Конференция VBStreets

[$Yastrebov$]

Уважаемые форумчани. Разъясните, пожалуйста, как запретить другому приложению внедряться в ПАМЯТЬ моего приложения и читать\изменять ее? Возможно средства VB позволяют ее шифровать. Это было бы шикарно. Как вообще работают подобные кряки и какие есть способы борьбы с ними?

Просьба, по возможности, вникнуть в суть проблемы и отнестись с лояльностью к постановки самого вопроса!!! Спасибо.

[Хакер]

Разъясните, пожалуйста, как запретить другому приложению внедряться в ПАМЯТЬ моего приложения и читать\изменять ее?

Видишь ли в чём дело.
Способы запретить это делать есть (но обходимы), но они работают только тогда, когда приложение работает. Когда приложение -- просто файл, его кто-угодно можно открыть и внедрить туда то, что захочется.

Возможно средства VB позволяют ее шифровать.

Кого шифровать? Память? Если да, то это глупость. Память это не что-то такое, что можно было бы шифровать. Память это сликшом абстрактная вещь, чтобы говорить о её шифровании в целом. Какую-то область в памяти можно зашифровать, да. Но ведь можно будет и расшировать? А если так, то её расширфуют и смысл шифрования пропадёт.

Как вообще работают подобные кряки и какие есть способы борьбы с ними?

Какие подобные? Кряки вообще все работают по разному. Только суть одна и та же.
Способов борьбы с кряками нет. Технических; отстрел крякописателей не считается. Есть только способы усложнить процесс написания кряков, сужая тем самым круг тех крякописателей, которым подсилу будет написать кряк.

[$Yastrebov$]

Способы запретить это делать есть (но обходимы), но они работают только тогда, когда приложение работает.

Очень интересует максимальная информация по данному вопросу с вариантом именно работающей программы на VB.

Какие подобные? Кряки вообще все работают по разному.

Интересовали именно те, которые внедряются в ПАМЯТЬ процесса. Файловые, подмена exe, замена ключей реестра и декомпиляторы - не интересуют.

ВАЖНО:
Ведь тот же файрвол (в моем случае Outpost) реагирует на внедрение другого процесса в чужой, а даже не свой!

[Хакер]

Скажи, ты понимаешь, что всё то, что применимо ко "внедрению в память", в той же степени применимо и к "внедрению в exe-файл"?

ВАЖНО:
Ведь тот же файрвол (в моем случае Outpost) реагирует на внедрение другого процесса в чужой, а даже не свой!

Антивирусы и файрволы перехватывают ядерные сервисы. Поскольку запись в АП чужого процесса происходит с участием ядра, файрволы и антивирусы легко замечают подобные действия.

[$Yastrebov$]

Нет, видимо, понимал не совсем. Теперь понимаю намного лучше. Тобишь, если exe не запущен, то и отловить не выйдет. В случае служб я так понимаю также?!

[$Yastrebov$]

А как перехватить это внедрение, если мой exe-шник запущен!

[Хакер]

Теперь понимаю намного лучше. Тобишь, если exe не запущен, то и отловить не выйдет.

Ты не хочешь чтобы в памяти твоего процесса оказался инородный код?
Ты можешь отлавливать и запрещать другим процессам попытки записать что-то в свою память.

Но заинтересованные запишут этот инородный код в exe файл (который ничем не отличается от любого другого файла -- просто файл, и в него можно просто записать что-то), и при запуске этот (записанный в exe) инородный код всё равно окажется в памяти процесса.

Так что твой процесс может сколько угодно защищать своё адресное пространство от вмешательств, только вот это ему никак не поможет, если вмешательство было произведено до запуска.

В случае служб я так понимаю также?!

Чё?

[$Yastrebov$]

Хакер, я знаю, что ты очень способный и разбирающийся человек. Читал твои толковые посты. Но... в данном случае, ты почему-то разводишь руками и говоришь, что мол "забей", все равно "заинтересованные запишут этот инородный код" и взломают твою драгоценную программу. А я ведь прошу решения (примера). Ты можешь помочь?

Просто чем больше я вчитываюсь в твои посты - тем больше я путаюсь. Я знаю, что прогу взломали. Знаю как. Ее нужно пофиксить. Пытаюсь найти решение, а получаю реквием.

[$Yastrebov$]

Так что твой процесс может сколько угодно защищать своё адресное пространство от вмешательств, только вот это ему никак не поможет, если вмешательство было произведено до запуска.

Некий exe-шник сам запускает мою прогу и меняет в ней память. Ему мешает файрволл, но для теста я его пропускаю. Программа взломана.
Есть решение?

[Хакер]

в данном случае, ты почему-то разводишь руками и говоришь, что мол "забей", все равно "заинтересованные запишут этот инородный код" и взломают твою драгоценную программу. А я ведь прошу решения (примера). Ты можешь помочь?

Я просто не в вижу в данном случае смысле вешать на парадную дверь кодовый замок с интегрированным лазером, отстреливающим медвежатников, если есть ещё и чёрный вход, где вообще отсутсвует дверь.

[Хакер]

Некий exe-шник сам запускает мою прогу и меняет в ней память. Ему мешает файрволл, но для теста я его пропускаю. Программа взломана.
Есть решение?

Да, решение есть. Но есть и решение против этого решение. И решение против [решения против решения]. И против этого, тоже найдётся решение. И так до бесконечности.

Т.е., да, можно сделать так, что exe-шник не сможет поправить память твоего процесса. Но автор exe-шника сможет обойти эту защиту. А ты -- его. А он твою.

Вопрос только в том у кого первым закончатя знания и догадливость. Абсолютной же защиты нет и не будет.

[$Yastrebov$]

Застрелиться.... Стало все намного яснее.... (((((((

[Хакер]

Но это что касается правки памяти уже работающего процесса. Автор exe-шника может чуть изменить логику и править не память, а править файл-образ приложения.

Тут технической защиты нет.

[$Yastrebov$]

Т.е., да, можно сделать так, что exe-шник не сможет поправить память твоего процесса.

Пример кода покажи, пожалуйста?

[Хакер]

Примера кода у меня нет, а времени чтобы написать грамотный пример -- нет тоже. Могу направить только в нужную сторону.

[$Yastrebov$]

Направляй

[Хакер]

В системе можно определить для каждого объекта, кому и что можно делать с ним. В том числе и для объекта процесса.

Для управления всем этим суещствует множество API-функций, экспортируемых advapi32.

Копать в сторону SECURITY_DESCRIPTOR, ACL и ACE.

[$Yastrebov$]

У кого есть еще какие варианты? Может исходничек найдется?

[Williams]

Темы, где обсуждаются методы защиты программы от крэкеров, практически бессмертны, возрождаются как Фениксы вновь и вновь. Особенно на этом форуме.

[SLIM]

Раньше здесь была ссылка

[Хакер]

SLIM
Ты не в теме. Не надо давать ссылки на статьи только потому, что название этих статей похожи на название темы.

[$Yastrebov$]

Я так и не нашел ничего путнего по этой теме(((

А можно ли отследить в Form_Initallize чем запущена программа.
Если запущена из другой программы (кряка), то аварийно вырубать?

[Хакер]

А можно ли отследить в Form_Initallize чем запущена программа.

Судя по всему, ты ничерта не понимаешь, что такое Form_Initialize.

Кряк эту защиту (если ты её сделаешь) легко отрубит, прежде чем запустит тебя.

[$Yastrebov$]

Хакер, у тебя поразительная способность говорить не о чем.

Может я и ни черта не понимаю, но хоть пытаюсь что-то предпринять. А ты только критикуешь мои решения, осуждаешь попытки других помочь мне, а сам НИЧЕГО кроме этого не пишешь. У тебя нет времени помочь с кодом, зато есть время разводить демагогию.

Для меня из всех постов тут стал более полезным единственный пост SLIMа пусть и действительно не совсем по теме но в том же направлении. А твоя демагогия никому не нужна. Знаешь - напиши решение. Зачем быть занудой???

[Хакер]

Хорошо, да поможет тебе SLIM.

[$Yastrebov$]

Чего от тебя и следовало ожидать!

[Хакер]

Конечно.

От меня (как и от любого здравомыслящего человека без мазахостических наклонностей) следует ожидать, что я прекращу помогать человеку, который:
а) неадекватно реагирует на замечания (весь этот топик, ссылка, ссылка)
б) по любому поводу просит пример (ссылка, ссылка, ссылка)
в) расценивает помощь как непомощь, а непомощь соотвественно -- как помощь.

Поскольку:
1) Имеют место быть все три вышеназванных фактора.
2) Моя помощь тебе не нравится, а помощью SLIM-а ты доволен.
я прекращаю участие в этой теме и желаю тебе удачи в разрешении этой проблемы с помощью SLIM-а и прочих лиц, дающих ссылки на совершенно левые статьи.

[Alprog]

А может можно проверить, изменён ли экзешник?
Какая-нибудь хитроумная контрольная сумма экзе-файла.
Награни бреда, конечно, да и взломщик может изменить функцию, проверяющую контрольную сумму, но мало ли.

[Хакер]

Награни бреда, конечно, да и взломщик может изменить функцию, проверяющую контрольную сумму, но мало ли.

В это всё дело.
Внедряемый код может:
Во-первых, нейтрализовать механизм проверки контрольной суммы.
Во-вторых, сделав свои дела, подчистить за собой АП так, чтобы механизм проверки ничего не заметил.

[SLIM]

я прекращаю участие в этой теме и желаю тебе удачи в разрешении этой проблемы с помощью SLIM-а и прочих лиц, дающих ссылки на совершенно левые статьи.

я то тебе чем не угодил. Ну дал ссылку не туда. Что ты в самом то деле критикуешь всех кого не поподя. Причем заметь это уже не первый выпад в твою сторону не только от $Yastrebov$-а.
Никто не сомнивается в твоих умениях, знаниях и способностях. Даже более скажу - ты один из немногих, кто хоть и выпарит все мозги, но будет отвечать, а не молчать (Респект тебе за это). Но тактику убеждения может поменять нужно (с "Ты дебил и нихрена не шаришь, и зачем программировать начал" на "Посмотри вот здесь и вот там, .... программма устроена так что......поэтому твой подход не правильный").