Diese Seite ist unverschlüsselt! Um sicherzustellen, das Ihr Passwort nicht ausgelesen werden kann, sollten Sie auf die verschlüsselte Seite wechseln!

    Herzlich Willkommen, lieber Gast!
  Sie befinden sich hier:

  Forum » Windows » MSI Installer bemerkt Änderungen (AutoRepair)
Forum | Hilfe | Team | Links | Impressum | > Suche < | Mitglieder | Registrieren | Einloggen
  Quicklinks: MSDN-Online || STL || clib Reference Grundlagen || Literatur || E-Books || Zubehör || > F.A.Q. < || Downloads   

Autor Thread - Seiten: > 1 <
000
21.05.2008, 17:47 Uhr
~droptix
Gast


Das MSI-Format hat eine "AutoRepair"-Funktion integriert, die sofort bemerkt, wenn bestimmte Programmdateien geändert wurden. Das soll verhindern, dass Viren diese Dateien beschädigen oder verändern. Bedingung ist, dass irgendwo noch das zugehörige MSI-Paket rumliegt, so dass die Originaldatei wieder hergestellt werden kann.

Frage: Wie bemerkt Windows bzw. der MSI-Installer eine Änderung? Dazu muss ja irgendwo die zu prüfende Datei und der Prüf-Algorithmus hinterlegt sein sowie auch das zugehörige MSI-Paket. Ich könnte mir vorstellen, dass sowas in der Windows-Registry abgebildet wird, weiß es aber nicht.

Weiß das jemand besser? Hat jemand dazu detaillierte Hintergrundinformationen?

Ich suche schon sehr lange nach Ansätzen, finde aber nichts. Ich kann mir vorstellen, dass es über eine Prüfsumme funktioniert. Der Windows-Installer bemerkt aber bereits eine veränderte Datei, sobald ich sie mit der Maus selektiere, also noch gar nicht lade oder ausführe. Ich nehme auch an, dass diverse Cracker diese MSI-Prüfsumme (oder was auch immer dahinter steckt) manipulieren können, denn es gibt offensichtlich Patches für Programme, die eigentlich eine Veränderung der Originaldateien feststellen sollten, es aber nicht tun. Mich interessiert, wie das gemacht wird -> allerdings nicht zum Cracken, sondern im Sinne von Software Rights Management im Rahmen einer Studienarbeit.

Bin für jeden Hinweis dankbar!
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
001
21.05.2008, 19:33 Uhr
FloSoft
Medialer Over-Flow
(Administrator)


Hi, das ist der SFC-Dienst von Windows, ich denke man kann im MSI einstellen das er den Schutz für die Dateien eben aktiviert.

Ansonsten wenn du eine Datei anklickst im Explorer, läd Windows diese in den Dateicache, und der SFC schaut nach ob die Datei "geschützt" ist und geändert. Wie genau die Prüfung aussieht hab ich jedoch nicht im kopf, schließlich sollen updates ja möglich sein usw
--
class God : public ChuckNorris { };
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
002
22.05.2008, 17:18 Uhr
~droptix
Gast



Zitat von FloSoft:
Hi, das ist der SFC-Dienst von Windows


Aah, du meinst System File Checker? Weißt du, wo der seine Einstellungen verwaltet?


Zitat von FloSoft:
Ansonsten wenn du eine Datei anklickst im Explorer, läd Windows diese in den Dateicache, und der SFC schaut nach ob die Datei "geschützt" ist und geändert. Wie genau die Prüfung aussieht hab ich jedoch nicht im kopf, schließlich sollen updates ja möglich sein usw


Bereits beim einmaligen Anklicken (nicht Doppelklick, also Ausführen bzw. Laden) lädt Windows die Datei in den Cache?

Und genau, Updates müssen ja in der Lage sein, die Prüfsummer oder was auch immer dahinter steckt zu aktualisieren, sonst meckert SFC sofort rum.

Weiterführende Infos interessieren mich sehr, also immer her damit!
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
003
22.05.2008, 18:47 Uhr
FloSoft
Medialer Over-Flow
(Administrator)


bzw http://en.wikipedia.org/wiki/Windows_File_Protection

Also natürlich nich die komplette Datei in den Cache, sondern nur die Dateiinfos
--
class God : public ChuckNorris { };
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
004
23.05.2008, 08:45 Uhr
~droptix
Gast


Und ab Windows Vista dann anscheinend Windows Resource Protection.

Ist das ein echter Dienst, der in der Systemsteuerung/Verwaltung unter "Dienste" zu finden ist? Falls ja, wie heißt der denn? Kann ich mir aber fast nicht vorstellen, weil man den ja sonst einfach beenden könnte.

Bei Wikipedia ist ganz gut erklärt, wo die digitalen Signaturen der Windows-Systemdateien gespeichert sind, nämlich in %Systemroot%\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}. Bei mir gibt es auch ein "CatRoot2" Verzeichnis. Da steht nochmal die selbe Dateistruktur drin, d.h. die zwei Unterordner {F750E6C3-38EE-11D1-85E5-00C04FC295EE} und {127D0A1D-4EF2-11D1-8608-00C04FC295EE}. Weiß jemand wieso es den Ordner "CatRoot" zwei mal gibt?

Wo aber speichern andere Programme ihre digitalen Signaturen? Mich interessiert, ob ich jetzt z.B. auch meine eigene Software beim SFC/WFP/WRP registrieren kann, um sie vor Änderungen zu schützen. Wenn ich aber ein Update ausliefere, muss ich die Signatur dazu ebenfalls aktualisieren können.
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
005
23.05.2008, 09:14 Uhr
~droptix
Gast


Was mich beim intensiveren Lesen wundert: SFC bzw. WFP scheint erst bei "Winlogon" zu wirken, d.h. erst bei einem System-Neustart. Wenn man anschließend Systemdateien ändert, scheint Windows das nicht zu bemerken... erst wenn man den PC rebootet, wird nach veränderten Systemdateien gesucht.

Ist SFC/WFP wirklich das, wonach ich suche? Ist das wirklich das, was Softwarehersteller benutzen, um ihre Software vor Veränderungen zu schützen?
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
006
23.05.2008, 15:12 Uhr
FloSoft
Medialer Over-Flow
(Administrator)


dir ist klar das winlogon läuft sobald ein benutzer aktiv ist? ansonsten frag ich mich in kombination deines exe-wrapper-posts nicht doch ob leif nicht ganz so falsch liegt.
--
class God : public ChuckNorris { };
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
007
23.05.2008, 16:25 Uhr
Suba Esel



 OT: Was sind Link-Viren?
--
Simon
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
008
27.05.2008, 09:49 Uhr
droptix
Zitat von FloSoft:
dir ist klar das winlogon läuft sobald ein benutzer aktiv ist? ansonsten frag ich mich in kombination deines exe-wrapper-posts nicht doch ob leif nicht ganz so falsch liegt.


Aaah, ihr meint Winlogon als Systemdienst und nicht als den einmaligen Anmeldeprozess. Das ändert einiges. Dort werde ich mal weiter schnüffeln.

Um euer Vertrauen zu stärken, hab ich mich jetzt regulär angemeldet. Und ich betone nochmals: nein, ich bin kein Viren-Schreiber, sondern interessiere mich vielmehr für Softwareschutz. Klar, dass diese zwei Dinge eng bei einander liegen.


Zitat von Suba Esel:
OT: Was sind Link-Viren?


Weiß ich auch nicht, passt aber auch nicht hierher. Denke mal es sind Viren, die sich wie Trojaner hinten an eine ausführbare EXE-Datei hängen. Auch hier wird deutlich, dass zwischen Softwareschutz und Missbrauch nur ein schmaler Grat liegt.

Um den Zusammenhang beider Posts nochmal zu verdeutlichen: ich möchte EXE-Dateien mit einem Passwort versehen. Dabei verändere ich aber die EXE-Datei und es könnte passieren, dass WFP anspringt. Das habe ich schonmal bei irgend einer Software beobachtet -> leider weiß ich nicht mehr bei welcher. Ich hab das bislang immer für ein MSI-Feature gehalten, weil nach dem Editieren der EXE gleich der MSI-Installer angesprungen ist und automatisch die geänderte Datei wieder aus dem MSI-Paket (was noch irgendwo rumliegen muss) hergestellt hat. Meine Änderungen waren also futsch. Beim Verändern einer EXE-Datei möchte ich also auch prüfen, ob es eine digitale Signatur für WFP dazu gibt, die ich ebenfalls anpassen muss.

Daher gleich noch eine Nachfrage: Da ich nicht mehr weiß, welche Software das ausgelöst hat -> kennt jemand das selbe Szenario, das reproduzierbar sein sollte? Bei welcher Software tritt das auf?
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
009
27.05.2008, 12:51 Uhr
droptix



 Laut Wikipedia ist Winlogon anscheinend nicht für SFC/WFP/WRP verantwortlich.
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
Seiten: > 1 <     [ Windows ]  


ThWBoard 2.73 FloSoft-Edition
© by Paul Baecher & Felix Gonschorek (www.thwboard.de)

Anpassungen des Forums
© by Flo-Soft (www.flo-soft.de)

Sie sind Besucher: