В каких случаях GetDC и GetWindowDC возвращают ошибку?

Интересует вопрос, можно ли сделать так чтобы GetDC и GetWindowDC не смогли получить DC моего окна. Возможно-ли это?

 

http://msdn.microsoft.com/en-us/library/dd144871(VS.85).aspx
разве тут не написано, что она может вернуть ошибку. когда - не важно, главное проверить корректность значения, которое она вернула. в случае ошибки она возвращает 0.

 

Flasher
Да перенесите свой античит уже в режим ядра, сколькео можно извращаться в юзермоде..

 

Clerk, так не интересно
Попробую обнулить параметры gdi* и gl* в структуре TEB, могет что и выйдит

 

А что должно выйти? Если мне не изменяет память, функции эти лезут за инфой в ядро (надо проверить, дома гляну), TEB тут не при чем.

Да и вообще, ты бы описал конкретнее чего ты хочешь добиться. Что-то мне подсказывает, что есть более разумные методы, нежели хуки функций и порча TEB

 

Хочу чтобы на моём окне не могли рисовать через GetDC\SetPixel.
С TEB ничего не вышло.

 

Ну давай порассуждаем. Чтобы рисовать на твоем окне его надо сначала найти. Кто и по каким признакам сможет это сделать?

 

прямой наводкой и без остановок. можно даже к апи не обращаться

 

А апи прослойки тут вообще нет. Вот куда кажет экспортируемая GetDCEx:

Код (Text):

1. .text:77D24516 _NtUserGetDCEx@12 proc near             ; CODE XREF: AnimateWindow(x,x,x)+AFp
2. .text:77D24516                                         ; SoftModalMessageBox(x)+181p ...
3. .text:77D24516
4. .text:77D24516 hWnd            = dword ptr  4
5. .text:77D24516 hrgnClip        = dword ptr  8
6. .text:77D24516 flags           = dword ptr  0Ch
7. .text:77D24516
8. .text:77D24516                 mov     eax, 11A5h
9. .text:77D2451B                 mov     edx, 7FFE0300h
10. .text:77D24520                 call    dword ptr [edx]
11. .text:77D24522                 retn    0Ch
12. .text:77D24522 _NtUserGetDCEx@12 endp

 

По classname либо по caption легко можно найти "моё" окно.
А функции NtGdiSetPixel\NtGdiGetDCDword в юзермод не спускаются за инфой?

 

Twister

ну дык. и большинство остальных остальных функов гди (не гди+) кажут тудаже. надо или из ядра ловить. или клерк тут советовал как из юзера (не разбирался ешше)
http://wasm.ru/forum/viewtopic.php?pid=366709

 

Ну да, его способ вполне реализуем и доля смысла в нем есть, ибо хоть как ты не сплайсь функции, а сервис все-равно можно вызвать напрямую.

Код (Text):

1. По classname либо по caption легко можно найти "моё" окно.

Ну вот мы и пришли к истине. Нафига хучить что-то? Перед созданием окна пробегись по существующим уже окнам, выбери какое-нить легальное имя класса (рандомное тоже палевно немного) и забубень себе такое же. Caption окну не выставляй, рисуй в заголовке текст. Позаботься о том, чтоб в модуле не светились открытым текстом какие-то строки-сигнатуры. И все, твое окно никто никогда не найдет.

 

А как быть с названием процесса? По названию процесса можно найти окно.

 

Twister
Смысл в том, что обращение к последней странице выполняется в сегменте данных, как например у вас в #9. Усикаем сегмент, тогда обращения к этой странице будут вызывать сепшены.

 

Flasher
подумай ) Просто для примера, разовьем идею Twister 'а берем одно приложение, оно переименовывает модуль другого и запускает, при этом берет имя уже из списка запущенных ибо

 

гы. а можно еще выводить через оконный ДД. даже если найдут и нарисуют/прочитают - нифига не будет видно. а еще можно ДД использовать без окна. и все функции теже, кроме блиттинга. еще вкусность есть в том, что можно элементарно прочесть экранную инфу (и изменить тоже)

 

Ну тут малость геморройно постоянно переименовывать exe. Мало того, не всегда есть права на запись в свой же каталог. Если у проги есть установщик, то лучше давать рандомное имя при установке, так поступает RkU. Я считаю, что ни один "здравый" программынй модуль не будет производить поиск по имени exe. Это слишком ненадёжно.

 

Flasher

Вот вы компилите экзешники и думаете что там может быть есчо какаято защита. Некоторые также просто компилят драйвера, где понятия защиты нет. Если есть обьект, то он будет найден. Если есть окно, при желании на нём будут рисовать. И имя процесса совсем не имеет значения, нормально такого типа приложение должно загрузить всё что нужно из памяти и почистить все следы. Выполняет ваш поток какието движения, например обратился он к шадову - по этому поток будет найден, выделяете вы последоватеьно блоки памяти - по логу поток найдётся, есть у вас в памяти какаято строка - она найдётся.. А скрывать от системы её обьекты както бессмысленно.

 

Речь вить не идет о непробиваемой защите, или программе-невидимке, просто хочеться насколько это возможно отбить охоту среднестатистическому кодеру подкопаться и тестить свои штучки над моим тварением.

 

Flasher
Вам следует отказаться от патча, для вашей тулзы(UCP или как там, давно смотрел), то что показывает рку является исходным пунктом для ресерча и отлома.