AW: ResourceDLL aus Speicher laden und direkt verwenden
 

Und warum der Umweg über die DLL? Pack die Ressource doch direkt in die Exe-Datei. Das macht vieles einfacher.

AW: ResourceDLL aus Speicher laden und direkt verwenden
 

...

AW: ResourceDLL aus Speicher laden und direkt verwenden
 

Welchen? Du wärst nämlich so mit der Erste.

AW: ResourceDLL aus Speicher laden und direkt verwenden
 

Den Sinn gibt es wo anders, z.B. wenn Funktionen (meist Hooks) in DLLs packen (weils ja nicht anders geht, wie viele glauben) muß und nicht will, daß jemand Anderes diese (bösen) DLLs sieht, bevor man sie überall in fremde Prozesse injiziert.

Das hier geht eher darauf hinaus, daß mein eine Datei in eine Zip steckt, welche wiederum in einer Zip liegt. :roll:

AW: ResourceDLL aus Speicher laden und direkt verwenden
 

Nein, um ehrlich zu sein hab ich das nur gemacht um meinen code, der merkwürdigerweise von ein paar antivirenprog. als malware anerkannt wird (Gen., Dropper whatever) zu verschleiern. (hat auch geklappt).

Ich schätze die Bitdefender, kaspersky etc. haben Alarm geschlagen, weil ich vorher in der Resource ja einen sehr sehr langen String hatte (RC4 kodiert), diesen dann aus der Resource lud, dekodiert habe und dann via RunPE in dem speicher executed hab..

Sollte ein, bzw. ist nun ein Runtime-Packer.

EDIT://

Nun tarne ich diesen String als .jpg z.B., dieses JPG befindet sich in einer Resourcen DLL. Diese DLL hat eine Funktion in den exports, die mir das Bild als String zurückgibt. Diese DLL ist wieder als Resource in der EXE. Die lade ich dann direkt in den Speicher, greife auf die exportierte Funktion zu und lade dann via RunPE.

AW: ResourceDLL aus Speicher laden und direkt verwenden
 

Tarnen/Verstecken macht verdächtig.

Rate mal was passiert, wenn du behauptest diese Resource sei ein Bild und die AV-Hersteller kommen irgendwann mal auf die Idee und schauen ob das wirklich ein Bild ist.
Da es kein Bild ist, würden sie dann ganz schnell wieder vor deinem Programm warnen.

Mach es wie alle anderen auch.
Wende dich an die AV-Hersteller und sag denen, das es in deinem Programm (als Anhang mitgeschickt) einen False-Positive gibt.
Dann beheben die den Fehler und man hat selber keinerlei Probleme mehr.

AW: ResourceDLL aus Speicher laden und direkt verwenden
 

Hmmmm,
überspitzt gesagt erinnert mich das an die Zeiten, als ich mich noch von Edith Blyton inspirieren ließ. Da galt das Motto, je mehr und je größer die Vorhängeschlösser sind, desto sicherer.
Daß die Rückwand des Schuppens praktisch nicht vorhanden war, tat in dem Zusammenhang nichts zur Sache.
Aber vielleicht irre ich mich ja auch....

Gruß
K-H