    کاربر دائمی آواتار joker
    محافظت از برنامه فايل اجرايي (براي استفاده عموم)

    یه چند وقتی دنبال روشهایی بودم که بتونه کار کرکرها را سخت تر کنه
    یه چندتاییش را با توضیحات و کارایی مربوطه اینجا مینویسم
    امیدوارم دوستان برنامه نویس از این سورس ها استفاده مربوطه را ببرن

    این 3-4تا برای شناسایی وجود دیباگر SoftIce هستن

    function IsDebuggerPresent: BOOL; stdcall; external 'kernel32.dll';

    function BoundsCheckerDetected: Boolean;
    push ebp
    mov ebp, 'BCHK'
    mov ax, 4
    int 3
    cmp ax, 4
    jne @@softice_detected
    mov ax, 0
    jmp @@exit
    mov ax, 1
    pop ebp
    on E: EExternalException do
    end else begin

    function SoftIceVXDDetected: Boolean;
    push esi
    push edi
    mov ax, $1684
    mov bx, $0202 // VXD ID for SoftIce
    xor di, di
    mov es, di
    int $2F
    mov ax, es
    add di,ax
    cmp di, 0
    jne @@softice_detected
    mov ax, 0
    jmp @@exit
    mov ax, 1
    pop edi
    pop esi
    // Not hooked
    function WinIceDetected: Boolean;
    mov ah, $43
    int $68
    cmp ax, $F386
    jz @@winice_detected
    mov ax, 0
    jmp @@exit
    mov ax, 1
    // Not hooked

    function MeltIceDetected: Boolean;
    var hIce: THandle;
    dwCount: Integer;
    ICE_FILES: Array [0..3] of PChar = ('\\.\SICE', '\\.\NTICE', '\\.\SIWVID', '\\.\FROGICE');

    // Description: Detect the presence of SoftIce and many other memory resident
    // tools by attempting to load SoftIce related devices such its display
    // driver, or its access driver. Devices such as SICE, NTICE, SIWVID, FROGICE.
    for dwCount:=0 to High(ICE_FILES) do
    if (hIce <> INVALID_HANDLE_VALUE) then
    اینطوری هم استفاده میشن :

    if SoftIceVXDDetected then Application.Terminate;
    if WinIceDetected then Application.Terminate;
    if BoundsCheckerDetected then Application.Terminate;
    if MeltIceDetected then Application.Terminate;
    if IsDebuggerPresent then Application.Terminate;
    البته میتونید بعد از تشخیص دیباگر کارهایی بدتری غیر از بستن برنامه هم بکنید....;)

    آنتی دامپ:
    کد زیر کارش تغییر ایمج بیس برنامه هست که از Dump گرفتن برنامه جلوگیری میکنه

    procedure FOLL();
    mov eax, fs:[$30]
    mov eax, [eax+$C]
    mov eax, [eax+$C]
    add dword ptr [eax+$20], $2000
    البته به این نکته توجه داشته باشین که جهت خنثی کردن این کد با نرم افزار LoredPe در قسمت CorectImageBase قابل انجام هست بنابراین توی یک تایمر در نرم افزار میتونید هر 1 میلی ثانیه یکبار این پروسه را اجرا کنید و شاهد سرویس شدن کرکر محترم در گرفتن دامپ باشید .( این مرحله را از خودم در ورکردم ) یکی از راههای دور زدنش از کار انداختن تایمر با thread هست که توی برنامه داره این کار را انجام میده ! ( تقریبا روش مطمئنیه )

    برای مقابله با نرم افزار دیباگرOlyDbg از روشهایی مثل FindWindow استفاده کنید چنانچه یکی از پنجره ها اسم olly توش بود برنامه را خاتمه بدین ( برای این روش توی olly دیباگر یکسری پلاگین هست ، که از تغییر عنوان پنجره تا هوک کردن این تابع استفاده میشه )
    یا از نرم افزار آنتی olly که به همین پست ضمیمه میکنم استفاده کنید که کمی به امنیت برنامه ها در مقابل این دیباگر خوش دست کمک میکنه.
    استفاده از توابع IsDebugerPereset هم توضیح ندم سنگین تر هست.

    در عین حال میتونید از باگی که در Olly در موقع صدا زدن تابع OutputDebugString هست هم برای آورفلو و نهایتن کرش کردن این دیباگر موقع باز کردن برنامه تان استفاده کنید.
    تمامی موارد فوق قابل دور زدن میباشد ، فقط جنبه تقویت قفل میباشد.
    حسش بود یه چندتایی روش دیگه را هم مینویسم....
    نکته : این کدها را در آخر سر به برنامه تان اضافه کنید چون موقع اجرای مستقیم ممکنه خودIde قاط بزنه ...
    بعد از اضافه کردن این توابع برنامه را فقط کامپایل کنید ، و مستقل از ide اون را به راحتی اجرا کنید ( دیباگر داخلی ide فعال میشه )
    کاربر دائمی آواتار joker
    اگه احیانا فایلتون را پک کردین
    با پکر ها یا پروتکتورها فرقی نمیکنه...
    چون همیشه راهی برای آنپک هست بهتره این تکه کد را هم به سورستون اضافه کنید
    ( هرچند که کسی که دنبال کرک باشه نهایتا از این کد ها هم میگزره ولی اصل خسته کردن کرکر فراموش نشه یک قفل هم یک قفله )

    procedure TFORO1.FormCreate(Sender: TObject);
    hFile: Thandle;

    hFile := CreateFileA( pchar(paramstr(0)) , GENERIC_READ ,
    if( hFile <> INVALID_HANDLE_VALUE ) then
    Size :=GetFileSize(hfile,nil);

    if size <> سایز فایل پک شده then Application.Terminate;
    if size > سایزفایل پک شده then Application.Terminate;



    فایل آنپک شده به طور حتم فایلیه که قصد انجام کرک را براش کردن بنابراین میتونید به جای بسته شدن مستقیم کلا روتین اجرای برنامه را به سمت حالت shareware پیش ببرید که سراغ روتینهایی برن که عملا در فایل اصلی هیچ وقت اجرا نمیشن مثلا روتین قفل الکی و پیغامهای الکی و.......
    با این روش حتی اگه از upx هم استفاده کرده باشین بازم جای امیدواری داره ;)

    لازم به ذکر است یکی از راههای کرکرها برای اینکه نیازی به آنپک نداشته باشن استفاده از تکنیک InLinePatch هست.
    برای دیدن نمونه برنامه هایی که با این روشها محافظت شدن به تاپیک زیر میتونید سر بزنید

    کاربر دائمی آواتار joker
    analyze PE file headers

    حسش نبود کل یک سایتو به خاطر 2تاتابع بگردم ;)

    برای اینکه برنامه خودتون را به صورت دقیق تر ( دقیق تر از گرفتن یک حجم ساده بتونید کنترل کنید که چیزی دستکاری نشده باشه ...
    analyze PE file headers

    unit Unit1;


    Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms, Dialogs,

    TForm1 = class(TForm)
    Button1: TButton;
    Memo1: TMemo;
    OpenDialog1: TOpenDialog;
    Label1: TLabel;
    procedure Button1Click(Sender: TObject);
    { Private declarations }
    { Public declarations }

    Form1: TForm1;

    procedure DumpDOSHeader(const h: IMAGE_DOS_HEADER; Lines: TStrings);
    Lines.Add('Dump of DOS file header');
    Lines.Add(Format('Magic number: %d', [h.e_magic]));
    Lines.Add(Format('Bytes on last page of file: %d', [h.e_cblp]));
    Lines.Add(Format('Pages in file: %d', [h.e_cp]));
    Lines.Add(Format('Relocations: %d', [h.e_crlc]));
    Lines.Add(Format('Size of header in paragraphs: %d', [h.e_cparhdr]));
    Lines.Add(Format('Minimum extra paragraphs needed: %d', [h.e_minalloc]));
    Lines.Add(Format('Maximum extra paragraphs needed: %d', [h.e_maxalloc]));
    Lines.Add(Format('Initial (relative) SS value: %d', [h.e_ss]));
    Lines.Add(Format('Initial SP value: %d', [h.e_sp]));
    Lines.Add(Format('Checksum: %d', [h.e_csum]));
    Lines.Add(Format('Initial IP value: %d', [h.e_ip]));
    Lines.Add(Format('Initial (relative) CS value: %d', [h.e_cs]));
    Lines.Add(Format('File address of relocation table: %d', [h.e_lfarlc]));
    Lines.Add(Format('Overlay number: %d', [h.e_ovno]));
    Lines.Add(Format('OEM identifier (for e_oeminfo): %d', [h.e_oemid]));
    Lines.Add(Format('OEM information; e_oemid specific: %d', [h.e_oeminfo]));
    Lines.Add(Format('File address of new exe header: %d', [h._lfanew]));

    procedure DumpPEHeader(const h: IMAGE_FILE_HEADER; Lines: TStrings);
    dt: TDateTime;
    Lines.Add('Dump of PE file header');
    Lines.Add(Format('Machine: %4x', [h.Machine]));
    case h.Machine of
    IMAGE_FILE_MACHINE_I386: Lines.Add(' Intel 386. ');
    IMAGE_FILE_MACHINE_R3000: Lines.Add(' MIPS little-endian, 0x160 big-endian ');
    IMAGE_FILE_MACHINE_R4000: Lines.Add(' MIPS little-endian ');
    IMAGE_FILE_MACHINE_R10000: Lines.Add(' MIPS little-endian ');
    IMAGE_FILE_MACHINE_ALPHA: Lines.Add(' Alpha_AXP ');
    IMAGE_FILE_MACHINE_POWERPC: Lines.Add(' IBM PowerPC Little-Endian ');
    // some values no longer defined in winnt.h
    $14D: Lines.Add(' Intel i860');
    $268: Lines.Add(' Motorola 68000');
    $290: Lines.Add(' PA RISC');
    Lines.Add(' unknown machine type');
    end; { Case }
    Lines.Add(Format('NumberOfSections: %d', [h.NumberOfSections]));
    Lines.Add(Format('TimeDateStamp: %d', [h.TimeDateStamp]));
    dt := EncodeDate(1970, 1, 1) + h.Timedatestamp / SecsPerDay;
    Lines.Add(FormatDateTime(' c', dt));

    Lines.Add(Format('PointerToSymbolTable: %d', [h.PointerToSymbolTable]));
    Lines.Add(Format('NumberOfSymbols: %d', [h.NumberOfSymbols]));
    Lines.Add(Format('SizeOfOptionalHeader: %d', [h.SizeOfOptionalHeader]));
    Lines.Add(Format('Characteristics: %d', [h.Characteristics]));
    if (IMAGE_FILE_DLL and h.Characteristics) <> 0 then
    Lines.Add(' file is a DLL')
    else if (IMAGE_FILE_EXECUTABLE_IMAGE and h.Characteristics) <> 0 then
    Lines.Add(' file is a program');

    procedure DumpOptionalHeader(const h: IMAGE_OPTIONAL_HEADER; Lines: TStrings);
    Lines.Add('Dump of PE optional file header');
    Lines.Add(Format('Magic: %d', [h.Magic]));
    case h.Magic of
    $107: Lines.Add(' ROM image');
    $10b: Lines.Add(' executable image');
    Lines.Add(' unknown image type');
    end; { If }
    Lines.Add(Format('MajorLinkerVersion: %d', [h.MajorLinkerVersion]));
    Lines.Add(Format('MinorLinkerVersion: %d', [h.MinorLinkerVersion]));
    Lines.Add(Format('SizeOfCode: %d', [h.SizeOfCode]));
    Lines.Add(Format('SizeOfInitializedData: %d', [h.SizeOfInitializedData]));
    Lines.Add(Format('SizeOfUninitializedData: %d', [h.SizeOfUninitializedData]));
    Lines.Add(Format('AddressOfEntryPoint: %d', [h.AddressOfEntryPoint]));
    Lines.Add(Format('BaseOfCode: %d', [h.BaseOfCode]));
    Lines.Add(Format('BaseOfData: %d', [h.BaseOfData]));
    Lines.Add(Format('ImageBase: %d', [h.ImageBase]));
    Lines.Add(Format('SectionAlignment: %d', [h.SectionAlignment]));
    Lines.Add(Format('FileAlignment: %d', [h.FileAlignment]));
    Lines.Add(Format('MajorOperatingSystemVersion: %d', [h.MajorOperatingSystemVersion]));
    Lines.Add(Format('MinorOperatingSystemVersion: %d', [h.MinorOperatingSystemVersion]));
    Lines.Add(Format('MajorImageVersion: %d', [h.MajorImageVersion]));
    Lines.Add(Format('MinorImageVersion: %d', [h.MinorImageVersion]));
    Lines.Add(Format('MajorSubsystemVersion: %d', [h.MajorSubsystemVersion]));
    Lines.Add(Format('MinorSubsystemVersion: %d', [h.MinorSubsystemVersion]));
    Lines.Add(Format('Win32VersionValue: %d', [h.Win32VersionValue]));
    Lines.Add(Format('SizeOfImage: %d', [h.SizeOfImage]));
    Lines.Add(Format('SizeOfHeaders: %d', [h.SizeOfHeaders]));
    Lines.Add(Format('CheckSum: %d', [h.CheckSum]));
    Lines.Add(Format('Subsystem: %d', [h.Subsystem]));
    case h.Subsystem of
    Lines.Add(' Image doesn''t require a subsystem. ');
    Lines.Add(' Image runs in the Windows GUI subsystem. ');
    Lines.Add(' Image runs in the Windows character subsystem. ');
    Lines.Add(' image runs in the OS/2 character subsystem. ');
    Lines.Add(' image run in the Posix character subsystem. ');
    Lines.Add(' unknown subsystem')
    end; { Case }
    Lines.Add(Format('DllCharacteristics: %d', [h.DllCharacteristics]));
    Lines.Add(Format('SizeOfStackReserve: %d', [h.SizeOfStackReserve]));
    Lines.Add(Format('SizeOfStackCommit: %d', [h.SizeOfStackCommit]));
    Lines.Add(Format('SizeOfHeapReserve: %d', [h.SizeOfHeapReserve]));
    Lines.Add(Format('SizeOfHeapCommit: %d', [h.SizeOfHeapCommit]));
    Lines.Add(Format('LoaderFlags: %d', [h.LoaderFlags]));
    Lines.Add(Format('NumberOfRvaAndSizes: %d', [h.NumberOfRvaAndSizes]));

    {$R *.DFM}

    procedure TForm1.Button1Click(Sender: TObject);
    fs: TFilestream;
    signature: DWORD;
    dos_header: IMAGE_DOS_HEADER;
    pe_header: IMAGE_FILE_HEADER;
    opt_header: IMAGE_OPTIONAL_HEADER;
    with Opendialog1 do
    Filter := 'Executables (*.EXE)|*.EXE';
    if Execute then
    fs := TFilestream.Create(FileName, fmOpenread or fmShareDenyNone);
    fs.read(dos_header, SizeOf(dos_header));
    if dos_header.e_magic <> IMAGE_DOS_SIGNATURE then
    memo1.Lines.Add('Invalid DOS file header');
    DumpDOSHeader(dos_header, memo1.Lines);

    fs.seek(dos_header._lfanew, soFromBeginning);
    fs.read(signature, SizeOf(signature));
    if signature <> IMAGE_NT_SIGNATURE then
    memo1.Lines.Add('Invalid PE header');

    fs.read(pe_header, SizeOf(pe_header));
    DumpPEHeader(pe_header, memo1.Lines);

    if pe_header.SizeOfOptionalHeader > 0 then
    fs.read(opt_header, SizeOf(opt_header));
    DumpOptionalHeader(opt_header, memo1.Lines);
    end; { finally }

    دوستانی که احیانا خودشون قصد نوشتن پکر دارن ، این سورس میتونه خیلی براشون مفید باشه
    مرجع سورس
    Anti OllyDebuger
    این مورد تجربه ای از کار با یک CrackMe هست که در اختیار دوستان قرار میدم.
    ( با تشکر از دوست عزیز SubZero)
    خب اگه با دیباگری مثلی olly کار کرده باشین حتما پلاگینهایی را دید که نام OllyDbg را موقع گرفتن لیست عنوان پنجره ها مخفی میکنند ( همانطور که قبلا گفتم موراد مربوط به تابع FindWindow

    خب بیایم یه کم ما هم غیر عادی تر عمل کنیم ، یعنی دنبال نام OllyDbg اصلا نباشیم ( چون تحت هر عنوانی ممکنه این نام عوض شده باشه ( حتی تغییر نام فایل exe این دیباگر روی بعضی از پلاگینها اثر میگذاره :) )
    یکی از راههای مقابله با این روش کرکرها اینه که توی لیست دنبال کلمه
    Module یا thread بگردیم یا جمله کاملش ...
    اگه یک فایل توی olly باز کنید متوجه میشید چی میگم ( عکس ضمیمه )

    خب پس ما کد مون را طوری تغییر میدیم که اگه چنین کلمه ای در یکی از عناوین وجود داشت فرض را بر باز بودن این دیباگر بزاره و ( چگونگی ادامه کار به عهده خودتون )

    سورس مربوطه برای لیست کردن تمام پنجره های قابل نمایش و غیر قابل نمایش در task Manager ویندوز
    توابع جستجو در استرینگها هم که توضیح لازم نداره ...

    function enumwindowsproc(wnd:Hwnd ; form:Tform):boolean;export; {$ifdef win32} stdcall ;{$endif}
    buffer : array[0..250] of char ;

    if strlen(buffer)<> 0 then
    result := true ;

    // 0000000000000000000000000000000000

    procedure TForm1.Button1Click(Sender: TObject);

    البته میتونید مستقیما از GetForegroundWindow هم استفاده کنید... ;) اما سورسی که ضمیمه کردم را داشته باشین برای مطالب بعدی که مینویسم در مورد محافظت برنامه در مقابل سیستمهای مونیتورینگ مثل FileMonitor و RegistryMonitor ها. چون یکی از روشهای اولیه مقابله با این نرم افزارها گرفتن هندل اونها هست ، ( البته روشهایی هم برای مخفی کردنشون بکار میره که بعدا به طور دقیقتر بررسی میکنیم)
    اگه زنده موندم....
    شما را به خواندن مطالب خوشنگارشتر در مورد فرمت فایلهایPE دعوت میکنم
    http://www.ALT.ir/help/ARTeam PE Tutorial.chm

    مقاله خوبی بود و در بیشتر موارد از Iczelion's استفاده کرده بود. در هر حال به تمام دوستانی که در این زمینه نیاز به اطلاعات دارند توصیه می کنم که این مقاله را بخوانند و در ضمن به این http://spiff.tripnet.se/~iczelion/files/pe-tuts.zip هم نظری داشته باشند.

    البته دوستان بهتر هست که مرجع سایت را ارائه نماییند و در اختیار قرار دهند چون سایت http://arteam.accessroot.com سایت بسیار مفیدی بود و به لیست Favoraites من پیوست.
    در اینجا از Joker تشکر می کنم.

    1) این روش رو اولین بار در Cra@ck me دیدم:
    پنجره برنامه خود رو TOP MOST کنید؛ اینطوری برنامه شما Focus رو می گیره و Debugger همیشه پشت پنجره میمونه.

    2) اگه اشتباه نکنم اساس روش زیر از Cr@ck me ایه که با DotFix انگولک شده بود :
    یه Thread با اولویت High بسازید تا دیباگر Hang کنه.

    3) تجربه شخصی میگه:
    -> همه چیز رو در داخل یه کد نریزید, منظورم اینه که علاوه بر برنامه خود از Thread و فایلهای جانبی (مثل DLL) هم برای چک کردن امنیت برنامه استفاده کنید.

    -> فقط به یکبار چک کردن امنیت ؛ اکتفا نکنید. مثلا چندین بار از طریق Procedure های متفاوت وجود دیباگر رو شناسایی کنید. اگه میگم Procedureهای متفاوت واسه اینه که اگه یک Procedure رو 100 جا فراخوانی کنید؛ واضحه که همه فراخوانی ها به یک آدرس مراجعه میکنن لذا در خیلی موارد استفاده از RETN میتونه Procedure شما رو برای همیشه فلج کنه.

    ->بهتره سطر اول و آخر Function ها و Procedure های خود رو به Trick هایی جهت شناسایی BP مجهز کنید؛ چون کرکرها از روی عادت؛ همیشه روی اولین خط یا آخرین خط یه تابع BP میذارن.

    -> غیر فعال کردن یه CRC خوب ؛ معمولا خسته کننده ترین جای یه کد واسه کرکره!

    -> به عنوان یه اصل؛ هیچ گاه بلافاصله بعد از این که چک کردید که آیا شرط امنیتی نقض شده یا نه؛ Jump نکنید و MessageBox رو نشون ندید ...!

    -> Registery ویندوز عمومیترین جاییه که برنامه نویسان واسه نگهداری کدها و جنبه های امنیتی برنامه شون ازش استفاده میکنن...!

    -> با کمی مطالعه و تحقیق میتونین IAT رو دستکاری کنید....این عاقلانه ترین کار واسه مخفی کردن لیست API هایی است که برنامه تون ازش استفاده میکنه.

    1) تمام روشهایی که من و Joker ذکر کردیم به Ring3 مربوط میشه.
    2) تمام روشهای فوق الذکر قابل دور زدن هستن

    کما فی السابق از هیچکدام از روشهای من و جوکر استفاده نکنید...!

    در ادامه تائید حرفهای افشین :

    برای کدTOP توی دیباگری مثلsice جوابگو نیست ، توی oly هم در اکثر موارد ALT+F5 مشکل را حل میکنه :)
    ولی برای کرکرهای تازه کار بد نیست حال گیری کنه .

    Thread ها همیشه مایه دردسر کرکرها هست ، حتما استفاده کنید ( اللخصوص روتینهای مربوط به امنیت ، و همیشه تکه ای از کد اصلی برنامه را هم اجرایش را منوط به در حال استفاده بودن ترد بزارین که در صورتی که ترد را ساسپند کردن برنامه عملا کار نکنه )

    پیرو حرف افشین نه تنها یکبار چک نکنید بلکه با یه case و یه تابع random روتینهای مختلف را چک کنید ( سرویس دهان و دندان )
    بهتره سطر اول و آخر Function ها و Procedure های خود رو به Trick هایی جهت شناسایی BP مجهز کنید؛ چون کرکرها از روی عادت؛ همیشه روی اولین خط یا آخرین خط یه تابع BP میذارن.
    سورس بزار لطفا :)

    -> به عنوان یه اصل؛ هیچ گاه بلافاصله بعد از این که چک کردید که آیا شرط امنیتی نقض شده یا نه؛ Jump نکنید و MessageBox رو نشون ندید ...!
    حتی المکان اصلا نزارید ، به جاش برنامه را طوری بنویسید که بعد از ورود قفل ( مثلا اکتیو کد) برنامه نیاز به ریست داشته باشه و توی بارگذاری مجدد وجود قفل چک بشه ( شایداین روش را توی خیلی از برنامه ها دیده باشین )
    > Registery ویندوز عمومیترین جاییه که برنامه نویسان واسه نگهداری کدها و جنبه های امنیتی برنامه شون ازش استفاده میکنن...!
    اگه احیانا مجبور به استفاده از ثبت اطلاعات در رجیستری یا فایل شدید ( که حتما میشید) سعی کنید اطلاعات کد شده نوشته بشن
    ( روتین دیکود که خودتون دارید)
    یک نمونه در اینجا از روتین های کد گزاری متن میزارم.
    ( میشه گفت غیر از کدینگ معمولی برای دریافت و ارسال اکتیو کد های فایلیKey هم خیلی خوب میتونید ازش استفاده کنید )

    function MY_Encript(const ReaLtext:String;password:string ):string ;
    x,i, // count variables
    sText,sPW: Integer; // size of Text, PW
    Buffer,PW: PChar; // buffer for Text, PW


    // GetWindowText( hEdit,Text,sText);
    Buffer := pchar(Realtext) ;
    PW := pchar(password) ;

    x:=0; // initialize count
    for i:=0 to sText-2 do
    if x=(sPW-1)then x:=0;
    Result := Buffer ;
    end;// end of proc

    function MY_Descript(inText:String;password:string ):String ;

    x,i, // count variables
    sText,sPW: Integer; // size of Text, PW
    Text,PW: PChar; // buffer for Text, PW



    text:= pchar(intext);
    PW:= pchar(password);

    x:=0; // initialize count
    for i:=0 to sText-2 do
    if x=(sPW-1)then x:=0;
    result := text ;
    end;// end of prioc

    1) تمام روشهایی که من و Joker ذکر کردیم به Ring3 مربوط میشه.
    2) تمام روشهای فوق الذکر قابل دور زدن هستن
    حالا بیا و درستش کن :)
    استفاده کنید اقا ( این افشین طرف خرسه هست )، یه قفلم یه قفله
    رینگ 0 را هم استاد میکنن ، ولی خب آدمهای کمتر.

    یه مورد از خودم بدم حال ببرید.

    .model flat, stdcall
    option casemap :none ; case sensitive

    include \masm32\include\windows.inc
    include \masm32\include\user32.inc
    include \masm32\include\kernel32.inc

    includelib \masm32\lib\user32.lib
    includelib \masm32\lib\kernel32.lib

    msgTitle db "Execution status:",0h
    msgText1 db "No debugger detected!",0h
    msgText2 db "Debugger detected!",0h


    ; MASM32 antiRing3Debugger example

    ; This code takes advantage of debugger not handleing INT3
    ; instructions correctly. If we set a SEH before INT3 executing
    ; INT3 instruction will fire SEH. If debugger is present it
    ; will just walk over INT3 and go straight forward.
    ; If debugger is not present exception will occure and exection
    ; will be handled by SEH.

    ; Set SEH
    PUSH offset @Check
    PUSH FS:[0]
    MOV FS:[0],ESP

    ; Exception
    INT 3h

    PUSH 30h
    PUSH offset msgTitle
    PUSH offset msgText2
    PUSH 0
    CALL MessageBox

    PUSH 0
    CALL ExitProcess

    ; SEH handleing
    POP FS:[0]
    ADD ESP,4

    PUSH 40h
    PUSH offset msgTitle
    PUSH offset msgText1
    PUSH 0
    CALL MessageBox

    PUSH 0
    CALL ExitProcess

    end start

    و برای SICE :

    ; ################################################## #######################

    .model flat, stdcall
    option casemap :none ; case sensitive

    ; ################################################## #######################
    include \masm32\include\windows.inc
    include \masm32\include\user32.inc
    include \masm32\include\kernel32.inc
    include \masm32\include\comdlg32.inc

    includelib \masm32\lib\user32.lib
    includelib \masm32\lib\kernel32.lib
    includelib \masm32\lib\comdlg32.lib

    ; ################################################## #######################
    VICETOOLZ_1 db "\\.\SICE",0h
    VICETOOLZ_2 db "\\.\SIWVID",0h
    VICETOOLZ_3 db "\\.\NTICE",0h
    VICETOOLZ_4 db "\\.\REGSYS",0h
    VICETOOLZ_5 db "\\.\REGVXG",0h
    VICETOOLZ_6 db "\\.\FILEVXG",0h
    VICETOOLZ_7 db "\\.\FILEM",0h
    VICETOOLZ_8 db "\\.\TRW",0h
    VICETOOLZ_9 db "\\.\ICEEXT",0h

    DbgNotFoundTitle db "Debugger status:",0h
    DbgFoundTitle db "Debugger status:",0h
    DbgNotFoundText db "Debugger or other vice tool not found!",0h
    DbgFoundText db "Debugger or other vice tool found!",0h


    ; This is the oldest way to detect SoftICE. Here we do it by trying to
    ; create a file named as SoftICE driver. Since we can not access it
    ; error will occure and we will detect this by CreateFileA return value.
    ; If EAX is zero, SICE or other "vice" tool is detected.

    ; Start data. There are 9 of vice tools and first string is located at
    ; VICETOOLZ_1 offset.

    MOV ESI,9
    MOV EDI,offset VICETOOLZ_1

    PUSH 0h ;hTemplateFile
    PUSH 0h ;pSecurity
    PUSH FILE_SHARE_READ ;ShareMode = File Share Write
    PUSH EDI ;Path
    CALL CreateFileA ;CreateFileA

    ; Small fix here!

    CMP EAX,-1
    JNE @ToolFound

    ; Here we search for the next vice tool string [name].

    JNE @find_next
    JNE @TryNext

    PUSH 40h
    PUSH offset DbgNotFoundTitle
    PUSH offset DbgNotFoundText
    PUSH 0
    CALL MessageBox

    PUSH 0
    CALL ExitProcess

    PUSH 30h
    PUSH offset DbgFoundTitle
    PUSH offset DbgFoundText
    PUSH 0
    CALL MessageBox
    JMP @Exit

    end start

    البته من فکر کنم قبلا بحثی داشتم. http://www.barnamenevis.org/sh...t=17923&page=4

    البته دیگه این چیزا قدیمی شده و بچه کرکر ها هم دیگه می تونند این چیزا رو در بشوند. من خودم به شخصه دیگه از این جور بحثا خوشم نمی آد ولی بهترین روش همون Ring0 نویسی هست .
    اینم یه سایت توپ : http://www.microsoft.com/whdc/devtools/ddk/default.mspx :)
    برنامه های محافظت شده رینگ0 در بعضی جاها به مشکل بر میخورند کاربرهایی که میخوان برنامه را در سطح user معمولی ویندوز نصب کنن و کار کنن نه administrator
    البته محاسنش به دردسرهاش می ارزه...
    برای برنامه نویسی درایور ویندوزی هم کتاب The Windows 2000 Device Driver Book, A Guide for Programmers بد نیست

    The Windows 2000 Device Driver Book, A Guide for Programmers, Second Edition


    What You Should Already Know
    What's Covered
    What's Not
    About the Sample Code
    History of this Book
    Training and Consulting Services


    1. Introduction to Windows 2000 Drivers
    Overall System Architecture
    Kernel-Mode I/O Components
    Special Driver Architectures

    2. The Hardware Environment
    Hardware Basics
    Buses and Windows 2000
    Hints for Working with Hardware

    3. Kernel-Mode I/O Processing
    How Kernel-Mode Code Executes
    Use of Interrupt Priorities by Windows 2000
    Deferred Procedure Calls (DPCs)
    Access to User Buffers
    Structure of a Kernel-Mode Driver
    I/O Processing Sequence

    4. Drivers and Kernel-Mode Objects
    Data Objects and Windows 2000
    I/O Request Packets (IRPs)
    Driver Objects
    Device Objects and Device Extensions
    Controller Objects and Controller Extensions
    Adapter Objects
    Interrupt Objects

    5. General Development Issues
    Driver Design Strategies
    Coding Conventions and Techniques
    Driver Memory Allocation
    Unicode Strings
    Interrupt Synchronization
    Synchronizing Multiple CPUs
    Linked Lists

    6. Initialization and Cleanup Routines
    Writing a DriverEntry Routine
    Code Example: Driver Initialization
    Writing Reinitialize Routines
    Writing an Unload Routine
    Code Example: Driver Unload
    Writing Shutdown Routines
    Testing the Driver

    7. Driver Dispatch Routines
    Announcing Driver Dispatch Routines
    Writing Driver Dispatch Routines
    Processing Read and Write Requests
    Code Example: A Loopback Device
    Extending the Dispatch Interface
    Testing Driver Dispatch Routines

    8. Interrupt-Driven I/O
    How Programmed I/O Works
    Driver Initialization and Cleanup
    Writing a Start I/O Routine
    Writing an Interrupt Service Routine (ISR)
    Writing a DpcForIsr Routine
    Some Hardware: The Parallel Port
    Code Example: Parallel Port Loopback Driver
    Testing the Parallel Port Loopback Driver

    9. Hardware Initialization
    The Plug and Play Architecture: A Brief History
    The Role of the Registry for Legacy Drivers
    Detecting Devices with Plug and Play
    The Role of Driver Layers in Plug and Play
    The New WDM IRP Dispatch Functions
    Device Enumeration
    Device Interfaces
    Code Example: A Simple Plug and Play Driver

    10. Power Management
    Hot Plug Devices
    OnNow Initiative
    Wake Requests
    Power Management Issues

    11. Timers
    Handling Device Timeouts
    Code Example: Catching Device Timeouts
    Managing Devices without Interrupts
    Code Example: A Timer-Based Driver

    12. DMA Drivers
    How DMA Works under Windows 2000
    Working with Adapter Objects
    Writing a Packet-Based Slave DMA Driver
    Code Example: A Packet-Based Slave DMA Driver
    Writing a Packet-Based Bus Master DMA Driver
    Writing a Common Buffer Slave DMA Driver
    Writing a Common Buffer Bus Master DMA Driver

    13. Windows Management and Instrumentation
    WMI: The Industry Picture
    The WMI Architecture
    WMI Summary
    Conventional Driver Event Logging

    14. System Threads
    Definition and Use of System Threads
    Thread Synchronization
    Using Dispatcher Objects
    Code Example: A Thread-Based Driver

    15. Layered Drivers
    An Overview of Intermediate Drivers
    Writing Layered Drivers
    Writing I/O Completion Routines
    Allocating Additional IRPs
    Writing Filter Drivers
    Code Example: A Filter Driver
    Writing Tightly Coupled Drivers

    16. Driver Installation
    Installation of a Driver
    Auto-Install Using INF Files
    Using a Driver INF File
    Controlling Driver Load Sequence
    Digital Signing of a Driver

    17. Testing and Debugging Drivers
    Guidelines for Driver Testing
    Why Drivers Fail
    Reading Crash Screens
    An Overview of WinDbg
    Analyzing a Crash Dump
    Interactive Debugging
    Writing WinDbg Extensions
    Code Example: A WinDbg Extension
    Miscellaneous Debugging Techniques

    A. The Driver Debug Environment
    Hardware and Software Requirements
    Debug Symbol Files
    Enabling Crash Dumps on the Target System
    Enabling the Target System's Debug Client

    B. Bugcheck Codes

    C. Building Drivers
    The Build Utility
    Using Visual Studio to Build Drivers

    آخرین ویرایش به وسیله Inprise : شنبه 02 دی 1385 در 03:47 صبح دلیل: Warez Activity

    1) فرض کنید که برنامه تون رو اونقدر قوی ساختید که Patch کردنش وقت و هزینه زیادی میخواد.
    اگه مطالب اینپرایز عزیز رو در مورد Loader به یاد داشته باشید. باید خدمتتون عرض کنم که با استفاده از Loader , بسیار راحت میشه امنیت برنامه تون رو دور زد.
    Loader برنامه تون رو اجرا میکنه و در RAM روی Offset مورد نظر می ایسته و تغییر لازم رو اعمال میکنه. اینطوری بدون اینکه سایز برنامه تون در دیسک تغییر کنه؛ Patch میشه.

    2)تصور کنید برنامه ای نوشتین که به ازای Name های مختلف, Serial Number های متفاوتی تولید میکنه. و کاری کردید که کرکر حتی در RAM هم قادر به دستکاری برنامه نیست.
    اساس کار Serial Fishing از این ضعف استفاده میکنه که برنامه شما یک رشته رو با رشته دیگه مقایسه میکنه. کرکر میتونه با مراجعه به محتوای ثباتها, "کد صحیح" رو استخراج کنه.
    اما از اونجایی که برنامه شما هربار کد جدیدی تولید میکنه (و غیر قابل تغییر هم هست) باید از روش فوق العاده زیبای دیگه استفاده کرد.
    Serial Sniffing روشیه که از ترکیب دو روش بالا استفاده میکنه؛ یعنی همیشه برنامه رو تا آدرس مورد نظر اجرا میکنه و بعد محتوای ثباتها رو نشون میده

    3)با استفاده از تابع VirtualAlloc صفحاتی(Page) از حافظه رو که داده های خود رو بار گذاری کردید, کدگذاری کنید و فقط زمانی انرا کدگشایی کنید که به اطلاعات آن نیاز دارید( بدیهی است که بلافاصله بعد از خواندن باید دوباره کدگذاری کنید)
    این روش رو تقربیا همه پروتکتورهای قوی استفاده میکنن.

    4)از پروتکتورهای آماده(و مشهور) استفاده نکنید. چون روشهای دور زدن اونها خیلی زود کشف میشه.

    5)تجربه شخصی نشون داده که متاسفانه یا خوشبختانه؛ هیچ وقت قادر به تضمین 100% امنیت برنامه تون نخواهید بود.
    فایل های ضمیمه فایل های ضمیمه

    اگه هنوز نمیدونین که یه دیباگر چطور میتونه برنامه رو اجرا کنه و محتوای ثباتها رو نشون بده، کد زیر میتونه خیلی بهتون کمک کنه

    si: TStartupInfo;
    buf1:array[0..1] of char;
    bp:array[0..1] of char;
    // Ziel-EXE
    // Code für BreakPoint
    // Programm wird im Suspended-Mode gestartet
    FillChar(si, SizeOf(si), 0);
    FillChar(pi, SizeOf(pi), 0);
    // Register werden gelesen
    // EntryPoint wid ermittelt
    // Schreib-Lese-Rechte werden geholt
    VirtualProtectEx(pi.hProcess,addr,2,PROCESS_ALL_AC CESS,num);
    // alte werte werden gesichert
    ReadProcessMemory(pi.hProcess,addr,@buf1,sizeof(bu f1),num);
    // breakPoint wird gesetzt
    WriteProcessMemory(pi.hProcess,addr,@bp,sizeof(bp) ,num);
    // Prozess wird fortgesetzt
    // es wird gewartet bis Programm am BP h&auml;ngt
    // Prozess wird angehalten
    // Register werden gelesen
    // alte werte werden wiederergestellt
    WriteProcessMemory(pi.hProcess,addr,@buf1,sizeof(b uf1),num);
    // Register werden ausgegeben
    showmessage('EAX: '+inttohex(context.Eax,8)+#13+
    'EBX: '+inttohex(context.Ebx,8)+#13+
    'ECX: '+inttohex(context.Ecx,8)+#13+
    'EDX: '+inttohex(context.Edx,8)+#13+
    'ESP: '+inttohex(context.Esp,8)+#13+
    'EDI: '+inttohex(context.Edi,8)+#13+
    'EIP: '+inttohex(context.Eip,8)+#13
    // Prozess wird fortgesetzt

    واقعا تا اینجای کار مطالب مفیدی رد وبدل شد و من خیلی استفاده کردم

    قطعا نمیشه برنامه رو 100 درصد از نظر امنیت تضمین کرد ولی همونطور که دوستان اشاره کردن میشه کرکر رو خسته کرد.

    1)میشه با برنامه نویسی محلهای حساس برنامه رو چک کرد و اگر دستورات پچ شده بودن متوجه شد. فرض کنید دستور JE رو در فلان آفست و سگمنت میان و Nop می کنن.
    باید راهی وجود داشته باشه که با برنامه نویسی اینو فهمید.

    2)حالتی دیگه هم CRC هست. که مجموع چک سام رو با چک سام اصلی مقایسه می کنه اگه برابر نبود که یعنی فایل دستکاری شده.

    3) راه بعدی هدایت کردن برنامه به Exception های مختلفه. به طوری که کرک فکر کنه اشتباهی این نقطه رو پچ کرده

    4) میشه با ترکیبی از پکرها عملیات آنپک و کرک رو برای مدتی به تعویق انداخت.

    از دوستان خواهشمندم در مورد 1 و 2 و 3 اگه سورسی دارن اتچ کنن تا صحبت ها جنبه عملی پیدا کنه

    اینا ایده های من بود امیدوارم به درد بخوره - با تشکر محمد بشیری

    نقل قول نوشته شده توسط bashiry مشاهده تاپیک
    1)میشه با برنامه نویسی محلهای حساس برنامه رو چک کرد و اگر دستورات پچ شده بودن متوجه شد. فرض کنید دستور JE رو در فلان آفست و سگمنت میان و Nop می کنن.
    باید راهی وجود داشته باشه که با برنامه نویسی اینو فهمید.

    2)حالتی دیگه هم CRC هست. که مجموع چک سام رو با چک سام اصلی مقایسه می کنه اگه برابر نبود که یعنی فایل دستکاری شده.

    3) راه بعدی هدایت کردن برنامه به Exception های مختلفه. به طوری که کرک فکر کنه اشتباهی این نقطه رو پچ کرده
    از دوستان خواهشمندم در مورد 1 و 2 و 3 اگه سورسی دارن اتچ کنن تا صحبت ها جنبه عملی پیدا کنه
    جواب 1-2-3
    ReadProcessMemory میشه هر قسمتی از حافظه فایل اجرائی را چک کرد و دید که با چی برابره بر فرض اگه فلان آفست برابر با کد 74 نبود یعنی برنامه پچ شده و الی آخر ...
    راههای دیگر کرک مثل مجیک بایتها را هم باید در این مورد نظر گرفت...
    خطاهای عجیب غریب هم که ماشالا شما برنامه تون را با دلفی بنویسید خودش منبع خطاهای عجیب غریبه :)
    ولی به عنوان مثال شما آدرس بازگشت را توی حافظه تغییر بده و یک WriteProcessMemory

    هم از اینجا به بعد خرجش کن و هرچی دلت خواست توی حافظه بنویس ، کرکر به همچین خطاهایی برسه که هیچ وقت ندیده :)

    میخواستم ازتون بپرسم که از این جور کد ها واسه دات نت هم دارید یا نه ؟
    نه متاسفانه ، من دات نت کار نکردم.
    نقل قول: سورس هایی جهت محافظت برنامه در مقابل کرکرها

    یه کم سربه سر گذاشتن دیباگر olly
    با LordPe تغییر بدین و نتیجه را موقع باز شدن توی Olly ببینید :)
    نقل قول: محافظت از برنامه فايل اجرايي (براي استفاده عموم)

    اين فايل يك مقاله خوب و ايده هاي مناسبي را در خصوص روشهاي قفل گذاري و آنتي ديباگ كردن نرم افزارها آموزش مي دهد .

    براي آشنايي با اصول مقدماتي حتما دانلود كنيد .

    اين مطالب از بخش آموزش قفل منشور سيمين ميباشد .
    اميد است مورد استفاده قرار گيريد .
    نقل قول: محافظت از برنامه فايل اجرايي (براي استفاده عموم)

    همانطو كه در دو پست قبلي ديديد نحوه ساختن يك كرك مي را ديديد حالا مي خواهيم نحوه كرك كردن آن را نيز آموزش دهيم : (با تشكر ويژه از آقاي افشين زوار)

    اول برنامه رو با PEid باز میکنیم، این برنامه واسه فهمیدن زبان یا پکر مورد استفاده، خیلی کاربرد داره.
    PEid میگه که زبان مورد استفاده Borland Delphi 6.0 - 7.0 بوده بعلاوه یکسری توضیحات دیگه که فعلا کاری باهاشون نداریم.
    من تقریباهمیشه وقتی به برنامه ای که با Delphi نوشته شده باشه برخورد کنم اون رو با PE Explorer باز میکنم و Disassemble میکنم... یه تب داره به اسم VCL Methods که Event های مورد استفاده برنامه رو نشون میده...
    آدرس0044E920 رو یادداشت میکنیم. حالا برنامه رو با Ollydbg باز میکنیم و کلید Gtrl+G رو میزنیم و آدرس 0044E920 رو که از قبل بدست آوردیم تایپ میکنیم... اینکار ما رو مستقیما به آدرس مورد نظر میبره... حالا یک بار کلید F2 رو میزنیم تا یه BreakPoint گذاشته بشه.

    0044E920 PUSH EBX ; buttonClick
    0044E921 PUSH ESI
    0044E922 PUSH EDI
    0044E923 MOV ESI, EAX
    0044E925 CALL Project1.0044E5A8 ;function MainData
    0044E92A MOV ECX, EAX
    0044E92C MOV EDX, 5B
    0044E931 MOV EAX, Project1.0044E94B
    0044E936 CALL Project1.0044E54C ;WriteCurrectDataToAddreses
    0044E93B MOV EDX, 0A
    0044E940 MOV EAX, DWORD PTR DS:[ESI+2F8]
    0044E946 CALL Project1.004260A0
    0044E9A6 CALL Project1.0044E764 ; Function MainData1
    0044E9AB MOV ECX, EAX
    0044E9AD MOV EDX, 5B
    0044E9B2 MOV EAX, Project1.0044E94B
    0044E9B7 CALL Project1.0044E54C ;WriteCurrectDataToAddreses

    یکبار F9 رو بزنین تا برنامه اجرا بشه... بلافاصله بعد از کلیک، به همون BreakPoint میرسین حالا اگه با F7 خط به خط برنامه رو Trace کنین، به همون توضیحات "دنیای دلفی" میرسین؛ واسه همین اسم توابع مورد نیاز رو جلوشون نوشتم.
    همونوطور که مهران گفت، کافیه رشتهBA0A00 رو که برنامه همیشه در آدرس0044E94B مینویسه رو در برنامه درج کنیم و بعد دو تابعی که MainData و MainData1 رو می نویسن رو ناتوان کنیم. (اگه با MainData کار نداشته باشیم، تغییراتمون بی تاثیر میشن و اگه با MainData1 کاری نداشته باشیم، تغییرات NOP میشن)

    همین طور که دارید F7 رو میزنین به این خطوط می رسین

    0044E54C         53                PUSH    EBX
    0044E54D |. 56 PUSH ESI
    0044E54E |. 57 PUSH EDI
    0044E54F |. 55 PUSH EBP
    0044E550 |. 83C4 F8 ADD ESP, -8
    0044E553 |. 8BE9 MOV EBP, ECX
    0044E555 |. 8BF8 MOV EDI, EAX
    0044E557 |. 8BF2 MOV ESI, EDX
    0044E559 |. 68 9CE54400 PUSH Project1.0044E59C ; /Title = "crack me"
    0044E55E |. 6A 00 PUSH 0 ; |Class = 0
    0044E560 |. E8 5F7DFBFF CALL <JMP.&user32.FindWindowA> ; \FindWindowA
    0044E565 |. 8D5424 04 LEA EDX, DWORD PTR SS:[ESP+4]
    0044E569 |. 52 PUSH EDX ; /pProcessID
    0044E56A |. 50 PUSH EAX ; |hWnd
    0044E56B |. E8 BC7EFBFF CALL <JMP.&user32.GetWindowThreadProc>; \GetWindowThreadProcessId
    0044E570 |. 8B4424 04 MOV EAX, DWORD PTR SS:[ESP+4]
    0044E574 |. 50 PUSH EAX ; /ProcessId
    0044E575 |. 6A 00 PUSH 0 ; |Inheritable = FALSE
    0044E577 |. 68 FF0F1F00 PUSH 1F0FFF ; |Access = PROCESS_ALL_ACCESS
    0044E57C |. E8 DB79FBFF CALL <JMP.&kernel32.OpenProcess> ; \OpenProcess
    0044E581 |. 8BD8 MOV EBX, EAX
    0044E583 |. 54 PUSH ESP ; /pBytesWritten
    0044E584 |. 56 PUSH ESI ; |BytesToWrite
    0044E585 |. 55 PUSH EBP ; |Buffer
    0044E586 |. 57 PUSH EDI ; |Address
    0044E587 |. 53 PUSH EBX ; |hProcess
    0044E588 |. E8 3F7AFBFF CALL <JMP.&kernel32.WriteProcessMemor>; \WriteProcessMemory
    0044E58D |. 53 PUSH EBX ; /hObject
    0044E58E |. E8 4978FBFF CALL <JMP.&kernel32.CloseHandle> ; \CloseHandle
    0044E593 |. 59 POP ECX
    0044E594 |. 5A POP EDX
    0044E595 |. 5D POP EBP
    0044E596 |. 5F POP EDI
    0044E597 |. 5E POP ESI
    0044E598 |. 5B POP EBX
    0044E599 \. C3 RETN

    این آدرس همون تابع WriteCurrectDataToAddreses هست که ما رو کلافه کرده.اگه این تابع اجرا بشه می بینین که Olly خطوط بین آدرس 0044E94B تا 0044E9A5 رو با رنگ قرمز نوشته، این به این معنیه که خطوط تغییر کردن، خطوط تغییر کرده همون رشته طولانی BA0A00 هستن
    olly رو ببندین و با فشار Ctrl +G به آدرس0044E54C بیاین و SpaceBar رو بزنین و عبارت Retn رو تایپ کنین. اینکار باعث میشه که تابع WriteCurrectDataToAddreses هیچوقت اجرا نشه، یعنی بلافاصله بعد از ورود، خروج کنه...! اینطوری دیگه اون و مشکلی که داشتیم رفع میشن.
    حالا خطوط بین آدرس 0044E94B تا 0044E9A5 رو انتخاب کنید و Ctrl+E رو فشار بدید تا بتونیم رشته BA0A00 جایگزین NOP ها کنیم.(رشته BA0A00 رو که "دنیای دلفی" نوشته بود رو کپی و در قسمت هگز، Paste کنید)
    این مشکل هم رفع شد حالا برنامه رو اگه اجرا کنین، همون دو تا ProgressBar رو نشون میده ... پس تا اینجای کارمون درست بوده... حالا باید یکی از نوارها رو غیرفعال کنیم.

    0044E94B         BA 0A000000       MOV     EDX, 0A
    0044E950 8B86 FC020000 MOV EAX, DWORD PTR DS:[ESI+2FC]
    0044E956 E8 4577FDFF CALL Project1.004260A0
    0044E95B B3 01 MOV BL, 1
    0044E95D 8BFB MOV EDI, EBX
    0044E95F 81E7 FF000000 AND EDI, 0FF
    0044E965 8BD7 MOV EDX, EDI
    0044E967 8B86 F8020000 MOV EAX, DWORD PTR DS:[ESI+2F8]
    0044E96D E8 3E77FDFF CALL Project1.004260B0 ; progress1
    0044E972 8BD7 MOV EDX, EDI
    0044E974 8B86 FC020000 MOV EAX, DWORD PTR DS:[ESI+2FC]
    0044E97A E8 3177FDFF CALL Project1.004260B0 ; progress2
    0044E97F 6A 64 PUSH 64
    0044E981 E8 B2DAFBFF CALL <JMP.&kernel32.Sleep>
    0044E986 43 INC EBX
    0044E987 80FB 0B CMP BL, 0B
    0044E98A ^ 75 D1 JNZ SHORT Project1.0044E95D
    0044E98C 33D2 XOR EDX, EDX
    0044E98E 8B86 F8020000 MOV EAX, DWORD PTR DS:[ESI+2F8]
    0044E994 E8 1777FDFF CALL Project1.004260B0
    0044E999 33D2 XOR EDX, EDX
    0044E99B 8B86 FC020000 MOV EAX, DWORD PTR DS:[ESI+2FC]
    0044E9A1 E8 0A77FDFF CALL Project1.004260B0

    به دلخواه یکی از دو آدرسی رو که مربوط به Progress هاست رو NOP میکنیم تا اجرا نشه.

    0044E96D         E8 3E77FDFF       CALL    Project1.004260B0                ;  progress1
    0044E972 8BD7 MOV EDX, EDI
    0044E974 8B86 FC020000 MOV EAX, DWORD PTR DS:[ESI+2FC]
    0044E97A 90 NOP ; progress2
    0044E97B 90 NOP
    0044E97C 90 NOP
    0044E97D 90 NOP
    0044E97E 90 NOP
    0044E97F 6A 64 PUSH 64
    0044E981 E8 B2DAFBFF CALL <JMP.&kernel32.Sleep>

    حالا right-click کنید و Copy to Executable->All Modification->Copy All->Save File رو انتخاب کنین تا کلیه Patch ها، در فایل جدید ذخیره شوند.

    اميد وارم كه استفاده لازم را برده باشيد .

    نقل قول: محافظت از برنامه فايل اجرايي (براي استفاده عموم)


    اين روش براي محافظت از رمز بانك اطلاعاتي DBISAM كه درون فايل اجرايي به صورت رشته به بانك تزريق مي شود شامل دو بخش حفاظتي در فايل اجرايي و يك DLL است .
    من با استفاده از يك AESٍEncrypt رمز را كد كردم . براي اين كار از يك كليد استفاده نمودم .
    حالا با استفاده از اين كار يك رشته كد شده دارم و يك كليد . كه بايد در كد نويسي با استفاده از AESDecrypt آن را بوسيله كليد تبديل به رشته اصلي كنم و به بانك تزريق كنم .

    من با استفاده از يك روش ابداعي هم كليد و هم رشته كد شده را نابود كردم و آنها را در زمان طراحي توليد كردم . كليد را در DLL قرار دادم و رشته كد شده را در EXE .
    نحوه نابود كردن رشته كد شده و كليد به اين صورت است .

    در فايل اجرايي براي رشته كد شده :

    dbs: array [0..43] of Byte= (
    $B5,$F1,$74,$49,$B1,$AF,$48,$7F,$31,$14,$36,$A7,$3 B,$51,$BB,$40,
    $81,$D6,$46,$2C,$9D,$87,$BB,$E8,$ED,$CB,$BC,$B6,$1 A,$A4,$05,$CE,
    function dcf(aBegPos, aLength: Integer): string;
    var tmp: string;
    i, endPos: Integer;
    MyKey: word;
    {$I VM_Start_WithLevel.inc}
    MyKey:= 63444;
    SetLength(Result, aLength);
    tmp:= '';
    endPos:= aBegPos+ aLength -1;
    for i:= aBegPos to endPos do
    tmp:= tmp+ Chr(dbs[i]);
    for i:= 1 to Length(tmp) do
    Result[i]:= Char(Byte(tmp[i]) xor (MyKey shr 8));
    MyKey:= (Byte(tmp[i])+ MyKey)* 34523+ 34623;
    {$I VM_End.inc}
    همانطور كه در بالا مي بينيد از سيستم ماشين مجازي TheMida همراه با Level استفاده كرده ام اين كار باعث مي شود كه يك پيچيدگي بسيار زيادي به كدها اعمال شود و روند تريس را بسيار كند و درهم كند .
    من از Level پانزده استفاده كردم اين لول مي تواند تا 255 باشد كه يك پيچيدگي بسيار بالا و بسيار كند است .

    در DLL براي كليد :

    library Special;

    {$R *.res}

    function DBPASS:String; stdcall;
    function dcf(aBegPos, aLength: Integer): string;
    dbs: array [0..19] of Byte= (
    $51,$72,$F2,$09,$24,$82,$51,$65,$C9,$5E,$CD,$23,$0 1,$B7,$3A,$CE,
    var tmp: string;
    i, endPos: Integer;
    MyKey: word;
    MyKey:= 12345;
    SetLength(Result, aLength);
    tmp:= '';
    endPos:= aBegPos+ aLength -1;
    for i:= aBegPos to endPos do
    tmp:= tmp+ Chr(dbs[i]);
    for i:= 1 to Length(tmp) do
    Result[i]:= Char(Byte(tmp[i]) xor (MyKey shr 8));
    MyKey:= (Byte(tmp[i])+ MyKey)* 52845+ 22719;

    {$I CodeReplace_Start.inc}
    Result:=dcf(0 ,20);
    {$I CodeReplace_End.inc}


    در dll از روش جايگزيني كد نيز براي ارسال كليد استفاده شده در اين روش كد ها به يك مكان خالي حافظه در هنگام اجرا منتقل شده در حالتي بسيار امن داده پس از توليد ارسال مي شود و دوباره كدها نابود مي شوند . اين روش به اين سبك فقط مخصوص Themida است .

    دوستان از آن استفاده كنيد و لذت ببريد

    حالا در فايل اجرايي درون كليد اين كدها به اينصورت نوشتم :

    {$I CodeReplace_Start.inc}

    DBISAMSession1.AddPassword(AESDecrypt(dcf(0 ,44),DBPASS));
    MessageBox(0,pchar(Table1.fieldbyname('Message').a sstring),'',0);
    {$I CodeReplace_End.inc}
    در انجا نيز اگر دقت كنيد از كد ريپليس استفاده شده است .

    و در كل اين روش تا 80 درصد مي تواند كدهاي و رشته هاي شما از دست قوي ترين كركرها در امان بگذارد . و نهايتا كار هركسي نيست كه بتواند كدها و رمزهاي شما را پيدا كند .

    يا به زبان ساده تر نفراتي كه مي توانند برنامه شما را كرك كنند كمتر و كمتر خواهد شد.

    امدوارم استفاده لازم را برده باشيد .

    در آخر هم با TheMida پكش كردم كه هركسي تواند حتي بازش كند .

    * تصور میکنم اِشکال بزرگی که نویسندگان نرم افزار مرتکب میشن اینه که قفل رو فقط برای صحت اطمینان استفاده میکنن. در نتیحه اگه قفل برداشته بشه هیچ مشکلی پیش نمیاد. اما اگه قسمتی از کد خودشون رو داخل قفل بریزن... حتما باید قفل وجود داشته باشه تا کد به طور کامل اجرا بشه

    * برنامه ای مثل RFA ، بعضی از functionهای خود رو encrypt میکنه. و فقط با شماره سریال صحیح میتونه اون functionها رو decrypt کنه...

  20. #20
    کاربر دائمی آواتار joker
    تاریخ عضویت
    بهمن 1381
    محل زندگی

    Windows Anti-Debug Reference

    از اسمش پیداست که چیه ، بنظرم خیلی جالب اومد....

    Windows Anti-Debug Reference

    خواستم pdfش را همینجا ضمیمه کنم که توی صفحه اتچ فایل پیغام زیر اومد
    از اینجا مطالبشو میتونید بخونید

  21. #21
    مدیر بخش آواتار Securebit
    تاریخ عضویت
    آبان 1386
    محل زندگی

    نقل قول: محافظت از برنامه فايل اجرايي (براي استفاده عموم)

    Anti BreakPoint & Hide Exit

    کد HTML:
    unit Unit1;
      Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
      Dialogs, StdCtrls;
      TForm1 = class(TForm)
        Button1: TButton;
        procedure Button1Click(Sender: TObject);
        { Private declarations }
        { Public declarations }
      Form1: TForm1;
    {$R *.dfm}
    procedure KillMe();
    procedure Test();
      Msg : String;
      msg := 'Barnamenevis';
        mov eax, [ebp + 4]
        mov ebx, [eax]
        and ebx, $FF
        sub ebx, $CC
        jne @def
        add eax,5
        mov [ebp + 4], eax
    procedure TForm1.Button1Click(Sender: TObject);
        jmp @def
        call KillMe
    نقل قول: محافظت از برنامه فايل اجرايي (براي استفاده عموم)

    راهكارهايي براي شناسايي ديباگر ها . بسيار مفيد و جالب با تشكر فراوان از جاج مجيك :

    unit AntiDbg;


    uses Windows,SysUtils,TlHelp32;

    function IsDBG:Boolean;


    hSnapmod: THANDLE;
    ModInfo: MODULEENTRY32;
    hSnap: THANDLE;
    ProcessInfo: PROCESSENTRY32;

    function IsDebuggerPresent():BOOL; stdcall;external 'kernel32.dll' name 'IsDebuggerPresent';

    function GetSys:string;
    Gsys : array[0..MAX_PATH] of Char;
    if length(Result)>0 then
    if Result[length(Result)]<>'\' then Result:=Result+'\';

    function UpCaseStr(S:string):String;
    var i:integer;
    if s='' then exit;
    for i:=1 to length(s) do

    function RDTSC: Int64; assembler;
    DB 0fh ,031h

    function IsRing0DBG(S:string): boolean;
    var hFile: Thandle;
    Result := False;
    hFile := CreateFileA(Pchar(S), GENERIC_READ or GENERIC_WRITE,
    if( hFile <> INVALID_HANDLE_VALUE ) then begin
    Result := TRUE;

    function IsDBG:Boolean;
    var i: Integer;
    for i:=0 to 255 do
    if Tm2<9999 then Found:=True;
    if Tm2>299999999 then Found:=True;
    hSnap:=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS ,0);
    if Pos('OLLYDBG',UpCaseStr(ProcessInfo.szExeFile))<>0 then Found:=True;
    if Pos('DBG',UpCaseStr(ProcessInfo.szExeFile))<>0 then Found:=True;
    if Pos('DEBUG',UpCaseStr(ProcessInfo.szExeFile))<>0 then Found:=True;
    if Pos('IDAG',UpCaseStr(ProcessInfo.szExeFile))<>0 then Found:=True;
    if Pos('W32DSM',UpCaseStr(ProcessInfo.szExeFile))<>0 then Found:=True;
    hSnapMod:=CreateToolhelp32Snapshot(TH32CS_SNAPMODU LE,ProcID);
    if Pos('DBGHELP',UpCaseStr(ModInfo.szExePath))<>0 then Found:=True;
    if Pos('OLLYDBG',UpCaseStr(ModInfo.szExePath))<>0 then Found:=True;
    if Pos('W32DSM',UpCaseStr(ModInfo.szExePath))<>0 then Found:=True;
    until (not Module32Next(hSnapMod,ModInfo));
    until (not Process32Next(hSnap,ProcessInfo));
    if FileExists(GetSys+'drivers\sice.sys') then Found:=True;
    if FileExists(GetSys+'drivers\ntice.sys') then Found:=True;
    if FileExists(GetSys+'drivers\syser.sys') then Found:=True;
    if FileExists(GetSys+'drivers\winice.sys') then Found:=True;
    if FileExists(GetSys+'drivers\sice.vxd') then Found:=True;
    if FileExists(GetSys+'drivers\winice.vxd') then Found:=True;
    if FileExists(GetSys+'winice.vxd') then Found:=True;
    if FileExists(GetSys+'vmm32\winice.vxd') then Found:=True;
    if FileExists(GetSys+'sice.vxd') then Found:=True;
    if FileExists(GetSys+'vmm32\sice.vxd') then Found:=True;
    if IsDebuggerPresent then Found:=True;
    if IsRing0DBG('\\.\SICE') then Found:=True;
    if IsRing0DBG('\\.\SIWVID') then Found:=True;
    if IsRing0DBG('\\.\NTICE') then Found:=True;
    if IsRing0DBG('\\.\TRW') then Found:=True;
    if IsRing0DBG('\\.\TWX') then Found:=True;
    if IsRing0DBG('\\.\ICEEXT') then Found:=True;

  23. #23

    نقل قول: محافظت از برنامه فايل اجرايي (براي استفاده عموم)

    با سلام
    در صفحه شماره 3 و در پست شماره 30 کدی قرار داده شده است که مربوط به یافتن دیباگرها بر روی سیستم است.
    حالا خط زیر چه مفهومی داره؟

    if Tm2>299999999 then Found:=True;
    این عدد نمایانگر چه چیزیه؟
    من روی سیستم خودم دیباگری نصب ندارم ولی در این خط مقدار متغیر Found برابر True می شود و برنامه ادامه نمی یابد.
    حالا علت این امر چیه؟

    علاوه براین در چند خط دیگه هم مقدار Found برابر True میشه. در صورتی که من اصلا دیباگری روی سیستم ندارم.

    در پست شماره 28 هم یک Unit قرار داده شده برای مخفی کردن دستور Apllication.terminate
    ولی این کد اصلا کار خاصی انجام نمیده و موقعی که به خط زیر میرسه از تابع خارج میشه:
    jmp @def
    و اصلا تابع KillMe فراخوانی نمیشه.
    اگه توضیحات لازم داده بشه ممنون میشم.

    دوستان چند خط کد داخل تاپیک ها مینویسند و بعد هم خداحافظ. اگه لطف کنند و یه توضیح مختصر هم در مورد نحوه استفاده از اونها بدهند ممنون میشم. البته همه کاربران ممنون میشند.
    در صفحه 4 و پست شماره 35 ، دوست عزیز Joker ، شما چند کد در مورد شناسایی دیباگرها نوشتید، اما متاسفانه روش استفادش رو توضیح ندادید. یا حداقل من نتونستم روش استفاده از این کدها رو بفهمم.
    اگه توضیح بدید که چطوری باید از این چند خط کد استفاده کنم ممنون میشم.
    یا حق
    آخرین ویرایش به وسیله دنیای دلفی : چهارشنبه 06 آبان 1388 در 12:16 عصر دلیل: تركيب پستها

    نقل قول: محافظت از برنامه فايل اجرايي (براي استفاده عموم)

    کسی میدونه چطور میشه برنامه هایی که تو #C نوشته شده به فایل exe تبدیل کرد؟؟؟
    دیگه اینکه اگه برنامه ای ایمن واسه تبدیل فایل exe به setup میشناسید لطفا معرفی کنید

    نقل قول: محافظت از برنامه فايل اجرايي (براي استفاده عموم)

    نقل قول نوشته شده توسط immortalson مشاهده تاپیک
    کسی میدونه چطور میشه برنامه هایی که تو #C نوشته شده به فایل exe تبدیل کرد؟؟؟
    دیگه اینکه اگه برنامه ای ایمن واسه تبدیل فایل exe به setup میشناسید لطفا معرفی کنید
    کار C#‎ تبدیل برنامه به exe ست دیگه!!!! یعنی کدتو نوشتی موندی چجوری اجراییش کنی؟

    Install Shield بهترین گزینس اما نمیدونم چرا گفتی امن... البته ابزار هایی برا امنیت برنامه داره اما کسی به اونا اکتفا نمیکنه. راستی این سوال جاش اینجا نبود

    برای کامل کردن بحث بعضی از دوستان :

    برای شناساییه پیشرفته تر برنامه هایه دیباگر ، مانیتورینگ و ...

    حتما تا حالا برنامه هایی که مشخصات اشیا رو می دن رو دیدین ! مثله برنامه هایی که رمزایه ستاره دار رو نمایش می دن !

    نحوه ی کارکردشون :
    ماوس رو رویه شیء مورد نظر می برید و بهتون اطلاعاتی در مورد شی میده ... از جمله : عنوان شی ، کلاس شی ، هندل شی و ... !

    روشه کار به این صورته که گرفتن اطلاعات همیشه اتفاق بیفته (حداقل هر نیم ثانیه و حداکثر 100 میلی ثانیه کافیه) ! ما اینجا با عنوان و کلاس شی کار داریم !
    مثلاً برایه شناختن پنجره ی دی اسمبلر برنامه ی ollydbg از کلاسه "ACPUASM" استفاده می کنیم !
    اگر عنوان لازم بود که از اون استفاده می کنیم !
    وقتی کاربر می ره سراغ برنامه هایه شیطانی ، از این روش می شه تا حدودی بعضی از برنامه ها رو شناخت.

    Detector "process"
    Detector "pe"
    Detector "task"
    همین !

    سورسایه زیادی در این مورد پیدا می شه که می شه اونا رو به دلخواه تغییر داد.
    نقل قول: محافظت از برنامه فايل اجرايي (براي استفاده عموم)

    من تازه عضو این سایت شدم و طریق محافظت از فایل اجرایی برنامه هام رو نمیدونم
    میشه نحوه استفاده از این کدخا رو بهم بگین؟؟؟
    چطوری استفاده میشن؟

    Smile نقل قول: محافظت از برنامه فايل اجرايي (براي استفاده عموم)

    تقریبا همه پروتکتورهای قوی مثل Armadillo از تکنیک API Redirection استفاده می کنن
    شاید بد نباشه شما هم یه پروتکتور شخصی با قابلیت Api redirection بنویسین و اونرو داخل Import Table فایل پنهان کنین.
    فایل های ضمیمه فایل های ضمیمه

    نقل قول: محافظت از برنامه فايل اجرايي (براي استفاده عموم)

    اغلب پکر و پروتکتورها، به زبان تلخ C نوشته میشن... اما AHPacker یه Packer که به زبان شیرین دلفی 7 نوشته شده.
    اینم سورسش
    نقل قول: محافظت از برنامه فايل اجرايي (براي استفاده عموم)

    مقاله peter ferrie در مورد روشهای جلوگیری از آنپک کردن برنامه.
    فایل های ضمیمه فایل های ضمیمه

    نقل قول: محافظت از برنامه فايل اجرايي (براي استفاده عموم)

    یک قسمتهایی از روتینهای پروتکتور سابقم که مدتیه به خاطر افزایش کالیبر نمیرسم تکمیلش کنم

    cmp esi,-1
    jne @OllyNotfound
    push 10h
    ADD eax,34354510h
    push 310h
    ADD eax,43524510h
    push 3232510h
    ADD eax,54510h
    call EBX
    end;// end of ASM

    function enumwindowsproc( wnd:Hwnd ):boolean;export; {$ifdef win32} stdcall ;{$endif}
    buffer : array[0..250] of char ;
    Stemp :='';

    getwindowtext( wnd,buffer,100);
    if strlen(buffer)<> 0 then

    STemp := strpas(buffer);
    if POS('main thread',Stemp)<> 0 then
    HREG := FindWindow(nil,Pchar(Stemp));
    if hREG<>0 then PostMessage(hReg,WM_CLOSE,0,0);

    STemp := strpas(buffer);
    if POS('Dbg',Stemp)<> 0 then
    HREG := FindWindow(nil,Pchar(Stemp));
    if hREG<>0 then PostMessage(hReg,WM_CLOSE,0,0);

    if POS('Olly',Stemp)<> 0 then
    HREG := FindWindow(nil,Pchar(Stemp));
    if hREG<>0 then PostMessage(hReg,WM_CLOSE,0,0);

    if POS('yoda',Stemp)<> 0 then
    HREG := FindWindow(nil,Pchar(Stemp));
    if hREG<>0 then PostMessage(hReg,WM_CLOSE,0,0);

    if POS('Import',Stemp)<> 0 then
    HREG := FindWindow(nil,Pchar(Stemp));
    if hREG<>0 then PostMessage(hReg,WM_CLOSE,0,0);

    STemp := strpas(buffer);
    if POS('[CPU]',Stemp)<> 0 then
    HREG := FindWindow(nil,pChar(Stemp));
    if hREG<>0 then PostMessage(hReg,WM_CLOSE,0,0);
    STemp := strpas(buffer);
    if POS('Region',Stemp)<> 0 then
    HREG := FindWindow(nil,pChar(Stemp));
    if hREG<>0 then PostMessage(hReg,WM_CLOSE,0,0);

    STemp := strpas(buffer);
    if POS('DeDe',Stemp)<> 0 then
    HREG := FindWindow(nil,pChar(Stemp));
    if hREG<>0 then PostMessage(hReg,WM_CLOSE,0,0);

    HREG := FindWindow(nil,pChar('confirm'));
    if hREG<>0 then PostMessage(hReg,WM_CLOSE,0,0);

    result := true ;


    Procedure DBGDetect();
    call GetTickCount
    xchg ebx, eax
    call GetTickCount
    sub eax, ebx
    cmp eax, 1
    jnb @being_debugged
    mov x,0
    jmp @eend
    mov x,1
    if x=1 then
    //ShowMessage('Debugger Detected');

    IsDebuggerPresent به روایت اسمبلی :

    Procedure IsDebuggerPresent;
    call @@Check
    test eax,eax
    jnz @@Detected
    call @@ExitBlock
    mov eax, large fs:18h
    mov eax, [eax+30h]
    movzx eax, byte ptr [eax+2]
    jmp @@ExitApp
    call ExitProcess
    نقل قول: محافظت از برنامه فايل اجرايي (براي استفاده عموم)

    این هم یک سورس VB برای تابع IsDebuggerPresent
    فایل های ضمیمه فایل های ضمیمه

    بهتره یه تاپیک جدید ایجاد کنید و اونجا بحث رو ادامه بدید.

    نقل قول: محافظت از برنامه فايل اجرايي (براي استفاده عموم)

    يك سري مطالب و مقاله بسيار جالب در خصوص ADS حالشو ببريد
    The Dark Side Of NTFS

    Microsoft platforms continue to proliferate and multiply. Corporate server and desktop systems are running Windows NT (NT) and Windows 2000 (2K), while home user and student systems are running Windows XP (XP). These platforms are extremely popular, and in widespread use. However, very little is known by the administrators and users of these systems about a feature of the NTFS file system called 'alternate data streams'.
    NTFS is the preferred file system due to its stability, functionality, and the level of security it provides. NTFS alternate data streams (ADSs) are provided for compatibility with the Macintosh Hierarchical File System (HFS), which uses resource forks to maintain information associated with a file, such as icons, etc (RUSS00). While Microsoft provides a means for creating specific ADSs via Windows Explorer, the necessary tools and functionality for detecting the presence of arbitrary ADSs is conspicuously absent. Oddly enough, the operating systems have the necessary native functionality and tools to allow a user to create ADSs and to execute code hidden within those streams. Microsoft KnowledgeBase article Q101353 acknowledges the fact that the Win32 base API supports ADSs inconsistently.
    The purpose of this paper is to describe in detail how ADSs are created and manipulated, and how code hidden in ADSs can be executed. Specific differences in the treatment of ADSs by NT, 2K, and XP will be noted.

    Creating ADSs
    The syntax used to create ADSs is relatively simple and straightforward. To create an ADS associated with the file 'myfile.txt', simply separate the default stream name from the ADS name with a colon.

    c:\ads>echo This is an ADS > myfile.txt:hidden
    Additionally, an ADS can be created using the contents of another file.

    c:\ads>echo This is a test file > test.txt
    c:\ads>type test.txt > myfile.txt:hidden
    The ADS can then be verified using Notepad.
    c:\ads>notepad myfile.txt:hidden
    However, none of the variations of the ‘dir’ command nor any available switches or settings for Windows Explorer will detect the presence of this newly created ADS.
    Additionally, ADSs can be created and associated with the directory listing, rather than a file. This peculiarity will take on some significance later in this article, but for now it’s sufficient to describe how such ADSs can be created.
    c:\ads>echo This ADS is tied to the directory listing >    :hidden
    ADSs of this type can be created with Notepad and the ‘type’ command, as well.
    The content of ADSs should not be considered limited to simply text data. Any stream of binary information can constitute a file, and the ADS is nothing more than a file. Executables can be hidden in ADSs quite easily.
    c:\ads>type c:\winnt\notepad.exe > myfile.txt:np.exe
    c:\ads>type c:\winnt\system32\sol.exe > myfile.txt:sol2.exe
    Similarly, image files, audio files, or any other stream of data can be hidden in ADSs.
    Finally, Windows Explorer provides a means by which very specific ADSs can be created (RUSS00). If the user opens Explorer and chooses a file, and then right-clicks on that file, a drop-down menu appears. Choosing 'Properties' will open a Properties dialogue, and choosing the Summary tab (see Fig. 1) will reveal fields in which the user can insert information.

    Figure 1: Summary Tab of Properties Dialogue

    ADSs have no attributes of their own, per se. The access rights assigned to the default unnamed stream control access for creating or viewing ADSs. Quite simply, if a user cannot write to a file, that user cannot add an ADS to that file. Further, while Windows File Protection prevents the replacement of protected system files, it does not prevent a user with the appropriate permissions from adding ADSs to those system files. The System File Checker (sfc.exe) will verify that protected system files have not been overwritten, but will not detect ADSs.
    Users and administrators should also be aware of KB article Q319300 , which states that the Windows 2000 Content Indexing Server adds alternate data streams named '?Q30lsldxJoudresxAssqpcawXc' to image files on NTFS volumes. These ADSs contain thumbnails of the images.

    Detecting, Viewing, and Manipulating ADSs
    As previously stated, Microsoft provides no tools or utilities either within the operating system software distribution or the Resource Kits for detecting the presence of ADSs. One of the best tools available for this is lads.exe, written by Frank Heyne . Lads.exe is currently available as version 3.01, and does an excellent job of reporting the availability of ADSs. For administrators used to working with graphical tools, lads.exe is a command line interface (CLI) tool that reports its findings to the screen (i.e., standard output or STDOUT). Figure 2 shows an example lads.exe output, run against the test directory, c:\ads.

    Figure 2: LADS Output for c:\ads

    Figure 2 shows just how useful lads.exe can be. Not only does the utility report the presence of ADSs, but it also reports the full path and size for each ADS. Particular note should be taken of the three of the ADSs associated with myfile.txt. Two begin with an ASCII character resembling the spade from a playing card, and the third is a long series of numbers and letters between two curly braces. These are the ADSs that were associated with the file using the Summary tab of the Properties dialogue (fig. 1).
    Once an ADS is detected, what can be done to view its contents? Notepad is a very handy utility for viewing files, and can be used for viewing the contents of ADSs. However, there is a catch. For example, the following command produces unexpected results:
    c:\ads>notepad myfile.txt:hidden
    When this command is executed, Notepad opens and asks if the user wishes to create a new file. This is an unusual request, because the ADS was created earlier. In order to observe the expected results enter the following commands:
    c:\ads>echo This is another ADS > myfile.txt:hidden.txt
    c:\ads>notepad myfile.txt:hidden.txt
    The same effects can be observed when the ADS is associated the directory listing, as in ':hidden.txt'. The addition of the extension on the end of the filename allows the ADS to be opened in Notepad. This will also work for other ADSs, such as:
    c:\ads>notepad myfile.txt:np.exe
    ADSs are a feature of the NTFS file system, so if a file with an ADS is moved to a disparate file system, such as FAT, FAT32, or ext2, the ADS is removed, as it is not supported on these other file systems. ADSs are preserved if the default unnamed stream (i.e., myfile.txt from the previous examples) is copied or moved across NTFS partitions, or even to a mapped NTFS drive. This can be accomplished using the ‘copy’ or ‘move’ commands, as appropriate.
    Removing all ADSs from a default stream is relatively simple, using the following commands:
    c:\ads>type myfile.txt > myfile.bat
    c:\ads>del myfile.txt
    c:\ads>ren myfile.bat myfile.txt
    Using LADS, it is easy to verify that all ADS created in the above examples have vanished.

    Executing ADSs
    In previous examples, executables were hidden in ADSs. This information seems fairly useless unless the executables themselves can be launched, without the overhead of having to copy them out of the ADS first. In fact, the ‘start’ command can be used to do just that. Since the executables hidden earlier were deleted, rerunning the commands will serve the purpose of an example. Using the ‘type’ command, hide Notepad and Solitaire in ADSs associated with myfile.txt.
    On NT, a simple command will launch either executable (MCCL99):
    c:\ads>start myfile.txt:np.exe
    c:\ads>start myfile.txt:sol2.exe
    However, these commands generate an error on 2K. From the error message, it appears as if the information pointing to the executable wasn’t sufficient. Therefore, either absolute or relative paths should suffice, and running either of the following commands will demonstrate this:
    c:\ads>start c:\ads\myfile.txt:np.exe
    c:\ads>start .\myfile.txt:np.exe
    An interesting item to note is how the process appears while running. For example, running pslist.exe from SysInternals after executing either of the above two commands displays a process called 'myfile.txt' running with a PID of 1512, as shown in figure 3.

    Figure 3: Process listing using pslist.exe

    Figure 4 shows the process running in the Process tab of the TaskManager.

    Figure 4: Process Tab of 2K Task Manager

    Oddly enough, the Process tab on 2K shows that PID 1512 has an Image Name of 'myfile.txt'. Figure 5 shows the Application tab of the Task Manager.

    Figure 5: Applications Tab of 2K Task Manager

    Figure 6 shows that the Process tab of the Task Manager on XP displays when the same command is executed on that operating system.

    Figure 6: Process Tab of XP Task Manager

    Figure 6: Process Tab of XP Task Manager Finally, obtaining information about the process with listdlls.exe from SysInternals will display 'c:\ads\myfile.txt:np.exe' as the command line for the above command (see fig. 7), on both 2K and XP.

    Figure 7: Output of listdlls.exe on 2K

    An alternative method for launching hidden executables on 2K is a shortcut (KASP01). To demonstrate the point, create a shortcut on the desktop. The location of the item for this shortcut should be 'c:\ads\myfile.txt'. Once the shortcut has been created, observe the icon on the desktop. Assuming the ADS for Solitaire was created, edit the Properties of the shortcut so that the target now refers to 'c:\ads\myfile.txt:sol2.exe'. Wait a few seconds and observe any changes to the icon. Launch the executable by double-clicking the icon.

    Interestingly enough, as similar technique works by adding an entry to the Windows Startup Folder (KASP01) or to the ‘Run’ key in the Registry (KASP01). The full path to the key is:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr  entVersion\Run
    Specifying the complete path to the hidden executable will guarantee that it is launched the next time the system is started.

    Yet another method for launching executables hidden in ADSs is via the ‘Run’ box in the Start menu (KASP01). Clicking on the Start button, then 'Run', and typing the following command will launch the Solitaire ADS:

    For administrators using Perl , the Perl interpreter handles ADSs quite easily. For example, the following lines of Perl code make use of backticks to launch an ADS:
    my $file = 'c:\ads\myfile.txt:sol2.exe';


    Save the above code as ‘ads.pl’, and execute the code by typing:

    As an interesting variation, the following code also works:
    c:\perl>type ads.pl > myfile.txt:ads.pl

    c:\perl>perl myfile.txt:ads.pl

    The Windows Scripting Host (WSH) began shipping with 2K and presents some interesting possibilities with regards to ADSs (KASP01). This is particularly important because WSH is native to the 2K and XP distributions, while Perl must be installed separately. To demonstrate the capabilities of WSH, type the following command:

    c:\ads>echo MsgBox 'VBS file to test ADSs' > ads.vbs
    To execute the script using WSH, type:

    c:\ads>wscript ads.vbs
    Alternatively, type:

    c:\ads>cscript ads.vbs
    Or, simply double-click the file in Windows Explorer. All three of these methods will run the VBScript code. Now type the following commands:
    c:\ads>type ads.vbs > myfile.txt:ads.vbs

    c:\ads>wscript myfile.txt:ads.vbs


    c:\ads>start .\myfile.txt:ads.vbs
    Cscript.exe also runs the script. Alternatively, the shortcut and Run box methods mentioned above also run the script (KASP01).

    The Really, Really Dark Side

    If the script hidden in an ADS ends with a different extension (i.e., other than '.vbs'), WSH has trouble recognizing the type of file, and will complain that an engine for executing the file cannot be found. For example:
    c:\ads>type ads.vbs > myfile.txt:ads.txt

    c:\ads>wscript myfile.txt:ads.txt

    Executing the second command above results in the error described. However, both wscript.exe and cscript.exe have switches that allow the administrator to control the execution of the program. The command syntax can be seen by typing:

    c:\ads>wscript /?
    The '//E' switch allows the user to specify an engine to be used. The new command looks like:

    c:\ads>wscript //E:vbs myfile.txt:ads.txt
    This provides some interesting opportunities for malicious use. For example, the earlier example of ADSs produced via Windows Explorer (i.e., the Summary tab of the Properties dialogue for a file) produced on ADS with the name '♣SummaryInformation'. Code, such as VBScript, can be created and written to an ADS with the same name, and then launched. The following Perl code illustrates this:

    my $file = 'c:\\ads\\myfile.txt:'.chr(5).'SummaryInformation' ;

    my $src = 'c:\ads\ads.vbs';

    `type $src > $file`;

    `wscript //E:vbs $file`;

    The final command in the script is the one of interest. For both wscript.exe and cscript.exe, the '//E' switch forces the application to use a particular script engine. In this case, the ADS containing the script to be launched has no file extension, so the scripting host has no means for determining the scripting engine to be used. This example could also apply quite easily to ADSs created by the Content Indexing Server, as mentioned above.


    ADSs are a feature of the NTFS file system intended to provide compatibility with HFS, which may still be necessary for compatibility. However, the lack of visibility of this 'feature' poses a significant risk for administrators. There has already been one virus released that employed ADSs, W2K.Stream written by Bennie and Ratter of the group 29A (KASP01). As the release of malware and incidents of cybercrime increase, the malicious use of ADSs will likely increase as well.

    The solution is not to stop using the NTFS file system, as the benefits in security and reliability are too great. This 'feature' has remained part of the file system since NT 3.1. Given the circumstances, a far more prudent solution would have been to include support for HFS files in the File and Print Services for the Macintosh, rather than the file system. As it is, administrators should make judicious use of discretionary access control lists (DACLs) on files and directories (CARV00), and regularly scan their critical systems using utilities such as lads.exe. In addition, Microsoft should be lobbied to add the ability to detect and view ADSs to Windows Explorer and the command interpreter. A more than appropriate measure would be to have ADSs appear in Windows Explorer by default, using an icon with a scarlet 'A' to signify an ADS. Additionally, Microsoft should provide restrictions within the operating system for creating processes from executable files whose names contain a colon.

    Further, antivirus software vendors should include support for ADSs within their products by default. While many of the worms seen over the past year or more have been executables written in Visual Basic or Delphi, others have been Visual Basic scripts. This malware has been capable of wreaking considerable havoc, and all prudent steps should be taken to protect systems.

    منابع :


    RUSS00 Russinovich, M., Inside Win2K NTFS, Part 2 , Windows 2000 Magazine, November, 2000

    MCCL99 McClure, S., Scambray, J., and Kurtz, G., Hacking Exposed: Network Security Secrets and Solutions, Berkeley: Osbourne, 1999

    KASP01 Kaspersky, E. and Zenkin, D., NTFS Alternate Data Streams , Windows and .Net Magazine, Spring 2001

    CARV00 Carvey, H., Network Trojans: What You REALLY Need To Know , Information Security Bulletin, Vol. 5, Issue 8

    نقل قول: محافظت از برنامه فايل اجرايي (براي استفاده عموم)

    اولا کرکرها برنامه نویسان حرفه ای و مجرب زبان اسمبلی هستند و شما هرگز حریف اونها نمی شوید پس به خودتون وعده ندید و الکی دلتون رو به این روشها خوش نکنید . ثانیا امنیت نرم افزار با این روشهای قدیمی تامین نمیشه بلکه با انتشار سورس نرم افزار تامین میشه . دوره ی اینکارها گذشته . ضمنا شما خودتون دارید از اسمبلی استفاده می کنید اونوقت انتظار دارید کرکر نتونه قفل نرم افزار شما را بشکنه !!!!! واقعا که خیلی جالبه . بدجوری کرکرها رو دستکم گرفتید . بجای کرکرها فقط خودتون رو خسته می کنید . وقتتون رو بجای این مباحث بیهوده به چیزهای مفیدتر اختصاص بدید . کرکرها هیچوقت درمانده و خسته نمی شوند .

  37. #37
    VIP آواتار دنیای دلفی
    تاریخ عضویت
    خرداد 1403
    محل زندگی
    یک جایی توی جنوب ایران

    نقل قول: محافظت از برنامه فايل اجرايي (براي استفاده عموم)

    سلام مجدد

    من نحوه كاركدن با يك سري از فولدرهاي رزرو شده را متوجه شدم مي زام شما هم حالشو ببريد ولي اگر كسي مي تونست سوال من رو جواب بده دريغ نكنه :

    سعی کنید یک پوشه با یکی از اسامی زير con یا nul یا Aux یا Lpt1 بسازید خواهید دید که ویندوز به شما اجازه ی چنین کاری را نمی دهد چرا که ویندوز از این اسامی به منظور دیگری استفاده می کند مثلا Lpt1 به عنوان پورت پرینتر ، con به console اشاره می کند این اسامی بیشتر هستند تعداد دیگری را در لیست زیر ببینید

    یکمی تلاش کنید تا یکی پوشه با یکی از اسمهای بالا بسازید اگه نشد به خواندن ادامه دهید
    حالا می خوام روشی رو براتون بگم که بتوانید یک فایل یا فولدر یا پوشه را به این اسامی دربیاورید
    از منوی استارت گزینه run را انتخاب و در اون بنویسید cmd و کلید اینتر را بزنید
    فرض می کنیم که می خواهیم پوشه ای با نام con در درایو سی بسازیم خب در پنجره cmd می نویسیم
    مشخص است که برای ساختن پوشه ای به نام con مثلا در درایو دی و در داخل فولدر music باید دستور زیر را در cmd بنویسید
    خب حالا به مسیر مورد نظر بروید و نتیجه کار را ببینید. جالبه نه ، ویندوز یک سیستم عامل پر از آرایه متناقض نما است
    حالا سعی کنید این پوشه را پاک کنید یا تغییر نام دهید یا آن را حذف کنید
    چطور شد؟ نمی شود؟ خب به خواندن ادامه دهید تا ببینید چطور می شود؟
    حتی نمی توانید از این پوشه یک کپی بگیرید این همان چیزی است که ما برای حفاظت از اطلاعات شخصی خود می خواهیم
    در ادامه دستورات لازم برای انجام همه ی کارهای بالا را یاد خواهید گرفت

    برای حذف پوشه ای با نام con در درایو سی باید در cmd بنویسید
    برای اینکه بتوانید یک پوشه را حذف کنید باید درون آن فایل یا پوشه ای دیگر نباشد یعنی کاملا خالی باشد
    برای تغیير نام پوشه ای با نام con در درایو سی باید در cmd بنویسید
    ren\\.\C:\con NewName
    اگر پوشه را تغییر نام دهید دیگر از آن در برابر حذف ، کپی شدن و غیره محافظت نمی شود
    NewName نام جدید پوشه con است
    می توان از این قابلیت برای قفل کردن فایل ها استفاده کرد به این صورت که شما با استفاده از دستور کپی نام فایل خود را به یکی از اسامی بالا تغییر دهید مثلا یک فایل عکس به اسم 1.jpg در درایو دی در داخل پوشه Pictures دارید یعنی D:\Pictures\1.jpg و می خواهید ان را با نام جادویی NUL قفل گذاری کنید
    از منوی استارت Run را انتخاب کرده و در ان cmd را تایپ کرده و کلید Enter را بزنید
    در پنجره cmd این دستور را تایپ کنید
    copy D:\Pictures\1.jpg \\.\D:\Pictures\NUL.jpg
    حالا فایل شما یک نسخه از عکس دارید که قفل شده است می توانید فایل اولی را پاک کنید
    برای برداشتن قفل عکس بالا در cmd بنویسید
    ren\\.\D:\Pictures\NUL.jpg NewName.jpg
    شاید بخواهید تعداد زیادی فایل را قفل کنید در این مورد قفل کردن تک تک فایلها یک کار خسته کننده و بیهوده است به جای آن تمام فایلهای خود را با در فایل Zip ریخته و سپس آن را قفل گذاری کنید

    نقل قول: محافظت از برنامه فايل اجرايي (براي استفاده عموم)

    با تشکر از توضیحاتتون
    شما فقط در مورد DBGDetect توضیح دادید.
    اون کدهای اسمبلی که در اول گذاشتید چی هستند.اصلا کجا باید استفاده بشوند؟
    تابع دوم "
    enumwindowsproc" چی هست و چطوری باید از اون استفاده کرد؟

  40. #40
    نقل قول: محافظت از برنامه فايل اجرايي (براي استفاده عموم)

    این که چی هستند را ، سورس گذاشتم دیگه :) اما اینکه کجا استفاده میشه کرد :هرجائی دلتون خواست میتونید استفاده کنید .

    پیوست برای enumwindowsproc

