Prüfsumme des eigenen Programs im Speicher ermitteln
Hallo Liebe Delphi Freunde,
ich möchte gerne eine Prüfsumme meines eigenen Programs im Speicher ermitteln. Es geht mir nicht darum, wie die Prüfsumme ermittelt wird oder welchen Algo ich dafür verwenden muss, sondern wie ich herausbekomme wo im Speicher sich mein Program befindet und wie ich in einer Schleife schnell wie Werte auslesen kann. Es geht darum zur Laufzeit zu überprüfen, ob mein Programm gepatched oder verändert worden ist. Habe schon alles durchsucht, aber leider nichts gefunden. Über jegliche Tips und Hilfestellungen würde ich mich sehr freuen. Danke.... Jasmine :cat: |
Re: Prüfsumme des eigenen Programs im Speicher ermitteln
Gepatcht im Vergleich zu was? Das Image sieht im Speicher schonmal anders aus als auf der Platte, das ist hoffentlich klar?!
Das sog. Modulhandle ist die Adresse deines Moduls im Speicher. Die Größe kannst du durch APIs (VirtualQuery/VirtualQueryEx) oder Auslesen des PE-Headers ermitteln. Danach mußt du nur noch sicherstellen, daß du auf alle Speicherstellen Lesezugriff (VirtualProtect/VirtualProtectEx) hast und es würde funktionieren ... Moduladresse in PDWORD casten und DWORD-weise und superschnell auslesen. Kein Problem. |
Re: Prüfsumme des eigenen Programs im Speicher ermitteln
Hallo Olli,
danke für die schnelle Antwort. Es geht mir natürlich nur um den Programspeicher im Vergleich zu einer festen, vorher ermittelten Prüfsumme des compilierten Programms, also der .exe Datei. Jasmine :cat: |
Re: Prüfsumme des eigenen Programs im Speicher ermitteln
Hallo,
du könntest die Prüfsumme im Header der EXE unterbringen und dann zur Laufzeit mit der aktuellen Prüfsumme vergleichen. Hier findest du den "DEC Cipher" von Hagen (negaH). Da meine ich war eine große Demo dabei, die auch die Prüfsumme in ihrem eigenem Header speichert. Florian |
Re: Prüfsumme des eigenen Programs im Speicher ermitteln
Zitat:
All dieses verhindert einen einfachen Algorithmus zur Ermittlung einer Prüfsumme zu programmieren. Zudem ist es dann sogar abhängig von der jeweiligen OS Version. Unveränderlich kann man aber das Image der EXE auf Platte ansehen. Weshalb auch MS die Digitalen Signaturen zum Scutz dieser Images einfach hinten an die EXE dranhängt. Das was du suchst gibt es also schon, Stichwort Codesignaturen. Gruß Hagen |
Re: Prüfsumme des eigenen Programs im Speicher ermitteln
Ui, gar nicht so einfach, wie ich dachte.
Danke für die Tips und Erklärungen. Werde wohl dann mal versuchen soeine Codesignatur zu erstellen, bzw. eine Prüfsumme der .exe und dann im laufenden Programm überprüfen, ob die .exe verändert worden ist. Versuche dann, wie Flo schon meinte, die Prüfsumme im Header unterzubringen oder am Ende der .exe anhängen. Jasmine :hi: |
Re: Prüfsumme des eigenen Programs im Speicher ermitteln
Hänge sie hinten an. Im Header wäre zwar noch platz aber exakt an dieser Stelle würden Viren zb. Manipulationen vornehmen die eventuell deine Signatur zerstören könnten.
Allerdings schützt diese Methode eben nicht vor dem "dynamischen Patchen" durch unbefugte Programme während der Laufzeit. Gruß Hagen |
Re: Prüfsumme des eigenen Programs im Speicher ermitteln
Zitat:
genau sowas wollte ich auch machen, hast du es mittlerweile geschafft ? Oder kann mir jemand anderes Tipps geben wie man sowas sehr einfach realisieren könnte ? Thx |
Re: Prüfsumme des eigenen Programs im Speicher ermitteln
Hm, ich such wirklich nach ner ganz einfachen Variante, keiner ne Idee ? :cry:
|
Re: Prüfsumme des eigenen Programs im Speicher ermitteln
Zitat:
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 01:28 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz