DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen
 

Hallo,
ich verteile mein Programm als mit Winrar erzeugter, selbstauspackender Exe (das eigentliche Setup ist mit Innosetup gebaut).
Angeblich soll diese Exe die Dll DXGIDebug.dll nachladen, wenn Sie im Pfad der gepackten Exe liegt.

Weiss jemand, was das heißt?

AW: DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen
 

Verwendet WinRAR oder InnoSetup DirectX?

Das ist eine Debug-Schnittstelle für Microsoft's DirectX Graphics Infrastructure (DXGI)

AW: DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen
 

Hallo,
Der Self-Extract-Teil von Winrar lädt Dll's aus dem Verzeichnis der Exe nach,
u.a. diese DirectX-Dll.

AW: DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen
 

Joar, wie wäre es dann mit 7zip statt WinRAR für SelfExtract?


Hast 'ne alte Version von WinRAR?

In deren Readme klingt es so, als wenn die das gebugfixt haben und sich vor sowas schützen. :roll:
https://www.rarlab.com/rarnew.htm

AW: DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen
 

Hallo,
ich habe die aktuellste Version.
Die macht zwar einige Sachen, aber die betreffende Dll wird zuerst geladen
und erst danach kommt eine Fehlermeldung.

Nunja:
Ich muss mir das mal genauer ansehen.

AW: DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen
 

Hallo,
so habe gerade mal schnell eine Dll geschrieben,
und in der Tat, die DLL wird geöffnet,
aber nicht über LoadLibrary, sondern über CreateFile.
Und dann kommt ein Hinweis, dass diese Datei entfernt werden muss,
sonst geht es nicht weiter.

Hm.

AW: DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen
 

Ist das jetzt nur ein DLL-Hook-Schutz
oder doch gar 'ne Art autmatsche gefundene DLL-Plugin-System? :gruebel:

AW: DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen
 

Hallo,
so richtig werde ich damit auch nicht schlau.

AW: DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen
 

Nja, aktuell sieht es ja erstmal nur so aus, dass "diese" DLLs nur zur Analyse binär geladen werden.
k.A. ob und was passiert, wenn eine DLL den Test besteht.

Also LoadLibraryEx mit LOAD_LIBRARY_AS_DATAFILE und DONT_RESOLVE_DLL_REFERENCES,
aber auf keinen Fall mit LOAD_LIBRARY_SEARCH_APPLICATION_DIR.
Oder einfach direkt LOAD_LIBRARY_SEARCH_SYSTEM32. :stupid:
Abgesehn davon, dass Windows selbst schon jahrelang einen Schutz integriert hat, wodurch System-DLLs nicht aus dem Programmverzeichnis geladen werden, damit man z.B. keine kernel32.dll als billigen Hook da rein legen kann. :cry:

Ich sag ja 7zip, dann hättest dir jetzt den Quellcode des Self-Extract angucken können. :zwinker:



Ich dachte erst da findete man 200 Milliarden Einträge zu winrar load dll, aber geht scheinbar alles nur um UNACEV2.DLL und viele Seiten sind nur Kopieen des selben Artikels.

und mittendrin: Nordkoreas neues Antivirusprogramm ist eigentlich eine über 10 Jahre alte Antivirus-Engine von Trend Micro, mit vielen Whitlists der eigenen Staatstrojaner.
Da frag ich mich grade, ob der deutsche Staatstrojaner von unseren Programmen gefunden wird.


Wir haben doch unseren eigenen Antivirusguru hier im Forum.
Hatte vergesen wie er hieß, aber mußte hier ja nur nach Neuseeland suchen, und dann nochmal nach Island, als ich meinen Fehler bemerkte. :oops:
Falls es was Böses ist, dann weiß Assarbad es bestimmt zuerst.

AW: DXGIDebug.dll wird angeblich von mit WinRar erzeugter Setup-Exe geladen
 

Hallo,
so, bin etwas weiter.

Aktuelle WinRar-Version 5.80:
Das Laden der DirectX-Dll und aller weiteren wird jetzt verhindert.

Aber:
Es gibt ein QueryImage "<pi-ms-win-core-synch-l1-2-0.dll" (ja mit < am Anfang, was laut Dateisystem gar nicht geht)
Was ist das denn?