Delphi-PRAXiS
Seite 3 von 3     123   

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Win32/Win64 API (native code) (https://www.delphipraxis.net/17-win32-win64-api-native-code/)
-   -   Delphi Programm vor Windows starten (https://www.delphipraxis.net/31431-programm-vor-windows-starten.html)

himitsu 12. Okt 2004 14:56

Re: Programm vor Windows starten
 
Es sind dort auch andere Programme möglich (z.B. kann sich PartitionMagic auch dort reinwurschteln) aber natürlich wird Windows davor Teilweise geladen.

vbinsider 9. Sep 2006 06:15

Re: Programm vor Windows starten
 
Aber es gibt doch durchaus andere Programme, die während des Bootens geladen werden. Denkt mal an die Defragmentierung. Wenn ich meine Systempartition defragmentieren will, tut er das erst beim nächsten Booten. Dabei gibts dann diese Konsolenausgabe, wo z.B. steht, wieviele Sektoren meine Partition hat, etc. Also etwa die Ausgabe von CHKDSK.

Wie machen denn solche Programme das?

MagicAndre1981 9. Sep 2006 09:59

Re: Programm vor Windows starten
 
schau mal hier:

http://www.delphipraxis.net/internal...840&highlight=

da gibts ein Beispielprogramm.

Olli 9. Sep 2006 10:18

Re: Programm vor Windows starten
 
Zitat:

Zitat von Luckie
Zitat:

Zitat von Reddog
Also, ich möchte ein Byte an der svchost.exe verändern (ja, ich will das echt, weil ich ein Virus habe, das sich dadurch beheben lässt,

Das halte ich für ein Gerücht, dass man mit einem Byte in der svchost.exe was ändern kann.

Es gibt einen Single-Byte-Patch um die Windows-Sicherheit auszuschalten (Kernelmode natürlich).

Zitat:

Zitat von Reddog
Dann ist mir aufgefallen, dass das Virus immer das 3. Byte der exe verändert zu $90.

Das ist NOP - No Operation - und damit dürfte der Virus den Darwin-Award verdienen. Allerdings ist das Dritte Byte das erste nach MZ und alle hier sollten wissen was das heißt. Dein Virus ist keiner ...

0x90 steht sehr oft hinterm MZ.

Zitat:

Zitat von Reddog
Hab mal nachgelesen, dass das irgendwie die Anzahl der verwendeten Bytes im letzten Block des Programms angibt.

Häh?

Zitat:

Zitat von Reddog
So verändere ich nun diese Anzahl zu dem normalen $00 oder $50(haben seltsamerweise alle Delphi Programme) dann verschwindet der Virus, wie von selbst(nach einem Ausführen der exe scheint er sich echt zu löschen).

Du willst uns alle hier verarschen, oder? April ist aber schon vorbei und noch haben wir nicht die närrische Jahreszeit.

Zitat:

Zitat von Reddog
zumindestens eine datei ist vollständig sauber geworden, weil das ein Programm von mir war und ich es nochmal neu kompiliert hab zu vergleichzwecken. Nach der oben beschriebenen "Säuberung"(oder was auch immer) waren die beiden Dateien identisch. Also muss es ja vollständig weg sein. Wie er sich entfernt weiß ich nicht(vielleicht ja doch der liebe Gott? :mrgreen:), aber er tut's.

Virus und Virus ist nicht Einerlei. Es gibt Viren welche Dateien infizieren und solche die es nicht tun. Einer der das 3. Byte ändert klingt sehr spezifisch und - wenn er es zu 0x90 ändert - nicht sehr effizient :mrgreen:

Zitat:

Zitat von Reddog
Zu der Anmerkung mit dem Norton Antivirus. Das Programm ist nicht dumm,

Kann ich nicht bestätigen ...

Zitat:

Zitat von Reddog
ich hab vorher versucht große Teile des Virus manuell zu löschen(die waren sicherlich signifikant, z.B Referenzen an den Namen des Virus, die auch immer an der gleichen Stelle zu finden waren), da hat Norton aber immer noch den Virus erkannt.

Soso. Was NAV (oder andere AVs) findet, ist noch lange nicht ein Virus oder Malware.

Zitat:

Zitat von alcaeus
ich frage mich immer noch, welcher Virus deine svchost.exe kompromittieren kann. Wie du richtig erkannt hast, kannst du nicht auf die svchost.exe zugreifen, während sie läuft. Wie soll das dann ein Virus können? Sobald die exe läuft, kann die Datei nicht verändert werden, das hast du selbst erkannt. Ich kenne zwar einige Viren, die eine falsche svchost.exe in ein anderes Verzeichnis stellen und anschließend ausführen, aber nicht Viren, die die Datei verändern. AFAIK wird svchost.exe nämlich ausgeführt, bevor Autorun-Keys der Registry oder der Autostart-Ordner im Startmenü ausgeführt werden. IMHO ist dies nicht unbedingt möglich. Weiters denke ich mir, dass die Datei nicht unbedingt lauffähig ist wenn jedes 3. Byte verändert wird, und noch dazu alles auf $90.
Sag uns mal den Namen des Virus, ich hab nämlich keinen gefunden, der die von dir genannten Symptome aufzeigt.

Er sagte, der "Virus" ändere das 3. Byte, nicht jedes 3. Byte ;)
Aber das 3. Byte tut noch garnix ... zur Erinnerung:

Code:
    WORD  e_cblp;                     // Bytes on last page of file
(3. und 4. Byte als WORD)

Zitat:

Zitat von JCH2k
ein spezielles programm kann ja schon vor windows ausgeführt werden... ich denke da an partitionmagic oder den guten alten scandisk (oder wie der inzwischen heißt). mit delphi wird das aber nicht möglich sein.

Das liefe aber nicht vor Windows und ist mit Delphi allemal schwer zu erstellen. Viel Erfolg.

Zitat:

Zitat von scp
JCH2k meint wohl eher dieses kleine Programm, das wie Chkdisk im "Konsolenbetrieb" vor Windows läuft.

Auch das läuft nicht vor Windows sondern im "Native mode". Also ohne Subsystem (wie bspw. Win32).

Das ist echt bitter, daß hier die restlichen Folgeposts von "vor Windows" sprechen. Bitter bitter. Leute lernt bloß mal das System kennen für das ihr angeblich programmiert. Von Programmieren kann man nämlich nicht reden solange ihr es nicht kennt.

Vor Windows wird NTLDR geladen. Vor Windows wird der Bootsektor geladen. Das BIOS/EFI läuft vor Windows. ABER SICHER NICHT CHKDSK ODER PARTITION MAGIC (und ähnliche).


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:59 Uhr.
Seite 3 von 3     123   

Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz