Delphi-PRAXiS
Seite 3 von 3     123   
40 Beiträge dieses Themas auf einer Seite anzeigen

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Programmieren allgemein (https://www.delphipraxis.net/40-programmieren-allgemein/)
-   -   Delphi ASM in Delphi "nop" umsetzen (https://www.delphipraxis.net/135542-asm-delphi-nop-umsetzen.html)

Fridolin Walther 15. Jun 2009 23:27
Re: ASM in Delphi "nop" umsetzen
 
Generell kannst Du damit Code mehr oder weniger deaktivieren. Das muss nicht zwangsläufig der Code des Kopierschutzes sein. Ein Beispiel aus der Malwarebekämpfung: Viele Conficker Remover überschreiben den injezierten Conficker Code im Speicher mit einer NOP Slide und einem kleinen Shellcode um eine aktive Infektion zu deaktivieren. Siehe dazu z.B. den Quelltext des Conficker Cleaners der Uni Bonn:

Code:
  //create nop slide
  memset(buffer, 0x90, pageSize);
  for (addr=start; addr < nopslide_end; addr+=write_size){
    write_size = min(pageSize, nopslide_end - addr);

    if (!WriteProcessMemory(hProcess, (void *) addr, buffer, write_size, &written)) PrintErrorMessage("WriteProcessMemory");
  }
Meiner Ansicht nach wäre es zwar eleganter zu überprüfen welche Threads eine Startadresse innerhalb der von Conficker erstellten Memorybereiche haben und diese dann zu suspenden bzw. zu terminieren, aber jeder macht das halt anders ;).


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:24 Uhr.
Seite 3 von 3     123   
40 Beiträge dieses Themas auf einer Seite anzeigen

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz