Hi,
Ich bin beim Durchlesen von alten Artikeln auf eine für mich persönlich sehr interessante Methode von Hagen gestossen, ein Programm zu schützen - siehe hier
Als Programmieranfänger würde mich sehr sehr interessieren wie man so was hinbekommt.
Den relevanten Teil markieren mit ASM Anweisung mit "CODESTART" und "STOPCODE" markieren und mit einem externen Programm die passende Stelle dazwischen verschlüsseln, das würde ich noch hinkriegen.

Nun meine Fragen:
-Doch wie kann ich während das Programm läuft, das Programm im Speicher entschlüsseln und die Funktionen darin aufrufen?
-wie kann man das von Hagen genannte "Structured Exception Handling = SEH" realisieren ?



jus

*push*

jus

Kann mir denn wirklich keiner helfen?

Da es anscheinend niemand interessiert, muß man sich selbst helfen. Die letzten paar Tage habe ich versucht etwas brauchbares in die Richtung zu finden. Nun bin ich auf den Befehl "ReadProcessMemory" und "WriteProcessMemory" gestossen. Vielleicht kann mir diesesmal jemand sagen, ob ich mich auf den richtigen Weg befinde, oder es eine Sackgasse ist.

Nun meine Fragen dazu:

-Kann ich einfach ohne jegliche Vorbereitung einfach den entschlüsselten Programmteil zwischen "CODESTART" und "STOPCODE" mit WriteProcessMemory in meine markierte Programmstelle reinschreiben?
-und wie finde ich die markierte Stelle bei einem laufenden Programm im Speicher?

Vielen vielen Dank für die Antwort im voraus!

jus

Ich würd mal sagen irgendwie so:
!!! keine Garantie, daß mein BeispielCode funktioniert, ist halt nur ein grobes Beispiel

@himitsu
Zunächst vielen vielen Dank! Leider funktioniert es nicht.
Ich versuche mit Readprocessmemory die CodeStart Stelle bis Stopcode auszulesen.
ReadProcessMemory(HandleWindow,ptr(SpeicherAdresse),buf,CodeGroesse,BytesRead); Das Problem ist nur, dass ich überhaupt nicht weiß, wie ich die Codestart Stelle als SpeicherAdresse für Readprocessmemory finden/übergeben kann.
Ich habe sogar versucht mit folgendes Adresse zu finden. Leider ohne Erfolg.
jus

Motzi hatte mal so etwas als Anticrackschutz implementiert. War aber etwas kompliziert. Schreib ihm mal eine PN und weis ihn auf diesen Thread hin. Kan aber sein, dass er nicht gleich antwortet, weil er zur Zeit ziemlich beschäftigt ist.

@Luckie
Werde ich machen, vielen Dank für den Tipp!

Ich habe zumindest den ersten Schritt, die markierte Stelle im Speicher zu finden, nun hingekriegt.

Wie gesagt, wenn du innnerhalb deines eigenen Programms daten auslesen willst, kannst du das direkt machen und mußt nicht über Read-/WriteProcessMemory gehen.

Du hast also sofort einen Pointer auf den StartCode, welchen man z.B. einfach kopieren könnte
Und schon hast du eine Kopie des Codes in einen neuen Speicherbereich (P) kopiert und kannst damit machen, was du willst.

z.B. den ausgelesenen Teil wieder entschlüsseln und dann die enthaltene Prozedur aufrufen.
wobei im OriginalCode die Prozedur ProtectedCode ja eine bestimmte Anzahl an Bytes hinter der dem StartCode liegt, also liegt jetzt die entschlüsselte Prozedur die selbe Anzahl Bytes hinter dem StartCode im neuen Speicherbereich, wo du diese nun aufrufen könntest.

ProtectedCode - StartCode = Anzahl der Bytes (Abstand)
Vergiß aber nicht die Hinweise von Hagen ... es darf nichts in der gesicherten Funktion/Prozedur drin sein, was mit relativen Sprüngen etwas außerhalb versucht anzuspringen, es sei denn du holst dir vorher die direkten adressen und springst diese an (wie hier z.B. die neue Adresse der Prozedure ProtectedCode ermittelt und angesprungen wurde).

@himitsu
Zunächst einmal vielen vielen Dank, dass du mich unterstützt bei meinem Vorhaben.
Ich bin eigentlich nur über ReadProcessMemory gegangen, weil "Move(StartCode, P, StopCode - StartCode + 1)" irgendwie Probleme (Exception wird ausgelöst) bereitet.

Das mit den relativen Sprüngen wird wohl noch eine Grosse Hürde sein. Aber derzeit suche ich noch eine Methode aus der project1.exe die relevante Stelle zwischen CODESTART und CODESTOP auszulesen.
Ein Problem, das ich auf mich zukommen sehe, ist, dass die Verschlüsselungslänge wahrscheinlich länger sein kann als die ursprüngliche Länge. Das muß ich auch noch irgendwie hinkriegen.
Also wenn jemand zu meinen Problem Lösungsvorschläge weiß, bin ich ganz Ohr.



jus

Wieso ? Die meisten sicheren symmetrischen Algorithmen können Daten inplaced verschlüsseln. In meinem damaligem Anti-Cracking-Program habe ich direkt nach "CODESTART" noch 256 Bytes an Zufallsdaten eingebettet. Das "Registrationspasswort" ware ebenfalls per Zufall gewählt. Als Verschlüselungsalgo. hatte ich einen modifizierten RC4 benutzt. Suche mal hier in er CodeLib nach RCx.

Ich empfehle dir aber in meinem DEC den IDEA Cipher anzuschauen. Dieser Cipher hat asymmetrische Ver- und Entschlüsselungsfunktionen. Mit asymmetrisch sind nicht die bekannten Verfahren gemeint sondern in diesem Fall der fakt das die Verschlüsselungsfunktion nicht die gleiche ist wie die Entschlüsselungsfunktion, und das im matheamtischen Sinne eine inverse Funktion darstellt die das multiplikative Inverse benötigt. Erwähnen tue ich dies weil du nun zb. IDEA zerpflücken könntest und nur die Entschlüsselungsfunktion in deine EXE integrierst, mit leichten Abwandlungen. Nur wer die Ver-schlüsselungsfunktion dazu kennt kann also auch den Schutz deiner EXE reimplementieren und somit einen echten Keygen programmieren.

Gruß Hagen