Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
[Win32] сварганил прогу вообще без импортов 20.11.01 15:13 Число просмотров: 1009
Автор: z0 <z0> Статус: Member
|
> 1) про GetModuleHandle() я сказал потому что тогда не > придётся искать imagebase kernel32.dll > прога без импортов конечно прикольно, но это не особо > сильная защита - ещё спорный вопрос - кому больше проблем > это доставит - тебе или взломщикам
да собственно столько же проблем сколько хорошо сделанный PE-packer
т.е. обычно не очень много
зависит от качества блока шифрования и характера работы проги
но согласись что можно сделать прогу ОЧЕНЬ трудно дизассемблируемой
> > 2) вот с копией длл - это и правда может быть полезно > только я сомневаюсь что так всё просто пройдёт > имхо не достаточно переписать релокейшены > (особенно в 9х, где kernel32.dll мягко говоря не совсем > обычная длл) :)
да уж точно
> но даже в нт - там могут быть shared-области, какая то > инициализация
инит уже прошел при загрузке длл
а шаред - есть конечно например TickCount
насколько они нужны в конкретном случае выясняется экспериментом
> а если будешь вызывать её entry point, то повторная > инициализация тоже может каких-нить глюков наделать
это точно делать нельзя да и не нужно вроде
> хотя в нт скорее всего должно получится > но вот в 9х... > > кстати если не лень, лучше попробуй часть кода засунуть > например в explorer > или даже во все запущенные gui-приложения > только как это всё синхронизировать и учитывать когда > закрывается одно из приложений :) > тогда кому то придётся трассировать сразу несколько > процессов :)
под 9х я засовывал код в область мессаг какого-нибудь драйвера
и там синхронизировать не надо конечно ничего
но под нт ни фига не пролезешь в ринг0 без патча ядра
по поводу синхронизации разных потоков/задач - это ловится легко на практике на ф-иях евентов (вот недавно совсем было - CreateTimer/KillTimer)
и вот тут кстати и вылезут те самые шаред о которых ты говорил
т.е. я еще не пробовал но убежден что при работе на своей копии кернел32 с ф-иями евентов глюки гарантированы
тогда уж лучше multi-step а в идеале real-time расшифровка кода
кстати тоже очень интересная тема но как-нибудь в другой раз
|
|
|