen Variablen und keine Methoden (die benutzen wiederum globale Variablen) dann kann man es einfach verschlüsseln. Sogar so wie negaH es in dem Thread beschrieben hat, auch wenn es dort eher unelegant gemacht ist. (Suchen nach CODESTART usw.)

Delphi-Quellcode:
procedure CodeStart;
begin
  MessageBoxA(0,'elelel','test',0);
end;
procedure CodeEnd; asm end;
Kann demnach ohne Probleme und Komplikationen gecrypted werden. Deshalb auch die Frage was denn nun noch mehr berücksichtigt werden muss. Also was die methode von negaH in dem Thread kann, was man nicht durch einfaches crypten auch erreichen kann. Die eigene Relocationtabelle finde ich deshalb ein bisschen sinnlos.
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#15

Re: Einsprungadresse einer Procedur ermitteln?

  Alt 28. Jun 2006, 19:46
Stimmt leider so nicht

Gerade die statischen Methoden werden über eine relative Addresse ausgehend von der Position des CALLs im eigenen Code angesprungen. Das trifft auch im besonderen auf die Importtabelle zu, man springt per relativen Call in die Importtabelle wo dann ein absoluter JMP ins API steht (LOadLibrary als importierte Funktion ist also sehr wohl betroffen). Dh. wird der entschlüsselte Code aus einem anderen Speicherbereich ausgeführt (weil er ja in einen dyn. Speicher entschlüsselt wurde und NICHT im gleichen Codesegement inplaced) stimmen diese relativen Addressangaben eben nicht mehr und das führt konsequenter Weise zu einer AV.

Aber wie im Thread angesprochen ist dies bei virtuellen, dynamischen und Interface Methoden nicht mehr der Fall. Denn diese sind indirekte Calls an eine absolute Speicheraddresse im Codesegment.

Aber das trifft das Problem immer noch nicht exakt. Denn dedr Compiler würde bei einem direkten Aufruf von zb. LoadLibrary() in deinem geschützten Code einen Realokationseintrag in der Relocationtable des Module erzeugen. Der Moduleload von Windows patcht nun ausgehend von dieser Tabelle alle Codesegment Speihcerstelle an denen solche direkten importierten Aufrufe stehen. Da aber unser Code verschlüsselt wurde heist dies das der Modulloader von Windows unseren veschlüsselten Code kaputt-patcht. Betrachtet man eine gute Verschlüsselung so führt dies auf Grund ihres internen Feedback Modus dazu das der Code falsch entschlüsselt würde.

Gruß hagen
  Mit Zitat antworten Zitat
brechi

Registriert seit: 30. Jan 2004
823 Beiträge
 
#16

Re: Einsprungadresse einer Procedur ermitteln?

  Alt 28. Jun 2006, 20:12
Zitat von negaH:
Gerade die statischen Methoden werden über eine relative Addresse ausgehend von der Position des CALLs im eigenen Code angesprungen. Das trifft auch im besonderen auf die Importtabelle zu, man springt per relativen Call in die Importtabelle wo dann ein absoluter JMP ins API steht (LOadLibrary als importierte Funktion ist also sehr wohl betroffen). Dh. wird der entschlüsselte Code aus einem anderen Speicherbereich ausgeführt (weil er ja in einen dyn. Speicher entschlüsselt wurde und NICHT im gleichen Codesegement inplaced) stimmen diese relativen Addressangaben eben nicht mehr und das führt konsequenter Weise zu einer AV.
Nein er wird ja eben NICHT in dynamischen Speicher entschlüsselt. Wenn man die Virtuelle Adresse hat und diese in die Rawdaten Adresse umrechnet, kann man den direkt patchen (die länge hat man ja). Beim entschlüsseln wird dann eben die Virutelle Adresse genommen und der code entschlüsselt und danach aufgerufen.


Zitat von negaH:
Aber wie im Thread angesprochen ist dies bei virtuellen, dynamischen und Interface Methoden nicht mehr der Fall. Denn diese sind indirekte Calls an eine absolute Speicheraddresse im Codesegment.
Eben das liegt nicht vor, sonst würde Addr(Procedurename) {bzw} @ProcedureName wie schon weiter oben erähnt keinen sinn machen.

Ich wollte eigentlich vermeinden, dass du mir hier was erklärst, da ich es schon selbst weiß. Deshalb bruachtest auch nur ein Beispiel nennen, da es sich hier um den 1. Fall handelt, nicht aber um deinen 2. beschrieben.

Beim Code

Delphi-Quellcode:
procedure CodeStart;
begin
  MessageBoxA(0,'elelel','test',0);
end;
procedure CodeEnd; asm end;
treten zwar globale Variablen auf (die Strings), aber da es sich um eine Exe handelt werden diese nichr realokiert. Und das Problem mit der Importtabelle wird ebenfalls nicht auftreten, da nirgendwo davon gesprochen wird, den Code nicht direkt wieder zu entschlüsseln.
  Mit Zitat antworten Zitat
brechi

Registriert seit: 30. Jan 2004
823 Beiträge
 
#17

Re: Einsprungadresse einer Procedur ermitteln?

  Alt 28. Jun 2006, 20:42
So könnte es aussehen:

Delphi-Quellcode:
program codeex;

uses windows;

procedure MBox;
begin
  MessageBoxA(0,'test','test',0);
end;
procedure MBoxE; asm end;


procedure DoCode(pMem: Pointer; dwSize: DWord);
var
  i: DWord;
begin
  for i := 0 to dwSize-1 do
    PByte(DWord(pMem)+i)^ := PByte(DWord(pMem)+i)^ xor $23;
end;

procedure Trash;
asm
  DB $0
end;

procedure CallMBA;
var
  dwOldProtect: DWord;
  dwProcSize: DWord;
begin
  dwProcSize := DWord(@MBoxE)-DWord(@MBox);
  if VirtualProtect(@Mbox, dwProcSize, PAGE_EXECUTE_READWRITE, dwOldProtect) then
  begin
    DoCode(@MBox,dwProcSize); // entschlüsseln
    MBox;
    DoCode(@MBox,dwProcSize); // verschlüsseln
    VirtualProtect(@MBox, dwProcSize, dwOldProtect, dwOldProtect);
  end;
end;

procedure CreateExe;
var
  f: File of Byte;
  FileMem: array of Byte;
begin
  // jetzt ohne viele checks, ohne CreateFileA usw bla bla
  // SizeOf Headers = $400
  // Codestart @ Section1 @ Virutal $1000

  CopyFile(PChar(Paramstr(0)), PChar(Paramstr(0)+'_rdy.exe'), False);

  AssignFile(f,Paramstr(0)+'_rdy.exe');
  Reset(f);
  SetLength(FileMem, FileSize(f));
  BlockRead(f, FileMem[0], Length(FileMem));
  CloseFile(f);

  DoCode( @FileMem[DWord(@MBox) - GetModuleHandle(nil) + $400 - $1000 ], DWord(@MboxE) - DWord(@MBox));

  FileMem[DWord(@Trash) - GetModuleHandle(nil) + $400 - $1000 ] := 1;

  AssignFile(f,Paramstr(0)+'_rdy.exe');
  ReWrite(f);
  BlockWrite(f, FileMem[0], Length(FileMem));
  CloseFile(f);
end;

begin
  if (PByte(@Trash)^ = 0) then
    CreateExe else
    CallMBA;
end.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 2     12   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 17:24 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz