Delphi-PRAXiS - Delphi programm vor injection schützen

Delphi-PRAXiS

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)

- Win32/Win64 API (native code) (https://www.delphipraxis.net/17-win32-win64-api-native-code/)

- - Delphi programm vor injection schützen (https://www.delphipraxis.net/120760-programm-vor-injection-schuetzen.html)

fr4gz

16. Sep 2008 10:56

programm vor injection schützen

Morgen,
Ich würde mein Programm gern vor "dll injection schützen" ich weiß es gibt kein 100% schutz,
trozdem würd mich über diverse Ideen & Vorschläge freuen.

Schönen Tag

sirius

16. Sep 2008 11:40

Re: programm vor injection schützen

Ohne CreateRemoteThread hat es eine DLL/code-Injection schon recht schwer. Also könnte man versuchen dies zu unterbinden.

fr4gz

16. Sep 2008 13:01

Re: programm vor injection schützen

also für meine Zwecke genügt es auch zu wissen ob eine fremde dll in mein programm injiziert wurde.

So in etwa
> jemand startet mein programm und injeziert eine fremde dll.., ab dieses zeitpunkt sollte mein tool darauf reagieren und sich schließen.

Ich könnte doch beim Start des Programms alle geladenen Module auflisten lassen und wenn sich in der liste was änder dementpsrechend handeln.
Nur sollte er unterscheiden können zwischen standard Module z.b (kernel32.dll) und fremd Module

greetz

Luckie

16. Sep 2008 13:04

Re: programm vor injection schützen

Lies aus den Versionsinformationen den Hersteller aus. Das setzt allerdings vorraus, dass Microsoft überall auch sich als Hersteller eingetragen hat.

Bernhard Geyer

16. Sep 2008 13:21

Re: programm vor injection schützen

Und was machst du mit oft gewünschte DLL's wie Grafikkarten-Desktoperweiterungen, Telefonanlagen-Apps, ...?

Apollonius

16. Sep 2008 14:31

Re: programm vor injection schützen

Und was machst du, wenn der Eindringling die Aufzählungsfunktionen hookt? Das kannst du nur mit riesigem Aufwand umgehen.

fr4gz

17. Sep 2008 14:08

Re: programm vor injection schützen

mh stimmt auch wieder..
der vergleich mit den Versionsinformationen/Produktname funktioniert zwar , ich bekomm schon mal ne kürzere Liste was die geladenen Module betrifft.. ich müsste jetz nur noch eine whiteliste erstellen für z.b f+r Xfire etc aber ich das möchte ich gerne vermeiden ..

hat irgendwer noch ne andere idee?

danke schon mal

greetz

brechi

17. Sep 2008 18:03

Re: programm vor injection schützen

Mir persönlich fällt im Moment keine Möglichkeit ein, die so sicher ist, dass ich sie nicht selbst mit ein paar Zeilen Code umgehen könnte.

Das einfachste wäre du startest dein Programm nocheinmal selbst (d.h. man müsste Aufwand reinstecken um in die zweite Instanz eine dll VOR Start des Programm zu injecten) und liest direkt beim Start der zweiten Instanz die geladenen Module aus und vergleichst sie in bestimmten Invervallen.
Ist aber nur 4-5 Minuten mehr Arbeit für einen "guten" Hacker, Skriptkiddies (sofern Sie keine stealth.dll laden) erstmla schwerer haben.

inherited

17. Sep 2008 18:28

Re: programm vor injection schützen

Wie wäre es das ganze als Treiber zu konzepieren? IMHO sind die um einiges besser geschützt.

Alle Zeitangaben in WEZ +1. Es ist jetzt 22:21 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz