Protegiendo tu aplicación contra crackers

[dec]

Cita:

Empezado por Reasen

Pues quisiera editar unas cosillas... Pero vale.

No sabía yo de esa restricción de editar un post luego de 30 minutos... de todas formas puedes añadir más posts. Y, si realmente quieres editar el primer post, por favor, añade un nuevo post a este hilo con lo que quisieras que estuviese en primer lugar... y yo mismo lo pondré ahí.

[Reasen]

Cita:

Empezado por dec

No sabía yo de esa restricción de editar un post luego de 30 minutos... de todas formas puedes añadir más posts. Y, si realmente quieres editar el primer post, por favor, añade un nuevo post a este hilo con lo que quisieras que estuviese en primer lugar... y yo mismo lo pondré ahí.

Quería añadir un ejemplo para evitar inyecciones de DLL a una aplicación Delphi con un sencillo hook y sin usar condiciones.

Me vendría de perlas tener el botón de editar solamente en este post principal...

Código Delphi [-]
program Project2;


{$APPTYPE CONSOLE}

uses
  SysUtils,
  windows;

procedure hook(target, newfunc: pointer);
var
  jmpto: dword;
  OldProtect: Cardinal; 
begin
  jmpto := dword(newfunc) - dword(target) - 5;
  VirtualProtect(target, 5, PAGE_EXECUTE_READWRITE, @OldProtect);
  pbyte(target)^ := $e9;
  pdword(dword(target) + 1)^ := jmpto;
end;

procedure myLdrLoadDll(PathToFile: PAnsiChar; Flags: variant; ModuleFileName: PAnsiChar; var ModuleHandle: THandle);
begin
  MessageBox(0, 'DLL Detectada!!', 'Nope!', MB_OK);
  ModuleHandle := 0;
  halt;
end;

procedure Maina;
begin
  Hook(GetProcAddress(GetModuleHandle('ntdll.dll'), 'LdrLoadDll'), @myLdrLoadDll);
end;

begin
  Maina;
  readln;
end.

[dec]

Hola a todos,

Pero no se puede editar... por buenos motivos... y me temo que no son posibles las excepciones: al menos yo no sabría cómo hacerla. En todo caso acaso estemos hasta "ensuciando" el post... y eso sí que no puede ser... puedes añadir tantos mensajes como quieras a este hilo y abrir otros hilos si lo estimas necesario.

P.D. Lo mismo me pongo yo a editar tu mensaje añadiendo el código de arriba (que ahora miraré) y no es lo que tú buscabas o algo... en fin... dejemos las cosas estar, ¡no tocarlo si funciona!

[Reasen]

Cita:

Empezado por dec

Hola a todos,

Pero no se puede editar... por buenos motivos... y me temo que no son posibles las excepciones: al menos yo no sabría cómo hacerla.

Bueno, me resulta algo incómodo, pero supongo que no me queda otra.

[Casimiro Noteví]

Está bien así, en distintos posts
Si hay que hacer alguna corrección se crea un nuevo post, se explica qué se ha modificado y el motivo, y se pone el nuevo código, así queda todo mucho más claro que si se edita el primer mensaje y nadie se entera de que se editó.

[Casimiro Noteví]

Además, si ves que puede ser tratado como "truco", tenemos la sección "Trucos", donde también puedes crearlos

[[escafandra]]

Cita:

Empezado por escafandra

Aunque consigas evitar la carga de la dll maliciosa en el arranque de tu app, siempre se puede inyectar con un pequeño ejecutable. Esto quiere decir que no puedes quedarte en la defensa de la carga, has de ir más allá y cambiar el código de protección. Además deberás comprobar, en ese código, que no está cargada una dll no deseada. Puedes usar la API GetModuleFileName para ello pues te da la ruta completa de la dll. También puedes explorar las funciones que exporta. Un hook a la indocumentada LdrLoadDll...

Ha surgido el tema que comenté sobre un Hook a LdrLoadDll. ¿Por qué esa y no LoadLibrary? Pues porque LoadLibrary termina llamando a LdrLoadDll y muchos inyectores optan por esta para saltarse a la primera. Su declaración delphi es como sigue:

Código Delphi [-]
type
PUNICODE_STRING = ^UNICODE_STRING;
UNICODE_STRING = record
  Length: WORD; //USHORT;
  MaximumLength: WORD; //USHORT;
  Buffer: PWCHAR; //PWSTR;
end;

function LdrLoadDll(PathToFile: PWCHAR; Flags: ULONG; ModuleFileName: PUNICODE_STRING; ModuleHandle: PHANDLE): DWORD; stdcall;

UNICODE_STRING es la estructura en el Kernel para el manejo Unicode

Un Hook a LdrLoadDll debe tener en cuenta que afectará a cualquier carga de dll, legal o no, dinámica o estática, con lo que se debe filtrar que dll se puede cargar y cual no.

El problema de los Hooks a las API es que no siempre deben sustituir los 5 primeros bytes, puede que en una versión Windows así sea, pero puede que una actualización cambie esto ligeramente y que el hook haga caer toda la aplicación, esto requiere un mini-desensamblador en tiempo de ejecución. El que tenga interés por el tema puede visitar este tema de hace unos años: HOOK a la API en delphi y en C (trampolín)

Para ilustrar un poco más el asunto anti-inyección podéis leer este otro tema: ¿Protegernos contra inyecciones dll?. Está enfocado a proteger aplicaciones externas pero nada impide hookear nuestra propia aplicación.

Quisiera añadir alguna idea más para los que no quieran depender de la conexión a Internet, puede encriptarse cadenas vitales, incluso fragmentos de código vital, que precisen de la clave del producto para descifrarse, no habrá condicionales pero, claro está, la seguridad dependerá del algoritmo criptográfico usado. Nada es infalible, sólo el aburrimiento del cracker puede dejarnos en paz y quizás estas cosas le aburran.


Saludos.