┌∩┐(◣_◢)┌∩┐VIRENSCHUTZ UND SICHERHEIT UNTER DOS ! ! !

Nicht ganz. Aber wenn man den Inhalt der EXE-Datei...
00005400: 9A 03 00 36 19
00005665: 9A BB 05 A7 00
...mit dem Code im Debugger...
0190: 9A 03 00 26 47 call 4726:0003
03F4: 9A BB 05 97 2E call 2E97:05BB
...vergleicht, sieht man, dass die jeweils letzten beiden Bytes nicht übereinstimmen. Erklärung: Die werden während der Ausführung des Programms im RAM nochmal verändert. D.h. man darf das hier nicht einfach mit NOP überschreiben, sonst kommt am Ende Datenmüll raus. Genau das ist hier passiert, aber aus purem Glück läuft es trotzdem.

Lösung: Nur die jeweils 3 Bytes benutzen, die nicht mehr verändert werden. Da schreibt man dann rein
0190: JMP 0195
03F4: JMP 03F9
Das Kommando verbraucht jeweils nur 2 Bytes und die folgenden 3 Bytes werden bei der Ausführung einfach übersprungen. So kann dann nichts mehr passieren, auch ohne Glück

Also mir macht sowas Spaß

Achsooo, ist das wegen indirekter Adressierung bzw. Relokation durch DOS?

Nee, das muss durch das Programm selbst passieren. Bei EXE Programmen verteilt DOS beim Ausführen zwar die Daten im RAM, aber am Inhalt wird nichts verändert.

Zitat von Daryl_Dixon

Ein relativ unbekannter aber auch und gerade in Hinsicht auf DOS-Systeme heute noch recht aktiver Virenschutzexperte ist die
österreichische Firma ROSE.

Wieder einmal besten Dank, jetzt weiß ich, wie ich den DOS-Server regelmäßig auf Viren scannen kann!
Mal wieder eine Perle, die du da gefunden hast!

habs auch gleich runtergeladen

Sehr interessant, vieleicht bekommt nun mein alter F-Prot doch noch mal konkurrenz.
Aber erstmal muss das Prog. zeigen das es was kann

@gamma Kann ich im Turbo Debugger schon durch mehrere NOPs ersetzen? Drücke ich auf einem DEC, was 4 bytes braucht im TD die Leertaste, kann ich selber was rein assemblen, z.B. ein einziges "NOP". In dem Moment ist die ganze Adressierung futsch. Wie packe ich "NOP NOP NOP NOP" rein?

Du kannst Kommandos eintippen wie Du willst.
NOP <enter>
NOP <enter>
...

Wenn Du ein Kommando mit 4 Bytes auslöschen willst musst Du auch 4x NOP (+enter) eintippen. TD springt nach jedem Enter automatisch zur nächsten Adresse.

Hmm, mit Enter ersetzt er lediglich das aktuelle Kommando mit einem NOP. Ich glaube ich mach mal nen Video.
Funktioniert. Meine Fehlannahme war, dass ich alle NOPS in einem Dialog eingeben muss. Stattdessen kann ich einfach drauflostippen und der fügt dann ein.

Vielleicht kann ein Mod das ja mal ins Programmier Forum verschieben. Dankeschön.
Nachdem sich erste Erfolge mit selbst kompilierten Pascal Dateien eingestellt haben, versuche ich nun, das ganze mal nachzuvollziehen, also f-prot im TD zu laden und scheitere schon beim simplen run mit F9 mit einem out-of-memory. Mein Versuch: td.exe unter dosbox. Hast du tdh386.sys auf nem realen Gerät benutzt?

ich habe Pcem genommen.

ohne die drölf Seiten zu lesen:

-hat wer die total dos collection 14 und das "exodos" Archiv mal mit den alten scannern getestet?
Falls einer der scanner auf windows 2000 laufen sollte, kann ich über Netzwerk scannen kann allerdings dauern, glaub das sind 140GB

Erst jetzt ist die Arbeit mit dem Turbo Debugger perfekt.

(Musste akut meine HTPC-Tastatur ersetzen, weil Break gar nicht und die F-Tasten nur mit Verrenkungen gingen. Ausserdem hört ihr jetzt, wenn ich F8 drücke, zumindest bis und mit Mitteldeutschland)

Zitat von gamma

0190: 9A 03 00 26 47 call 4726:0003
03F4: 9A BB 05 97 2E call 2E97:05BB
...vergleicht, sieht man, dass die jeweils letzten beiden Bytes nicht übereinstimmen. Erklärung: Die werden während der Ausführung des Programms im RAM nochmal verändert. D.h. man darf das hier nicht einfach mit NOP überschreiben, sonst kommt am Ende Datenmüll raus. Genau das ist hier passiert, aber aus purem Glück läuft es trotzdem.

Bist du dir sicher? Heisst das nicht lediglich, dass das Code Segment der Funktion, die du eh nicht aufrufen willst, dynamisch ist? NOP x5 sollte imho safe sein, weil du ja die komplette Instruction (sowohl Opcode wie auch Operand) ueberschreibst. Wenn du deine Variante mit dem unbedingten Sprung implementierst, bleiben je zwei Bytes Datenmuell zurueck.

Disclaimer: Das hat sich ein asm noob so zusammengereimt. Wenn ich Unrecht habe und du das richtigstellst, habe ich was gelernt.

Hehe stimmt nur so halb. Wenn Du Dir das Ganze hinterher im Debugger ansiehst hast Du eben nicht mehr 5xNOP dastehen - sondern 3xNOP und 2x irgenwelche zufälligen Bytes.

Die letzten beiden NOPs werden ja trotzdem überschrieben. Der Rest des Programms weiß nichts davon dass wir hier etwas verändert haben...probier es einfach mal im TD aus.

Und so wie ich es erst gemacht habe werden diesen beiden zufälligen Bytes dennoch ausgeführt und sollten das Programm eigentlich zum Absturz bringen. Mit meiner Variante mit dem JMP werden diese beiden Bytes übersprungen, es ist als völlig wurscht was da steht oder verändert wird.

Verstanden. Danke. Leuchtet ein. Hängt dann von der Architektur ab, ob Invalid Opcodes ignoriert werden oder zu einem Crash führen.

Zitat von gamma

fc /b FPUNP.EXE FPUNP-p.EXE
Comparing files FPUNP.EXE and FPUNP-P.EXE
00005400: 9A 90
00005401: 03 90
00005402: 00 90
00005403: 36 90
00005404: 19 90
00005664: 9A 90
00005665: BB 90
00005666: 05 90
00005667: A7 90
00005668: 00 90

Alles anzeigen

Noch eine Frage. Woher wusstest du, dass du 9A 03 00 36 19 aendern musstest? Im TD stehen ja bei Byte 4 und 5 ganz andere Werte, so dass sich, wenn man nach den ganzen 5 Bytes sucht, in der entpackten f-prot.exe nichts finden laesst. Sucht man nach den ersten 3 Bytes findet man mehrere Suchergebnisse. Musstest du dich dafuer an der Instruktion danach orientieren oder hast du einen anderen Kniff?