Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   С/С++, C#, Delphi, .NET, Asm (https://forum.antichat.xyz/forumdisplay.php?f=24)
-   -   Запрет на запуск (https://forum.antichat.xyz/showthread.php?t=85629)

Ponchik 21.09.2008 19:20
Запрет на запуск
 
В общем есть такая пробелма...
Надо запретить запускаться exe'шнику если файлы в определёной папки заменили

Тоесть есть exe'шник, нужно как-то в него записать, что если MD5 такого-то файла не равен такому-то значению, то не запускаться
Возможно-ли такое сделать? :rolleyes:

..::TROYAN::.. 21.09.2008 19:45
можно зделать типо так:
Код:
var
 s:string;
begin
s:='bI';
if s='bI' then sleep(10) //замераем на секунду
  else sleep($fffff); //если s неравно 'bI' то программа замерает до бесконечного времени=)
раньше использовал такой способ в своих прогах=)

lisa99 21.09.2008 19:47
ВКЛЮЧЕНИЕ В ТЕЛО EXE-файла СВОЕГО МОДУЛЯ

гугли.

2 вариант: сделать loader (любой язык, проверка директории + компиляция) и почистить заголовок исходного экзешника.

_antony 21.09.2008 19:59
хм первое что в голову пришло - проверку сигнатуры сделать.

SlyBit 21.09.2008 20:05
Ponchik

Тебе нужно перехватить момент создания процесса (пишешь библиотеку внедряемую во все процессы или драйвер). Упрощенно схема создания процесса выглядит так:
1) Открывается ехешник
2) CreateThread - cоздается первый поток нового процесса (он приостановлен)
3) CsrClientCallServer - происходит инициализация процесса, в этот момент он получает идентификатор.
4) ResumeThread - возобновляется выполнение первичного потока, завершается инициализация процесса.

Следовательно тебе нужно перехватывать ZwCreateThread и в ней проверять ID родителя, если он отличается от текущего процесса (GetCurrentProcessId()), то начал создаваться новый процесс. Ставишь где-нибуть метку и ждешь вызова ZwResumeThread.
Как она вызывается, проверяешь выставлена ли метка, если да, то по хэдлу потока функцией ZwQueryInformationThread определяешь имя создаваемого процесса и затем, если нужно, убиваешь его.

----added

Только сейчас заметил, что тебе нужно контроливать только один ехешник. Конечно проще заразить его кодом, подгружающим библиотеку проверяющую можно загружаться или нет. Или еще проще написать лоадер, который будет делать проверку файлов и затем в зависимоти от результата запускать или не запускать ехешник.

_antony 21.09.2008 20:11
Цитата:
Сообщение от SlyBit
Ponchik

Тебе нужно перехватить момент создания процесса (пишешь библиотеку внедряемую во все процессы или драйвер). Упрощенно схема создания процесса выглядит так:
1) Открывается ехешник
2) CreateThread - cоздается первый поток нового процесса (он приостановлен)
3) CsrClientCallServer - происходит инициализация процесса, в этот момент он получает идентификатор.
4) ResumeThread - возобновляется выполнение первичного потока, завершается инициализация процесса.

Следовательно тебе нужно перехватывать ZwCreateThread и в ней проверять ID родителя, если он отличается от текущего процесса (GetCurrentProcessId()), то начал создаваться новый процесс. Ставишь где-нибуть метку и ждешь вызова ZwResumeThread.
Как она вызывается, проверяешь выставлена ли метка, если да, то по хэдлу потока функцией ZwQueryInformationThread определяешь имя создаваемого процесса и затем, если нужно, убиваешь его.
помоему ты не правильно задание понял. Ему просто надо узнать исходные ли файлы находятся в директории(тоесть их не подменяли).

De-visible 21.09.2008 20:17
Цитата:
Сообщение от SlyBit
Ponchik

Тебе нужно перехватить момент создания процесса (пишешь библиотеку внедряемую во все процессы или драйвер). Упрощенно схема создания процесса выглядит так:
1) Открывается ехешник
2) CreateThread - cоздается первый поток нового процесса (он приостановлен)
3) CsrClientCallServer - происходит инициализация процесса, в этот момент он получает идентификатор.
4) ResumeThread - возобновляется выполнение первичного потока, завершается инициализация процесса.

Следовательно тебе нужно перехватывать ZwCreateThread и в ней проверять ID родителя, если он отличается от текущего процесса (GetCurrentProcessId()), то начал создаваться новый процесс. Ставишь где-нибуть метку и ждешь вызова ZwResumeThread.
Как она вызывается, проверяешь выставлена ли метка, если да, то по хэдлу потока функцией ZwQueryInformationThread определяешь имя создаваемого процесса и затем, если нужно, убиваешь его.

----added
Бред, ты не правильно понял вопрос ТС.
Цитата:
Сообщение от ..::TROYAN::..
можно зделать типо так:
Код:
var
 s:string;
begin
s:='bI';
if s='bI' then sleep(10) //замераем на секунду
  else sleep($fffff); //если s неравно 'bI' то программа замерает до бесконечного времени=)
раньше использовал такой способ в своих прогах=)
Нарк?тогду уж таймер можно использовать....
-----------------
ТС, объясни нормально свой вопрос многие не поняли вопроса, и я тоже не до конца....

W!z@rD 21.09.2008 20:18
вы ему еще посоветуйте драйвер написать, ddk даите и т.п.

Ponchik:
http://softsearch.ru/programs/145-444-exe-protector32-download.shtml
http://www.shram.kiev.ua/hacker/gid/exepass.shtml
http://null-team.com/2007/10/20/salfeld-exe-password-7.114.0.0-stavim.html

да и вообше:
http://www.google.ru/search?hl=ru&q=exe+%D0%BF%D0%BE%D0%B4+%D0%BF%D0%B0 %D1%80%D0%BE%D0%BB%D1%8C&btnG=%D0%9F%D0%BE%D0%B8%D 1%81%D0%BA+%D0%B2+Google&lr=&aq=f&oq=

Цитата:
Сообщение от ..::TROYAN::..
можно зделать типо так:
Код:
var
 s:string;
begin
s:='bI';
if s='bI' then sleep(10) //замераем на секунду
  else sleep($fffff); //если s неравно 'bI' то программа замерает до бесконечного времени=)
раньше использовал такой способ в своих прогах=)
горекодер, убийственный код...
Halt, ExitProcess. Exit в конце концов, отменили по дефтолу?

De-visible 21.09.2008 20:42
Цитата:
Сообщение от Ponchik
Всем спасибо, тему можно закрывать :)
/me радостный ущел страдать фигнёй :)
оффтоп, для благодарности есть репутация. Закрыто.


Время: 04:15