Forum: Win32/Win64 API (native code)
Delphi
by himitsu,
25. Feb 2009
Sagen wir es mal so, ich hab aufgehört was dagegen zu machen, da es für alles (irgendwann) Wege gibt dieses zum umgehn.
"Luckie's", nja eigentlich mehr Olli's/Windows's IsDebuggerPresent kann man leicht umbauen und in verschiedenen Varianten mehrfach im Code verstecken, aber mit "etwas" arbeit ließe sich dieses dennoch finden und umgehn.
in einem Programm hatte ich das mal (so zum Üben) an...
Forum: Win32/Win64 API (native code)
Delphi
by himitsu,
25. Feb 2009
man schleüßt ja meinst den Code in das laufende Programm ein
und Exe-Crypter verschlüsseln nur die Exe, aber das laufende Programm muß ja entschlüsselt sein, sonst läuft es nicht.
Und selbst wenn, bestellt man sich bei Windows etwas Speicher, copiert seinen Code dort rein und läßt ihn ausführen.
Du müßtest also irgendwie den Remote-Zugriff anderer Programme verhindern.
Forum: Win32/Win64 API (native code)
Delphi
by himitsu,
25. Feb 2009
von einem Fremdprozeß aus wird man eine interne Funktion wohl nicht direkt anspringen können, dafür wird er schon deinen Prozeß verändern müssen (evtl. Code einschleusen)
Wenn du weißt von wo aus deine Funktion aufgerufen wird, könntest du den Stack prüfen.
(z.B. wohin zurückgesprungen wird, nachdem deine Funktion abgerbeitet wurde)
