Programm vor Windows starten

**himitsu**

Es sind dort auch andere Programme möglich (z.B. kann sich PartitionMagic auch dort reinwurschteln) aber natürlich wird Windows davor Teilweise geladen.

**vbinsider**

Aber es gibt doch durchaus andere Programme, die während des Bootens geladen werden. Denkt mal an die Defragmentierung. Wenn ich meine Systempartition defragmentieren will, tut er das erst beim nächsten Booten. Dabei gibts dann diese Konsolenausgabe, wo z.B. steht, wieviele Sektoren meine Partition hat, etc. Also etwa die Ausgabe von CHKDSK.

Wie machen denn solche Programme das?

**MagicAndre1981**

schau mal hier:

http://www.delphipraxis.net/internal...840&highlight=

da gibts ein Beispielprogramm.

Zitat von Luckie:

Zitat von Reddog:

Also, ich möchte ein Byte an der svchost.exe verändern (ja, ich will das echt, weil ich ein Virus habe, das sich dadurch beheben lässt,

Das halte ich für ein Gerücht, dass man mit einem Byte in der svchost.exe was ändern kann.

Es gibt einen Single-Byte-Patch um die Windows-Sicherheit auszuschalten (Kernelmode natürlich).

Zitat von Reddog:

Dann ist mir aufgefallen, dass das Virus immer das 3. Byte der exe verändert zu $90.

Das ist NOP - No Operation - und damit dürfte der Virus den Darwin-Award verdienen. Allerdings ist das Dritte Byte das erste nach MZ und alle hier sollten wissen was das heißt. Dein Virus ist keiner ...

0x90 steht sehr oft hinterm MZ.

Zitat von Reddog:

Hab mal nachgelesen, dass das irgendwie die Anzahl der verwendeten Bytes im letzten Block des Programms angibt.

Häh?

Zitat von Reddog:

So verändere ich nun diese Anzahl zu dem normalen $00 oder $50(haben seltsamerweise alle Delphi Programme) dann verschwindet der Virus, wie von selbst(nach einem Ausführen der exe scheint er sich echt zu löschen).

Du willst uns alle hier verarschen, oder? April ist aber schon vorbei und noch haben wir nicht die närrische Jahreszeit.

Zitat von Reddog:

zumindestens eine datei ist vollständig sauber geworden, weil das ein Programm von mir war und ich es nochmal neu kompiliert hab zu vergleichzwecken. Nach der oben beschriebenen "Säuberung"(oder was auch immer) waren die beiden Dateien identisch. Also muss es ja vollständig weg sein. Wie er sich entfernt weiß ich nicht(vielleicht ja doch der liebe Gott?

), aber er tut's.

Virus und Virus ist nicht Einerlei. Es gibt Viren welche Dateien infizieren und solche die es nicht tun. Einer der das 3. Byte ändert klingt sehr spezifisch und - wenn er es zu 0x90 ändert - nicht sehr effizient

Zitat von Reddog:

Zu der Anmerkung mit dem Norton Antivirus. Das Programm ist nicht dumm,

Kann ich nicht bestätigen ...

Zitat von Reddog:

ich hab vorher versucht große Teile des Virus manuell zu löschen(die waren sicherlich signifikant, z.B Referenzen an den Namen des Virus, die auch immer an der gleichen Stelle zu finden waren), da hat Norton aber immer noch den Virus erkannt.

Soso. Was NAV (oder andere AVs) findet, ist noch lange nicht ein Virus oder Malware.

Zitat von alcaeus:

ich frage mich immer noch, welcher Virus deine svchost.exe kompromittieren kann. Wie du richtig erkannt hast, kannst du nicht auf die svchost.exe zugreifen, während sie läuft. Wie soll das dann ein Virus können? Sobald die exe läuft, kann die Datei nicht verändert werden, das hast du selbst erkannt. Ich kenne zwar einige Viren, die eine falsche svchost.exe in ein anderes Verzeichnis stellen und anschließend ausführen, aber nicht Viren, die die Datei verändern. AFAIK wird svchost.exe nämlich ausgeführt, bevor Autorun-Keys der Registry oder der Autostart-Ordner im Startmenü ausgeführt werden. IMHO ist dies nicht unbedingt möglich. Weiters denke ich mir, dass die Datei nicht unbedingt lauffähig ist wenn jedes 3. Byte verändert wird, und noch dazu alles auf $90.
Sag uns mal den Namen des Virus, ich hab nämlich keinen gefunden, der die von dir genannten Symptome aufzeigt.

Er sagte, der "Virus" ändere das 3. Byte, nicht jedes 3. Byte

Aber das 3. Byte tut noch garnix ... zur Erinnerung:

markieren

Code:

WORD e_cblp; // Bytes on last page of file

(3. und 4. Byte als WORD)

Zitat von JCH2k:

ein spezielles programm kann ja schon vor windows ausgeführt werden... ich denke da an partitionmagic oder den guten alten scandisk (oder wie der inzwischen heißt). mit delphi wird das aber nicht möglich sein.

Das liefe aber nicht vor Windows und ist mit Delphi allemal schwer zu erstellen. Viel Erfolg.

Zitat von scp:

JCH2k meint wohl eher dieses kleine Programm, das wie Chkdisk im "Konsolenbetrieb" vor Windows läuft.

Auch das läuft nicht vor Windows sondern im "Native mode". Also ohne Subsystem (wie bspw. Win32).

Das ist echt bitter, daß hier die restlichen Folgeposts von "vor Windows" sprechen. Bitter bitter. Leute lernt bloß mal das System kennen für das ihr angeblich programmiert. Von Programmieren kann man nämlich nicht reden solange ihr es nicht kennt.

Vor Windows wird NTLDR geladen. Vor Windows wird der Bootsektor geladen. Das BIOS/EFI läuft vor Windows. ABER SICHER NICHT CHKDSK ODER PARTITION MAGIC (und ähnliche).

Programm vor Windows starten

Re: Programm vor Windows starten

Re: Programm vor Windows starten

Re: Programm vor Windows starten

Re: Programm vor Windows starten

Forumregeln

himitsu Online Registriert seit: 11. Okt 2003 Ort: Elbflorenz 43.152 Beiträge Delphi 12 Athens	#21 Re: Programm vor Windows starten 12. Okt 2004, 14:56 Es sind dort auch andere Programme möglich (z.B. kann sich PartitionMagic auch dort reinwurschteln) aber natürlich wird Windows davor Teilweise geladen. Garbage Collector ... Delphianer erzeugen keinen Müll, also brauchen sie auch keinen Müllsucher. my Delphi wish list : BugReports/FeatureRequests
	Zitat