Programme für Kompression und die Kodierung
Oder die Kodierung Programme zusammenzudrücken ist eine ausgezeichnete Weise, zusätzlichen Produktschutz zu addieren. Ein Vorteil des Zusammendrückens eines Programms ist, daß das Programm uncompressed sein muß, bevor es geändert werden kann. Auch bessere Kompression Programme erschweren das ausprüfende Programm, und selbstverständlich können Sie nicht eine komprimierte Akte auseinanderbauen. (während zu verursachen möglich noch sein kann, ist eine Ladevorrichtung, die den Programmcode direkt im Gedächtnis einmal das Programm ändert, kein gut-geschütztes Programm sollte alles so erlauben. dekomprimiert worden) Alle Marken die Akten eines Programms zusammendrückend, mag es schwierig, Sachen zu ändern Text, aber komprimierte Programme lassen eine Spitze langsam als uncompressed laufen (obwohl die Leistung, die mit einem guten Kompression Programm geschlagen wird. bedeutungslos ist) Anstatt drücken Sie die ganze Programm, Sie kann executables zusammendrücken nur, das —dieses das Programm nicht an allen verlangsamt, beginnen zwar zusammen - oben seien Sie etwas langsamer (weil komprimierte Programme im Gedächtnis während des Start-up dekomprimiert werden). Wenn Sie entscheiden, ob man Kompression, finden Sie heraus, ob es eine Dekompressionseinrichtung für den bestimmten Kompressor gibt, Sie möchten verwenden verwendet. Wenn so, verwenden Sie ihn nicht. Z.B. während PKLITE der beste Kompressor für EXE Akten in DOS ist, gibt es viele Dekompressionseinrichtungen. Ihre beste Wette soll selbstverständlich einen neuen Kompressor herstellen. Noch verwenden die meisten Programmierer vorprogrammierten, also nehmen wir einen Blick an einer Vielzahl der Kompression und der kodierenprogramme für executables, sowie etwas andere Arten kommerzieller Schutz. aPLibaPLib ist eine kommerzielle Kompression Bibliothek für Programmierer, die Daten in ihren Programmen zusammendrücken möchten, hergestellt durch den großen Programmierer, Joergen Ibsen., das aPLib durch viele Kompression Programme für vollziehbare Akten benutzt wird, weil es eins der besten Produkte in auffangen ist. ASPackASPack (http://www.aspack.com) ist ein Kompression Programm für EXE, DLL und OCX Akten. Zu verwenden ist einfach, gleichmäßig für weniger-erfahrene Benutzer. Andererseits können mehr-erfahrene Programmierer möglicherweise nicht es mögen, weil das Programmmenü nicht viele Wahlen anbietet. Sie können nicht maximale Kompression in der nicht registrierten Version ASPack ASPacks vorwählen der Dekompressionprogramme enthalten einige Sprünge, die entworfen sind, um einen Cracker zu verwirren, aber die wirklich anwesende Probleme nur für die unerfahrenen. Z.B. enthält Programm Decodierung ASPacks nur einige Anti-Ausprüfen Tricks. Wenn eine Akte in SoftICE's Symbol-Ladevorrichtung geladen wird, stoppt das Programm nicht am Anfang. Jedoch sobald Sie den Anfang des Programms finden, INTERNES 3h oder ein Äquivalent stellen einsetzen, und den Gebührenstafflungspunkt auf dieses INTERNE ein, dann lassen das Programm, es stoppen nach rechts am Anfang laufen. Oder, Sie können das Programm in ProcDump laden und die Eigenschaften ändern für den text Abschnitt. Hier finden Sie vermutlich C0000040; ändern Sie das zu E0000020 und das Programm sollte am Anfang in der SoftICE Ladevorrichtung immer stoppen. Um ASPack zu entfernen, ist alles, das Sie benötigen eine spezielle Dekompressionseinrichtung, obwohl Sie eine Ladevorrichtung auch herstellen können die den Programmcode direkt im Gedächtnis ändert. (ASPack hat keinen Schutz gegen alles wie den.) Ich habe sogar ein Programm über das Internet gesehen, das Marken es möglich, diese Flecken für ASPack herzustellen. Wahlmenü ASPacks enthält die folgenden Einzelteile: • Kompresse-Betriebsmittel-Kompressebetriebsmittel zusammen
mit dem Programm. ASPack ist ein sehr gutes Kompression Programm, aber es muß mit mehr Anti-Ausprüfen Tricks oben abgehärtet werden. Andererseits weil sein Dekompressionprogramm keine inkompatiblen Betriebe enthält, sollte es nicht Probleme mit den meisten Programmen verursachen, und es bietet sehr gute Kompression an. In den neuen Versionen haben die ASPack Programmierer auf das Entleeren des Programms vom Gedächtnis in eine Bemühung, die Importtabelle soviel wie möglich zu schützen konzentriert. Sie scheinen vergessen zu haben, obwohl, der ohne gutes, Tricks antidebugging und Makros, es Anti-auseinanderbauend, sehr einfach ist, den ASPack Code zu verfolgen und anzusehen, also nimmt es nicht, lange zuvor eine neue Dekompressionseinrichtung erscheint. • Prüfen Sie Akte Kompression: 486.400 Bytes (eine nicht registrierte Version von ASPack mit der maximumcompression Wahl verwendend abgestellt) • Dekompressionseinrichtungen: ProcDump und UnASPack Klingeln-Jungen PET-KryptaKlingeln-Jungen PET-Krypta ist ein anderer allgemein benutzter vollziehbare Akte Kodierer. Es ist besonders interessant, weil sie die Anti-Ausprüfen Tricks einführt, die entworfen sind, um es unmöglich zu bilden, ein kodiertes Programm laufen zu lassen, wenn ein Debugger im Gedächtnis anwesend ist. Die radikale Lösung des Schöpfers zu diesem Problem interessiert auch, weil das Programm ohne Warnung einfriert, wenn ein Debugger im Gedächtnis ist. Noch ist die kodierung des Programms nicht zu schwierig, und es ist keine Überraschung, daß es ein Decodierung Programm gibt frei, das auf dem Internet vorhanden ist. Das Decodierung Programm in der PET-Krypta des Klingeln-Jungen soll offenbar die Handbuchdecodierung ärgerlich und zeitraubend bilden. Für eine Sache benutzt es Schleifen, die nur überhaupt die folgende Schleife decodieren. Auch jede Schleife decodiert nur 29 Bytes, und jede enthält Anti-Ausprüfen Code, der bedeutet, daß der Cracker diesen Code von jeder einzelnen Schleife entfernen muß. Die Handbuchdecodierung würde folglich einige Stunden dauern. (selbstverständlich, wenn Sie einen Decoder benutzen, dauert es nur einige Sekunden.) Sobald Sie das Programm laufen lassen, sehen Sie ein Menü, von dem Sie mehrere vorwählen können kodierenfunktionen, wie in der Liste unter besprochen. An der Oberseite sehen Sie auffangen, in dem Sie einen Weg zum Programm schreiben können, das Sie kodieren möchten, oder Sie können geöffnetes und grasen zum Programm anklicken. Verwenden Sie Durchlauf, um das Programm zu starten. Beginnen Sie Anzeige Sätze eine Anzeige, die erscheint, wenn das Programm beginnt. Einschränkendes Datum stellt ein Datum ein, auf dem das Programm abläuft. (es überrascht, daß Sie nur Monate einstellen können.) Einschränkende Zeiten stellt ein, wieviele Male das Programm laufen gelassen werden kann. Einschränkende Anzeige Einstellung spezifiziert eine Anzeige, um zu erscheinen, nachdem eine der Grenzzeiten abläuft. Durchlauf-Wort stellt ein Kennwort ein, das immer angefordert wird, um das Programm laufen zu lassen. Register-Schlüssel stellt eine Zulassungsnummer für das Programm ein. (PECrypt des Klingeln-Jungen liefert Sie mit einem Programm, das solch eine Zahl für Sie. errechnet) Kennwort. Register-Anzeige Einstellung stellt den Text einer Anzeige ein, die erscheint, nachdem ein falsches Kennwort oder eine Zulassungsnummer eingetragen worden ist. PET-Krypta des Klingeln-Jungen ist definitiv eins der besseren kodierenprogramme und, weil es nicht zu allgemein verwendet wird, kann sie gegen Cracker wirkungsvoller sein. Die manuelle Decodierung der PET-Krypta-kodierten Akten ist schwierig und, obwohl sehr zeitraubend, wer weiß, ob Decoder wirklich ein Problem haben, PET-Krypta des Klingeln-Jungen zu entfernen. Universalfunktionalität der PET-Krypta des Anmerkung
Klingeln-Jungen wird durch die Tatsache vermindert, daß sie nicht
sein kann • Prüfen Sie Akte Kompression: 1.729.553 Bytes NeoLiteNeoLite (http://www.neoworx.com) Kompressen executables einschließlich EXE, DLL und OCX Akten. Während das Kompression Niveau sehr hoch ist, vergaßen die Autoren, sich gegen unerwünschte Dekompression zu schützen. Tatsächlich kann das Programm selbst die Akten dekomprimieren, die von NeoLite zusammengedrückt werden, und die einzige Weise, gegen dieses zu schützen soll maximale Kompression vorwählen. Ich handhatte, keinen Schutz gegen das Ausprüfen im Dekompressionprogramm zu finden. Der einzige Schutz, den ich fand, war ein Satz Änderungen in der PET-Überschrift für den text Abschnitt: Das Programm fängt sofort an, in die Symbol-Ladevorrichtung für SoftICE zu laufen. Das Programm selbst enthält viele Funktionen für die abstimmende Kompression und sollte folglich gelten als ein gutes professionelles Kompression Programm, wenn Schutz gegen Dekompression nicht wichtiger der ist. Um das Programm zu verwenden anzufangen, beschließen Sie das Programm, das Sie sich zusammendrücken möchten. Nachdem Sie zunächst geklickt haben, können Sie einige Wahlen auf dem folgenden Schirm einstellen: • Informationen, die diese Taste Willensdisplayinformation über die Struktur der Akte anklicken, die Sie beschlossen, zusammenzudrücken. • Verursachen Sie BAK Sicherungsdatei- Marken eine Sicherungskopie der komprimierten Akte. • Überschreiben Sie vorhandene Ausgabedateien überschreibt eine Akte mit dem gleichen Namen, wenn man gefunden wird. • Aktualisieren Sie Zeit u. stellt Datumsstempel das Tagesdatum ein und setzt in der komprimierten Akte Zeit fest. Durch Rückstellung sind das Datum und die Zeit dieselben wie die in der Akte, die zusammengedrückt wird. • Gebrauch-ermöglicht schnelle Kompression Methode einer schnellen Kompression Methode, die weniger wirkungsvoll ist, aber die die Dekompression und das folgende Beginnen des Programms beschleunigt. • Kraft-vollziehbare Kompression drückt ein Programm zusammen, selbst wenn NeoLite nicht handhaben kann, die Länge eines Programms zu verkürzen. Das Rückstellung Verhalten ist für NeoLite, zum keiner Kompression in dieser Situation durchzuführen. • Kompresse drückt das Programm zusammen, aber es ist möglich, das Programm mit NeoLite zu dekomprimieren. • MaxCmp drückt das Programm mit maximaler Kompression zusammen, und es ist nicht möglich, das Programm mit NeoLite zu dekomprimieren. • Ändern Sie vorgerückte Einstellungen Einstellungen für Benutzer mit Vorkenntnissen. Vorgerückte Kompression Wahlen Das Programm bietet eine Reihe vorgerückte Wahlen an, wie folgt: Ikonen Dieser Abschnitt stellt die Wahlen für die Behandlung der Ikonen ein. Drücken Sie alle Ikonen Kompressen alle Ikonen zusammen. Es wird nur für DLL Akten empfohlen. Drücken Sie alle zusammen, ausgenommen 1. Ikone Gruppe dieses die Rückstellung Einstellung ist, weil Windows Forscher die erste Ikone Gruppe für anzeigende Akten benutzt. (wenn diese Ikonen zusammengedrückt wurden, würden die Akten nicht richtig. angezeigt) Drücken Sie nicht Ikonen zusammen, die keine Ikonen zusammengedrückt werden. Konservieren Sie Daten Stellt fest, ob Extradaten, die im sogenannten Testblatt sich befinden können, zusammengedrückt werden. Konservieren Sie nicht Extradaten, die alle Extradaten von der abschließenden komprimierten Akte ignoriert und entfernt werden. Konserve-Extradaten am Dateiende alle Extradaten werden lokalisiert, nachdem das Ende der Akte konserviert ist. Konserve-Extradaten am Ende des PET Bildes alle Daten werden lokalisiert, nachdem das PET-Bild konserviert ist. NeoDataSim ohne Kompression Extradaten wird nicht zusammengedrückt. Dieses ist ein Modell, das von den Autoren von NeoLite für das Konservieren von von Extradaten entwickelt wird. NeoDataSim mit Kompression Extradaten wird zusammengedrückt. Dieses ist die Rückstellung Einstellung und ist ein Modell, das von den Autoren von NeoLite für das Konservieren von von Extradaten entwickelt wird. Andere Betriebsmittel Dieser Abschnitt schließt Einstellungen für zusammendrückende Betriebsmittel in den Akten ein. Kompresse stellt Kompressen alle Bilder her. Dieses ist eine Rückstellung Einstellung. Kompresse-Cursor drückt alle Cursor zusammen. Dieses ist eine Rückstellung Einstellung. Drücken Sie andere Betriebsmittel- Kompressen alle weiteren Betriebsmittel zusammen. Dieses ist eine Rückstellung Einstellung. Verschieden Diese sind einige andere Einstellungen für das Programm. Drücken Sie nicht Import-Tabelle Daten zusammendrückt nicht die Import-Tabelle Daten zusammen. Kompresse-ermöglichen Nichtordnungsimport-Tabelle Daten dem Programm, importierte Funktionen zu lokalisieren, die nur Zahlen als Namen verwenden, das nicht allgemein ist. Wenn ein Programm die Anzeige ausdruckt ", die nicht imstande ist, exportierte Funktion # < Ordnungszahl > < im DLL Namen >" nach Kompression zu lokalisieren, schalten Sie diese Funktion, an bevor Sie sie zusammendrücken. Drücken Sie alle Import-Tabelle Daten sicherstellt zusammen, daß alle Daten in der Import-Tabelle zusammengedrückt sind. Dieses wird durch Rückstellung getan. Verschiebung Informationen der Konserve-EXE konservieren alle Verschiebung Informationen in der Akte. Thunk EXE Exporte fügt einen Code in den dekomprimierenden Routinecode hinzu, der beschäftigt EXE Akten, die Exportfunktion Werte einstellen, bevor es die Hauptfunktion selbst laufen läßt. (dieses beeinflußt nicht DLL Akten.) NeoLite ist eins der besten professionellen Kompression Softwarepakete. Jedoch insoweit Kompression selbst, ist es nicht das, das am Schützen gegen die Decodierung und das Ausprüfen gut ist. Ich würde NeoLite professionellen Programmierern empfehlen, die für die Größe einer Akte sich interessieren, aber wer nicht besonders über Sicherheit betroffen werden und ich hoffe, daß zukünftige Versionen etwas Schutz enthalten. • Prüfen Sie Akte Kompression: 646.577 Bytes NFONFO ist ein sehr einfacher Kodierer für PET-Akten, der Ihnen nicht erlaubt, Parameter vor Akte kodierung einzustellen. Akten werden nur kodiert und optimiert, das ihre Länge etwas verkürzt, aber sie werden nicht zusammengedrückt. (leider, zogen die Programmierer Windows NT, Windows 2 0 0 0 und Windows.xp nicht in Erwägung, und ein kodiertes Programm läuft nicht unter diese Betriebssysteme.) Das Decodierung Programm wird gut und programmiert scheint auf den ersten Blick stark auszuprüfen, weil es Anti-ausprüfende viele und Anti-auseinanderbauende Tricks enthält. Noch können Sie einen Decoder für diesen Kodierer auf dem Internet leicht finden. • Prüfen Sie Akte Kompression: 1.583.104 Bytes PECompactPECompact von der Collake Software (HTTP: / ist /www collakesoftware com) Kompression Software für vollziehbare Akten. Es wurde durch den ausgezeichneten Programmierer Jeremy Collake verursacht und funktioniert mit EXE, DLL und OCX Akten. Das gesamte Programm wird in Versammlungsteilnehmer geschrieben und zwei Kompression Bibliotheken für Kompression benutzt: aPLiB ist das erste von ihnen, und es ist einer der besten Kompression Algorithmen. Die andere Bibliothek, JCALG1, wurde von Jeremy Collake programmiert. Anders als aPLiB ist es geöffnete Quelle, und Sie können sie für freies verwenden. Ich war überrascht, daß, wenn Sie maximale Kompression verwenden, JCALG1 sogar besseres als aPLiB zu entdecken zusammendrückt (obwohl Kompression durchaus eine lange Zeit dauert). Ladende zusammengedrückte Akten dauern ungefähr gleiche Zeit mit beiden Bibliotheken. Das Design der Software ist wirklich sehr praktisch. Sie stellen die Kompression waagerecht ausgerichtet mittels eines einfachen Lautstärkereglers ein und wählen dann die Art des Programms, das Sie sich zusammendrücken möchten. Das vorgerückte Konfiguration Einzelteil enthält ein ausführliches Menü, in dem Sie viele Schalter, einschließlich Einstellungen für Kompression Optimierung, ob die Dekompressionseinrichtung in der Akte für Größe oder Geschwindigkeit optimiert werden sollte, die Betriebsmittel zusammengedrückt werden und andere Einstellungen stellen können. (Sie können ausführliche Beschreibungen der Einstellungen in den Unterlagen finden). Menü PECompacts ist ein etwas größeres, als die anderer Kompression Programme eine andere wundervolle PECompact Eigenschaft seine Fähigkeit ist, Steckverbindungen zu benutzen. Es stützt Steckverbindungen für die Kodierung, die Decodierung, Pfosten und GPA und enthält kurze Beispiele, die einfach zu ändern sind. Z.B. fügt die Pfostensteckverbindung eine Anzeige am Anfang des Programms hinzu, das für das shareware eines Autors nützlich sein kann. Ich war etwas jedoch enttäuscht in, wie einfach sie PECompact entfernen sollte. Der Entwickler behauptet in den Unterlagen, daß das Programm das Ausprüfen erschwert, aber ich denke nicht bin sehr zutreffend, weil ich keine Anti-Ausprüfen Tricks fand (die Mittel es nicht schwierig ist, auszuprüfen). Andernfalls ist dieses eins der besten Kompression Programme. Wenn Sie ein hohes Kompression Verhältnis benötigen und Sie sich nicht interessieren, daß der Kompressor leicht entfernt werden kann, ist PECompact eine große Wahl. • Prüfen Sie Akte Kompression mit JCALG: 526.336
Bytes PELOCKntPELOCKnt ist eins der der älteren aber noch unter besten kodierenprogramme für vollziehbare Akten. Der Marquis de Soirée demonstrierte beträchtliche programmierenfähigkeiten hier. Ein Programm auszuprüfen, das mit PELOCKnt geschützt wird, ist nicht an allen einfach, weil es viele Anti-Ausprüfen Tricks enthält und der vollständige Code von Anti-auseinanderbauenden Makros voll ist. Sie können einige Programmschalter stellen und einschließen: Vergeuden Sie nicht Ihre Zeit, die nach einer klassischen graphischen Anzeige 32-bit-application in PELOCKnt sucht - Schutz der Sätze A1 gegen Gebührenstafflungspunkte bei den API Anrufen verwendet durch das Programm. Dieses schützt sich nur gegen normale Gebührenstafflungspunkte und prüft Gebührenstafflungspunkte wird nicht entdeckt aus. - V1 stellt 32-bit antivirus Schutz ein, der Programmänderung verhindert und gegen Gebührenstafflungspunkte sich schützt. (wieder, obwohl, es nur klassische Gebührenstafflungspunkte. entdeckt) - K stellt Schutz gegen eine ProcDump-Art Decoder zur Verfügung. - Wx läßt Sie eine Tätigkeit einstellen, falls SoftICE gefunden wird. Sie können von drei Wahlen vorwählen: zeigen Sie ein Fenster, beenden Sie das Programm oder zerschmettern Sie das Programm. PELOCKnt führt keine Kompression durch, und der resultierende Code ist folglich gleichmäßige etwas größere als die Vorlage. Dieses ist ein Mitleid, weil, selbst wenn der Kompression Algorithmus nicht das beste war, es drastisch die Länge des Programms verkürzen würde. Andererseits PELOCKnt's Akte Anfänge sehr schnell. Es ist einige Zeit gewesen, seit die letzte Version von PELOCKnt erschien, und ein Decoder hat natürlich mittlerweile geerschienen. Leider scheint es, daß PELOCKnt z.Z. ein totes Projekt ist. Dieses ist unglücklich, da es wirklich ein gutes Programm ist. • Prüfen Sie Akte kodierung: 1.703.936 Bytes PET-KryptaPET-Krypta ist ein großes Beispiel von, was geschehen kann, wenn zwei der besten Cracker unten an Schreiben schützende Software gelangen. Ich traf etwas so zum ersten Mal in DOS an, als Virusschöpfer versuchten, ihre Arbeiten auf diese Art gegen das Ausprüfen und gegen heuristische Analyse zu schützen. Diese Systeme basieren, auf einer einfachen Grundregel aber sind sehr schwierig zu programmieren. Nur ein erfahrener Versammlungsteilnehmerprogrammierer folgt, und solch eine Person muß die PET-Akte Struktur tadellos kennen. Es gibt nicht viele Leute, die wissen, daß beide von diesen wirklich gut auffängt. Die vollständige Akte wird entweder kodiert oder zusammengedrückt. Am Anfang gibt es ein Programm, das (dekomprimiert) die Akte decodiert. Dieses Öffnung Programm ist sehr interessant, da jeder möglicher Dummkopf, der etwas über PET-Krypta weiß, versucht, sie zu verfolgen. Was interessiert so über es? Die Antwort ist sehr einfach: Das Programm ist kein sinnvoll an allen. Ich habe gehandhabt, einige Programme zu decodieren, die von PET-PE-Crypt kodiert werden, aber diese Arbeit erfordert enorme patience.With PET-Krypta, die Sie an, welche im Menü vorzuwählende Einzelteile zweimal denken müssen vor der Kodierung einer Anwendung Ist hier ein kurzes Beispiel der PET-Krypta. Befehlsadresse-Code-Anweisung Erklärung 15F:42900F 85C0 Test eax, eax 15F:429011 7302 jae 429015;jumps, zum 429015 von von 15F:429013 F70550E808000000EAFF Test dword PTR [ 8E850 ], FFEA0000 15F:42901D 58 Knall eax 15F:42901E E818 jmp 429038;we zu adressieren folgt den eax 15F:429016 E808000000 Stoß 15F:429015 50 jmp 429023 Niederlassung 15F:429020 EB01;correct des Programms Sprünge weiteren 15F:42901B EAFF58EB18EB01 des Anrufs 429023;immediately jmp 0lEB:18EB58FF;this, die Code falsches 15F:429022 0FEB02 por mm0 ist, [ edx ] 15F:429025 CD20 interne 20 VXDCaII CDEA, 03eb 15F:429023 EB02 jmp 429027;jumps sofort 15F:429025 CD20 interne 20 VXDCaII CDEA, ist;this 03eb Code falsches 15F:42902B 205840 und [ eax-40].bl 15F:42902E EB01 jmp 429031 15F:429027 EB03 jmp 42902C springt;immediately weit 15F:429029 EACD205840EB01 jmp 01EB:405820CD;this, die Code falsches 15F:429030 8B40EB Bewegungen eax, [eax-15 ] 15F:429033 0236 ist, addieren AVW, [esi ] Knall 15F:42902C 58 eax 15F:42902D 40 Inc. eax 15F:42902E EB01 jmp 429031;jumps weiteres 15F:429030 8B40EB Bewegungen eax, [eax-15 ];this Code falsches 15F:429033 0236 addieren AVW ist, [esi ] 15F:429035 8350C356 ADC dword PTR [ eax-3D], 56 15F:429031 40 Inc. eax 15F:429032 EB02 jmp 429036;jumps weiterer 15F:429034 368350C356 ADC dword PTR ss:[eax-3D), 56;this Code falsche Stoß 15F:429039 57 edi 15F:42903A 55 Stoß ebp 15F:429036 50 Stoß eax;saves ein Adresse von ist die Sprung;for Rückkehr 15F:429037 C3 Rückkehr;jump zu einer Adresse im eax;register 15F:429038 56 Stoß esi;the Programm erhält hier;later 15F:42901D 58 Knall eax 15F:42901E EB18 jmp 429038;jumps weiteres 15F:429020 EB0l jmp 429023 15F:429022 OFEB02 por mm0, [edx ] Stoß 15F:429038 56 esi 15F:429039 57 Stoß edi 15F:42903A 55 Stoß ebp 15F:42903B 50 Stoß eax 15F:42903C E808000000 Anruf 429049 weitere;jumps; dieser Code ist;wrong 15F:429041 EC im Al, dx 15F:429042 FF58EB Anruf weites [ eax-15 ] 15F:429045 18EB sbb b1, ch 15F:429047 010F hinzufügen [ edi], ecx 15F:429049 EB02 jmp 42904D;immediately Sprünge weit 15F:429048 CD20 interne 20 VXDCaII CDEC,;this 03eb Code ist auch Unrecht 15F:429051 205840 und [ eax-40], Querstation Wie Sie in das vorhergehende Beispiel sehen können, produziert PET-Krypta eine einfache Übersicht nicht an allen. Ich versuchte, PET-Krypta an einem Programm 4KB anzuwenden. Nach der Kodierung war das Programm 35KB und bedeutete, daß das Decodierung Programm über 30KB nimmt. Die Spur solch eines Programms würde unbearably, nehmen sich zu sehnen Zeit, die schlechte Nachrichten für die ist, die sie versuchen möchten. Wenn PET-Krypta durch einen API Anruf-Gebührenstafflungspunkt verfolgt oder gestoppt wird, verursacht sie eine Störung und das Programm läuft nicht richtig. (PET-Krypta wird durch verschiedene Anti-Ausprüfen Tricks. geschützt) Es ist möglich, anti-SoftICE Programme in den Programmcode zu setzen, und ziemlich schwierig, sie zu entdecken, wenn ein neuer und intelligenter Code verwendet wird. Wenn ein Programmierer um anderen Problemen außerdem kümmert, kann er versichert sein, daß sogar die besten Cracker endlose Stunden verbringen, oder Tage auf seinem arbeiten. Selbst wenn ein Cracker handhat, hinter der ganzer schützenden Software zu erhalten und einen Platz zu finden, um Änderungen vorzunehmen, hat er nicht noch gewonnen. Wenn eine Akte mit PET-Krypta kodiert oder zusammengedrückt wird, können Sie nicht eine direkte Änderung am Programmcode vornehmen. Ihre nur Wahlen, beim Arbeiten mit der Akte sind: • Entfernen Sie manuell PET-Krypta von der Akte. Manueller Abbau PET-Krypta von einer Akte manuell zu entfernen ist schwierig, und es ist sehr einfach für einen Cracker einen Fehler zu machen. Ich möchte nicht behaupten, daß es unmöglich ist, weil es Leute gibt, die gehandhabt haben, es zu tun. Wenn Sie es versuchen möchten, empfehle mich ich, einen weniger weithin bekannten Debugger zu verwenden, der TRW anstelle von SoftICE genannt wird. Anders, viel besser, Möglichkeit ist, einen PET-Krypta Remover zu benutzen (wie abgelegene PET-Krypta). Sobald PET-Krypta entfernt worden ist, Änderungen im geschützten Code der Anwendung ist vorzunehmen nicht ein Problem. Herstellen einer Ladevorrichtung Um eine Ladevorrichtung herzustellen, die Sie ein Programm schreiben müssen das die komprimierte Akte laufen läßt, dekomprimieren Sie sie im Gedächtnis, und vornehmen Sie dann Änderungen direkt im Gedächtnis. Vor der Kodierung, Sie haben Mühe, wenn API Anspannen oder Anti--Gedächtnis-Fleckenfunktionen eingeschaltet wurden. In diesen Fällen versucht PET-Krypta, zu verhindern, daß die Ladevorrichtung Codeänderungen bildet. Diese Funktion ist nicht, obwohl sehr populär, weil sie nicht mit Windows NT, Windows 2000 oder Windows.xp kompatibel ist. Jedoch wenn ein Programmierer sicher ist, daß sein Produkt nicht unter Windows NT, Windows 2000 oder Windows.xp benutzt wird, kann er diese Funktionen verwenden. PET-Krypta Wahlen PET-Krypta bietet eine Menge Wahlen in seinem Wahlmenü an: • Stellen Sie Sicherungsdatei her (* sav), das dieses eine Unterstützung der ursprünglichen Akte verursacht. • Das heuristische Virus dieses setzt ein heuristisches Programm in die Akte für antivirus ein und Anti-ändert Schutz. Hilfsmittel Compression/Encryption/Ignoring: • Kompression dieses verwendet LZW Kompression, um das Hilfsmittelteil zusammenzudrücken, und sie läßt Ikonen und andere Informationen hinsichtlich sind der Version des alleinProgramms. • Verschlüsselung dieses kodiert das Hilfsmittelteil beim Lassen der Ikonen und anderer Informationen hinsichtlich sind der Version des alleinProgramms. • Das Ignorieren dieser Funktion läßt PET-Krypta das Hilfsmittelteil ignorieren. Diese Funktion ist notwendig, wenn kodierung ausfällt, oder wenn die Ikonen nicht korrekt sind. Verpackung Der Verschiebung Verschlüsselung-12-Bit/16-Bit/Relocation: • Verschiebung Verschlüsselung 12-Bit oder 16-Bit dieses kodiert Verschiebungen (RegelnSie Tabelle), der PET-Akte und addiert die Verschiebung-Ladevorrichtung. • Die Verschiebung, die dieses verpackt, drückt Verschiebungen (RegelnSie Tabelle), der PET-Akte mittels der DREIECKSKOMPRESSION und des LZW Programms zusammen. • Anti-Ausprüfen Verfahren dieses fügt Anti-Ausprüfen Tricks für SoftICE hinzu, die mit Windows 9x und Windows NT kompatibel sind. • Ermöglichen Sie dem Anspannen der API Funktion, die dieses einer schützenden Vorrichtung gegen Programm-Code Änderungen im Gedächtnis ermöglicht. Nach Ihnen schalten Sie diese Funktion, Sie sieht ein Fenster mit API Anrufen an, in denen Sie die API Anrufe vorwählen können, die durch Ihr Programm verwendet werden. • PET-Krypta erlaubt zyklische Blockprüfung Warnungen. Wenn diese Funktion ermöglicht ist, wird ein zyklische Blockprüfung Test des Codeteils des Programms mit jedem API Anruf durchgeführt, der vorgewählt wurde. Sie sollten nicht das API-Anspannen auf häufig angerufenem APIs oder auf API Funktionen einstellen, die in den Zeit-kritischen Abschnitten des Programms sind. Probleme unter Windows NT, Windows 2000 und Windows.xp konnten mit diesen Einstellungen auftreten. • Löschen Sie PET Überschrift, die dieses die PET-Überschrift des Programms löscht, nachdem das Programm gestartet worden ist. Diese Funktion arbeitet nicht mit Windows NT, Windows 2000 oder Windows.xp oder nach Kompilation mit einigen Compilern. • Sperren Sie TLS Unterstützung, die dieses die interne TLS Unterstützung der PET-Krypta ausschaltet. Die Kodierung, Sie müssen nur diese Funktion anschalten, wenn das Programm nicht nachläuft. • Der Import, der dieses versteckt, fügt Schutz gegen generische Decoder, wie ProcDump oder GTR95 hinzu. Sie müssen ihn prüfen, obwohl, da einige Programme nicht mit dieser ermöglichten Funktion laufen möchten. • Anti-Gedächtnis Flecken dieses ist dem ermöglichenanspannen der API Funktion ähnlich. Er schützt auch sich gegen Änderungen im Programmcode. Im Gegensatz zu der enablehooking Funktion diese wird auf Gewinde gerichtet. Sie kann möglicherweise nicht mit Windows NT, Windows 2000 oder Windows.xp arbeiten. • Anti-Gebührenstafflungspunkte diese Funktion schaltet Schutz gegen Gebührenstafflungspunkte mit API Anrufen in SoftICE ein (bpx API, bpm API). Er kann möglicherweise nicht in Windows NT arbeiten. Zyklische Blockprüfung Warnungen: • Anzeige Fenster auf zyklische Blockprüfung Störung, wenn PET-Krypta eine zyklische Blockprüfung Störung antrifft (wie, wenn der Programmcode geändert worden ist), es, zeigt eine Fehlermeldung an. • Hängezustand auf zyklische Blockprüfung Störung, die, der Prozeß falls von einer zyklische Blockprüfung Störung einfriert. PET-Krypta Zusammenfassung PET-Krypta war vermutlich das beste Produkt im Programmschutz, bis seine Decoder abgelegene PET-Krypta erschien. Während PET-Krypta erfolgreich mit Siedleren 3 z.B. benutzt wurde gibt es nicht viel Punkt, wenn man heute ihn verwendet, weil er so leicht entfernt werden kann. NoteThere ist eine andere Version der PET-Krypta, die
durch einige Crackergruppen benutzt wird. Dieses ist a etwas Ich wünsche nicht zur verfluchten PET-Krypta hier. Sie können sie noch verwenden, und die weniger erfahrenen Cracker haben einen haltbaren Job, ihn zu entfernen. Leider scheinen es, keine Tips einer neuen Version in der Entwicklung geben. • Prüfen Sie Akte Kompression: 864.256 Bytes PET-SchildAn diesem Schreiben ist PET-Schild vermutlich der beste Kodierer für vollziehbare Akten, obwohl die gegenwärtige Version nicht DLL Akten kodieren kann (die Teile von ihr sind mit ihnen inkompatibel). Andererseits weil PESHiELD nicht DLLs decodiert, ist es sicher zu verwenden, EXE Akten zu kodieren. ANAKiN, Schöpfer des PET-Schildes, ist offenbar an der Oberseite von seinem auffangen und er verursachte viele der Anti-Ausprüfen Programme, die jetzt allgemein verwendet werden. (Sie können ihn an anakin@rockz.org erreichen.) Tatsächlich dauerte es fast ein volles Jahr, damit ein Decoder erscheint. Das Programm ist so gut, weil seine Decodierung polymorph ist und bedeutet, daß es mit jedem neue kodierung ändert, gerade wie ein Virus. Diese polymorphe Eigenschaft bildet es unmöglich, zu finden wo die kodierenenden oder, wohin jede mögliche andere Lagebestimmung zeigt. Die einzige Weise, die Akten richtig zu decodieren, die mit PET-Schild kodiert werden, soll den Code mit Heuristik analysieren, um Funktion jeder bestimmten Anweisung festzustellen (diese ist genau, wie der PET-Schild Decoder arbeitet). Während Leute versucht haben, PET zu decodieren - schirmen Sie mit ProcDump ab, sind sie, weil PET-Schild viele Schutze gegen die Spur im allgemeinen enthält, und ProcDump insbesondere ausgefallen. PET-Schild enthält viele Anti-Ausprüfen Tricks, die das Ausprüfen fast unmögliches bilden. Auf einer Sache überprüft es alle API ersucht um die Gebührenstafflungspunkte, die in der Importtabelle gelegen sind. Es löscht ausprüft Gebührenstafflungspunkte, beim Laufen, und macht folglich Ausprüfenprogramme unbrauchbar. Ich bin nicht sicher, ob ANAKiN das erste war, zum der heuristischen API Anrufe zu verwenden, aber PET-Schild erarbeitet diese Methode sehr gut in der Tat. Das Programm analysiert heuristically seine Öffnung vor dem API Anruf, da seine Öffnung mit verschiedenen Windows Versionen ändert. Als solcher, kann es den API Code anderwohin beginnen, den Anfang des API Services auslassen, und zu irgendwo wiemessageBoxA springen + 8, so prüfen überbrücken möglich Gebührenstafflungspunkte für API Anrufe aus. Eine andere große PET-Schild Eigenschaft ist seine Fähigkeit, eine Akte mit dem - r Schalter zu optimieren. Die Akten, die auf diese Art optimiert werden, während sie nicht kodiert werden, werden in der bestmöglichen Weise optimiert. In meiner Ansicht ist PET-Schild absolut eins der besten Optimierungsmittel. An diesem Schreiben arbeitet ANAKiN auf einer neuen Version des PET-Schildes, die eine vollständig neu geschriebene bloße Updates oder anbieten sollte Fehlerkorrektion des Codes, des nicht (es gibt fast keine irgendwie zu beheben Störungen). Fähigkeiten ANAKiNs betrachtend, kann ich mit irgendeiner Sicherheit sagen, daß die neue Version ein hartes Programm ist, zum zu brechen. PET-Schild ist shareware, das für private Zwecke für freies benutzt werden kann. (die nicht registrierte Version ist. völlig funktionell) Die kodierte Akte zeigt, daß sie mit einer nicht registrierten Version kodiert wurde, zusammen mit anderen Informationen. • Prüfen Sie Akte kodierung: 1.622.016 Bytes PetitePetite wird auch allgemein verwendet, um executables, zusammen mit SecuROM häufig zusammenzudrücken. Bevor Kompression anfängt, können Sie das klassische Verhältnis der Geschwindigkeit zur Qualität für die Kompression einstellen, obwohl es nicht viele zusätzliche Wahlen gibt. Petite wird mit einer graphischen Schnittstelle geliefert, die bildet, arbeitend mit ihm einfacher, wenn Sie maximale Kompression wählen, der Prozeß, kann bis zu einigen Stunden nehmen, um für längere Akten durchzuführen, und die Resultate sind nicht großes das. ASPack und ähnliche Programme sind schneller und bieten ein besseres Kompression Verhältnis an, selbst wenn sie nicht für maximale Kompression eingestellt werden. Dekompressionprogramm Petites wird nicht sehr gut gegen das Ausprüfen geschützt, und es kann manuell dekomprimiert werden. Während an diesem Schreiben es nicht noch eine Dekompressionseinrichtung für die gegenwärtige Version gab, ist 2.2, diese Version nicht zu Version 2.1 sehr unterschiedlich, also ist sie vermutlich nicht, lange zuvor eine Dekompressionseinrichtung erscheint. • Prüfen Sie Akte Kompression: 538.490 Bytes ShrinkerShrinker, vom Blinzeln Inc. (http://www.blinkinc.com), ist ein ziemlich kostspieliges kommerzielles Kompression Werkzeug. Die neueste Version ist über zwei Jahren alt, die vorschlägt, daß sie nicht in der ununterbrochenen Entwicklung ist. Dieses ist ein Mitleid, weil Shrinker hübsche gute Kompression anbietet und es noch verwendbar ist. Es enthält auch irgendein gutes Anti-Ausprüfen Tricks. Die Programmschnittstelle ist ASPacks ähnlich und ist sehr einfach zu verwenden. Sie können das Geschwindigkeit-zu-Kompression Verhältnis mit einer Gleitschiene einstellen, und die meisten seinen anderen Einstellungen sollten zu Ihnen vertraut sein. • Prüfen Sie Akte Kompression: 723.456 Bytes UPXUPX (http://upx.sourceforge.net) ist ein wundervoller, freier (GPL'd) Kompressor für executables, der unter dem besten ordnet. Es gibt Versionen für DOS, Linux und Windows, aber wir konzentrieren nur auf die Windows Version hier, weil sie am allgemeinsten verwendet ist. Fehlen UPXs von einem GUI kann ein Nachteil sein diese Tage, aber eine begabte Einzelperson hat ein GUI für sie hergestellt. Persönlich vermisse ich nicht das GUI, obwohl es auch ein Beamter UPX GUI in den Arbeiten gibt. Weil UPX geprüft auf fast zwei Jahre Beta war, ist es wahrscheinlich, daß alle Hauptstörungen entfernt worden sind und daß Ihre Programme richtig nach Kompression arbeiten. Meine Tests ordnen UPX als das zweite beste Kompression Programm, nach ASPack. Während sein Kompression Programm ein wenig länger zum Durchlauf nimmt, sind die Resultate sehr gut. Noch ist es sehr hart, zu sagen, welcher PET Kompressor das beste ist. Für einige Akten ist UPX besser als ASPack, aber für andere ist es die Rückseite. Leider ist UPX viel zu einfach zu entfernen, weil es scheint, keine Anti-Ausprüfen Tricks oder anderen Schutz zu enthalten. Die Programme, die durch UPX Dose sogar zusammengedrückt werden, werden mit UPX, einfach dekomprimiert, indem man den - d Schalter stellt (obwohl die gegenwärtige Version möglicherweise nicht die Programme zusammengedrückt mit den älteren Versionen, vermutlich wegen der Änderungen im Kompression Algorithmus immer dekomprimieren kann). Die Schöpfer von UPX haben eine ausgezeichnete Arbeit erledigt, und sie können sogar in der LageSEIN, ASPack mit zukünftigen Versionen zu besiegen. Sie sollten ein, höheres Niveau des Schutzes zu entwickeln erwägen jedoch um das Programm nützlicher zu bilden sogar. • Prüfen Sie Akte Kompression: 496.128 Bytes WWPack32Die neueste Version von WWPack32 (http://www.webmedia.pl/wwpack32) ist enttäuschend. Seine Kompression ist nicht (zweifellos nirgendwo nahe so gut wie ASPacks) sehr gut, obwohl das Programm gut schaut. Das Klima ist fein und Kompression ist wirklich einfach, aber Sie können nicht viele Wahlen, einschließlich das Kompression-zu-Geschwindigkeit Verhältnis einstellen. Im Hauptfenster sehen Sie ein Verzeichnis wie die im Windows Forscher. Wählen Sie die Akten, die Sie sich zusammendrücken möchten, vor und klicken Sie die Kompression Ikone an. WWPack32 tut den Rest. WWPack32's Klima bildet es einfacher, mehr Akten zusammenzudrücken, hintereinander, das ich nicht WWPack32 für Software-Schutz empfehle, weil seine Kompression ist, nicht daß groß und es nicht hart zu entfernen ist. Auch es hat keine Anti-Ausprüfen Tricks, und die Anti-auseinanderbauenden Makros sind sie können—Auseinanderbauen nur verhindern in WinDasm sehr schlecht. Während an diesem Schreiben es keine Dekompressionseinrichtung für WWPack32 gab, kommt es zweifellos bald. • Prüfen Sie Akte Kompression: 823.808 Bytes dieses ist ein Artikel, der von Sylvester Douni
hinzugefügt wird
|
|||
|