Re: Anwendungsspeicher schützen
 

Hallo,

alles was du tun musst, ist, deine Variablen, die du schützen möchtest, verschlüsselt (am besten mit einer Art Checksumme) zu speichern, und sie immer nur bei Bedarf kurzzeitig entschlüsseln. Ein Skriptkiddie knackt sowas bestimmt nicht (ich denke, die meisten hier im Forum würde es ebenfalls nicht schaffen, wenn du es richtig machst).

Re: Anwendungsspeicher schützen
 

Die Variablen können nur inkrementiert werden. Das müsste eine Checksumme unnötig machen, weil ich ja nur schauen brauch ob die Variable sich mehr als +1 verändert hat seit dem letzten Aufruf meiner Funktion, aber danke für den Tipp :)

Re: Anwendungsspeicher schützen
 

das IsDebuggerPresent von Luckie bringt im Grudne gar nichts. Jedes gemoddete OllyDbg bzw jedes einfache plugin (und vill sogar OllyDbg in der neusten Version) macht einfach ein "mov [$7ffde000], 0" am Anfang und das Debugflag ist auf 0, egal wie es ausgelesen wird.

Ich denke es geht um ein Spiel bei dem der Punktestand nicht verändert werden sollte. Dazu kannst du di Variable am besten einmal "verschlüsseln" in dem du sie mit irgend einem wert mit XOR verknüpst. Einfach zum schlüsseln / entschlüsseln vorher XOR aufrufen :)

Das doopellte Speichern (um dnan zu vergleichen ob die erhöht wurde) bringt nichts, da TSearch immer ALLE Variablen anzeigt. Dann patchedm an eben beide weg.

Re: Anwendungsspeicher schützen
 

Ja, hab auch schon erfahren, dass das mit dem DebugFlag nix mehr bringt.

Wäre es nicht ziemlich trivial rauszufinden wie die Variable verschlüsselt ist, wenn ich sie nur einmal mit einem XOR verknüpfe?

Re: Anwendungsspeicher schützen
 

Naja, glaub bei AOE2 oder so wurde das auch gemacht. Meisten wird TSearch genommen um die Adresse rauszufinden. Man erspielt dann z.B. 100 Punkte und sucht dann mit TSearch nach einem Integer-Wert von 100. Dann spielt man weiter bis man z.b. 150 hat. Aus allen Anfangsergebnissen wird dann rausgefiltert wo der Wert jetzt 150 ist. Das macht man bis man nur noch wenige Adressen hat. Dort ist dann die Variable. Wenn du jetzt zweimal die Variable speicherst bringt dir das nicht. Dann bekommt man zwei Ergebnisse.

TSearch erlaubt dir auch nach "Incrementierten Variablen" zu suchen. Man liest einmal alle Speicheradresen aus, und dann wenn sich er Punktestand ändert sucht man nach allen Variablen bei dem sich der Wert erhöht hat.

Durch ein einfaches XOR vor und nach dem verarbeiten der Variable funktioniert beides nicht mehr. (Eine gexorte Variable kann kleiner werden wenn sich der Punktestand erhöht)

Dafür gibt es natürlich noch eine Suche bei der man angibt: Hat sich verändert bzw. hat sich nicht verändert. Damit kann man die dann natürlich wieder finden. Im grunde ist es also nur ein kleiner Schutz.

Re: Anwendungsspeicher schützen
 

Deswegen würde ich noch zusätzlich eine Prüfsumme abspeichern. So kannst du beim Zugreifen auf die Variable gleich herausfinden ob sie verändert wurde. Das sollte ausreichen um die meisten Angreifer davon abzuhalten, dein Proggy zu manipulieren.

Ich würde es so machen:

und so verwenden:

Viele grüsse,
Macci

Re: Anwendungsspeicher schützen
 

Ah..danke.

Das Prinzip verstehe ich und es macht auch Sinn, aber 3 Fragen hätte ich noch:

1. Sollte xor_code nicht ein Element der Klasse TSaveInt sein, weil es ja an einigen Stellen benutzt wird und für jede Instanz einen anderen Wert übergeben kriegt.

2. Was bedeutet ein '$' am Anfang von Integern?

3. Auf der Zeile werd ich nicht ganz schlau:

soll ich mir für $ABCD und $DEF0 einfach nen eigenen Wert ausdenken?

Re: Anwendungsspeicher schützen
 

Hallo,

zu deinen Fragen:

Nein, das geht nicht (da würde sich die Katze in den Schwanz beißen). Irgendwo MUSS ja etwas im Klartext gespeichert sein, und wenn du es dennoch anders versuchen würdest, würdest du dich in einer Endlosen Rekursion von Constructoren wiederfinden. Aber keine Sorge: Mit TSearch oder ähnlichen Proggys kann man diese Variable nicht so leicht aufspüren, weil ihr Wert keinerlei Bedeutung, mit der Angreifer irgendwas anfangen könnte, für die Variablen in deinem Programm hat.
Edit: xor_code hat übrigens nur einen einzeigen Wert für das ganze Programm (nicht für jede Instanz von TSaveInt einen eigenen).

Dass eine Hexadezimale Zahl folgt.

Du kannst dir dafür natürlich auch eigene Werte ausdenken, wenn du befürchten musst, dass der Angreifer hier im Delphiforum mitliest.

Viele Grüsse,
Macci

Re: Anwendungsspeicher schützen
 

OK, das habe ich jetzt soweit verstanden, aber da kommen 2 neue Fragen auf
(Sorry dafür, aber ich will auch verstehen was ich da tue).

Warum benutzt du Hex-Werte und nicht normale Integer?

Hat xor_code := Random($40000000) + $40000000; eine spezielle Bedeutung oder ist es einfach nur so gedacht, dass der Integer keinen Überlauf kriegt?

Re: Anwendungsspeicher schützen
 

Weil $40000000 schöner aussieht als 1073741824 ;-) Außerdem kann ich mir mehr darunter vorstellen.

Ja, ich möchte dass eine positive Zahl rauskommt, allerdings soll das höchstwertige Bit dieser Zahl (nicht das Vorzeichenbit) eine 1 sein (deswegen "+ $40000000"), damit die ursprüngliche Ganzzahl möglichst gut verschleiert wird.