PDA

View Full Version : عملکرد یک لودر



دنیای دلفی
سه شنبه 02 فروردین 1384, 16:27 عصر
آیا وقتی یک فایل اجرایی را بوسیله یک لودر اجرا می کنیم CRC یا حجم فایل اجرایی تغییر پیدا می کند .


لطف کنید درباره عملکرد لودرها یک مقداری صحبت کنید .

:موفق:

BOB
پنج شنبه 04 فروردین 1384, 18:48 عصر
سلام
اگر منظورتون از Loader اصطلاحی است که Cr@cker ها به کار میبرند : به برنامه‌هایی اطلاق میشود که به همراه فایل اجرایی مورد نظر لود شده و عملکرد برنامه در حافظه را مورد بررسی قرار داده و قسمتهایی از آن را تغییر میدهند. مانند Game Trainers و غیره ...
اصولا زمانی از این برنامه‌ها استفاده میشود که Patch کردن فایل مورد نظر ممکن نبوده و یا دستکاری مستقیم در حافظه مورد استفاده توسط برنامه، راحت تر باشد.
که در این مورد هیچ تغییری در خود فایل اجرایی داده نمیشود و در نتیجه CRC آن نیز تغییر نمیکند.
به طور کلی وقتی برنامه اجرا میشود ، ممکن است بارها قسمتهایی از حافظه مورد استفاده آن ، توسط خود برنامه و یا برنامه های دیگر تغییر داده شود ، اما این تغییرات تاثیری روی خود فایل اجرایی ندارند.

UnREal
شنبه 06 فروردین 1384, 15:39 عصر
Also be careful,that we have someting called Anti Loader tricks.
It's a kind of protection that I have never seen in Iran.
Hopefully.
:sunglass:

مهدی کرامتی
شنبه 06 فروردین 1384, 17:14 عصر
<span dir=ltr>
It's not too hard to implement an Anti-Loader trick. The simplest method is to check if there is a parent process when running the application.

BTW: Good to see you here Unreal guys. Developers need your advices.</span>

Inprise
شنبه 06 فروردین 1384, 19:36 عصر
وقتی یک فایل اجرایی را بوسیله یک لودر اجرا می کنیم CRC یا حجم فایل اجرایی تغییر پیدا می کند .

ممکنه . بستگی داره ؛


درباره عملکرد لودرها یک مقداری صحبت کنید

->


به برنامه‌هایی اطلاق میشود که به همراه فایل اجرایی مورد نظر لود شده و عملکرد برنامه در حافظه را مورد بررسی قرار داده و قسمتهایی از آن را تغییر میدهند

عموما" همینطوره . وقتی روند انپک برنامه دشوار یا وقتگیر باشه ، یا بهر تقدیر دستکاری Disk Image دشوارتر از دستکاری Memory Image باشه ، Loader ها با محصور سازی برنامه و اعمال تغییرات لازم روی نسخهء در حال اجرای برنامه ، به هدف شون میرسند .


we have someting called Anti Loader tricks

تکنیکهای عام ، برای جلوگیری از کارکرد Loader ها عموما" از Hook توابعی مانند CreateProcess یا Spawn ؛ یا CreateRemoteThread و امثالهم استفاده میکنند ؛ ایضا" بررسی ImageBase برنامه ، اسکن Address Space برای مقایسه و کشف کدهای "غریبه" و استفاده از امضاهای دیجیتالی زمان اجرا و مقایسه با امضای موجود ، از روشهای معمول هستند . این تکنیکها نیز به سادگی قابل رفع و لغو اند . فی الواقع اگر Loader کار نکنه ، یا یک Hooker داخل برنامه است یا یک Memory Scanner که در هر دو حال ، براحتی میشه هر دو رو فریب داد . برای فریب هوکر ها کافیه توابع هوک ring3 ویندوز رو هوک و به هر چیزی که مایلی Overwrite کنی و برای از کار انداختن اسکنر ، کافیه توابعی مانند HeapAlloc و امثاله رو مانیتور ، آدرس اونها رو به یک تابع جعلی Redirect کنی ؛ برای این روشهای فریب نیز راه حلهائی وجود داره و برای اون راه حلها ... ؛ الی آخر .


The simplest method is to check if there is a parent process when running the application

همیشه یک Parent Process وجود داره ؛ بررسی این مساله که آیا این پدر ، مربوط است یا نامربوط ، بر عهدهء توابعی مانند OpenProcess است که فریب اونها طبیعتا" کسری از دقیقه زمان میطلبه ؛ در واقع همونطوری که گفتی فعال کردن یک تکنیک Anti Loader ساده است ، همانقدر که از کار انداختن اون ساده است .

:wise1:

M.GhanaatPisheh
یک شنبه 07 فروردین 1384, 15:38 عصر
:flower:
(Thanx dear old Borland Corp.(Inprise

دنیای دلفی
یک شنبه 07 فروردین 1384, 23:22 عصر
اگر امکان دارد روشهای مقابله با Loader را بیان کنید با مثال البته اگر امکان دارد .

:oops: