защита процесса от самого себя

Вопрос в следующем:
есть некое приложение, я в него делаю dll inject и перехватываю API.
Как можно защитить свою dll от дампа данным процессом, обнаружения, снятия хуков и т.д.
Приложение запускается с минимальными правами (от имени пользователя).

 

На понял, который процесс нужно защищать сам от себя, и, главное, зачем?
Что такое дамп DLL данным процессом?

 

похерить РЕ в памяти и информацию о дллке в ПЕБ, ну и не забыть сделать так, чтобы заголовок РЕ на диске был неприменим к заголовку в памяти (ну например свой упаковщик навесить сверху).

или ставить хуки в цикле, или отслеживать активность процесса в данном направлении

но что-то мне подсказывает, что ТС имеет ввиду что-то свое и магическое под словами "дамп" и прочими, а не их нормальные значения

 

Вот и у меня сложилось такое впечатление.

 

Partner
MSoft
Ну как же магическое?
Есть некое клиентское приложение, не буду вилять попой - покерный клиент
Я его запускаю с приаттаченной dll, перехватываю нужные ф-ии.
Давно не секрет, что покерные клиенты шуршат по компьютеру, это частично решается запуском его от имени пользователя.
Но вот как быть с защитой своей библиотеки, чтобы клиент ее не заметил в своем адресном пространстве, не спалил, что мы функции перехватили, да еще чтобы код библиотеки не сдампил и не отправил на сервак (что будет очень печально).
Часть проблем решается путем навешивания на dll прота (скажем последнего ASProtect), но при желании он снимется за час

 

gloomyraven длл не загружать, а просто выделять память под код и работать там. Куски памяти защищать из дровины.

 

asd
Не совсем понял, точнее совсем не понял...
Где память под код выделять? В памяти клиента?

В принципе, можно просто приатачить dll, защитить критичные области от чтения/записи (сделать досту только для выполнения), но тогда как сама dll будет работать? Никак?

 

И можно ли БЕЗ драйвера, потому что это уже немного другая тема?

 

да, в памяти клиента. Т.е. ты не вызываешь LoadLibrary, а руками настраиваешь в памяти секции, релоки и импорты. Не знаю правда, как это отразится на работоспособности твоей длл, т.к. там могут быть свои тараканы. И обязательно затирай заголовок РЕ, чтобы клиент не знал размер и адрес образа

 

Насколько я помню, когда я так делал нное число лет назад, все работало чудесно без подводных камней. Ну, естественно, стандартные функции работы с модулями работать не будут.

 

gloomyraven
Если без драйвера можно что-то вроде копимема, ключи для расшифровки получать из другого приложения, тогда дамп не особо поможет.

 

Great
MSoft
Я использую Detour в качестве механизма встраивания/перехвата.
detour просто загружает процесс с приатаченной dll, заголовки PE затереть не проблема, а вот с остальным извратом будут проблемы, думаю... detour использую из-за его простоты и неотказной(пока) работы.
Но хочется и рыбку съесть и ...
Может на его помощью можно что-либо сворганить?

 

Моно еще во время DLL_PROCESS_ATTACH убрать из ldr инфу о своей либе вот так:

Код (Text):

1.        assume fs:nothing
2.        mov eax,fs:30h
3.        mov eax,[eax+0Ch]
4.        mov ecx,hInstDLL
5.        add eax,0Ch
6.     @@:
7.        mov eax,[eax]
8.        cmp ecx,[eax+18h]
9.        jnz @B
10.        mov ecx,[eax]
11.        mov ebx,[eax+4]
12.        mov [ebx],ecx
13.        mov ecx,[eax+4]
14.        mov ebx,[eax]
15.        mov [ebx+4],ecx
16.        lea eax,[eax+8]
17.        mov ecx,[eax]
18.        mov ebx,[eax+4]
19.        mov [ebx],ecx
20.        mov ecx,[eax+4]
21.        mov ebx,[eax]
22.        mov [ebx+4],ecx

 

неиспользуемый код шифровать. декриптор держать в отдельном от всего образа куске памяти.

 

вот вот, ресурсы тоже - поэтому тут все зависит от специфики работы софта

некоторые дамперы (да к примеру та же олька) могут брать заголовок с диска.

 

Flasher
Вот это гут, спасибо

Freeman
Дикриптор тогда придется засовывать в ядро

MSoft

можно перекрыть доступ процесса к файлам, например перехватив в нем данные функции

 

А что получит процесс от dll, если в ней не будет PE заголовка и ldr инфы?

 

А с помощью ACLов это нельзя сделать? В detour`е есть секурити аттрибуты при создании процесса с приатаченной dll, или это не то?

 

дык тут же вроде вопрос - что получит длл от процесса?

 

Freeman
хм... вроде как раз наоборот надо dll защитить от процесса