AES, RSA встроены во фреймворк с бородатых времен.
От дампа это абсолютно никак не спасает. Тема ведь про защиту от дампа, хотя я не уверен, что ТС сам понимает, что ему нужно.
Шарпы же - один вызов Assembly.Load и готово.
Кто там недавно предлагал нещадно банить всяческих алкашей, наркоманов и псих-больных?)
Согласен что расшифровка должна проходить по событиям например отладочным причем с перешифровкой на лету как к примеру у старой доброй армы - это легко ине очень долго реализовать на коленке.
На счет схатия /расжатия, что бы не тащить с собой хвост можно использовать встроенную RtlCompress/DecompressBuffer, а если еще ее пропатчить перед вызовом - то вообще шик.
В дотнетах встроен GZIP и Deflate, ими куда удобнее пользоваться, да и меньше подозрений вызовет.
Не бери в голову, это шутка. Но советую тебе на всякий случай контакт ТГ сменить, а то палишься аверам и ментам, есть связь со старым ником на васме.
Хм, а что мне менять? Они давно параллельно подключились
+
Шта? Зависит от энтропии данных, но как бы и LZNT зависит от энтропии данных, в любом случае по размеру будет примерно так же. GZIP - это по сути Deflate c заголовками, так что, если желаешь байтов 10 съеэкономить, то Deflate будет лучше.
Так сделай, какая проблема? Deflate тебе может любой архиватор сделать в составе ZIP-файла, если не хочешь в дотнеты влезать. Потом откроешь 7zip'ом или WinRAR'ом и в таблице будет указан сжатый размер и исходный размер, сжатый сравни со своим LZNT. У меня обычный экзешник на дотнете с совершенно обычной энтропией секции .text, равной 5.78, Deflate сжал в 2.42 раза. Дед, пей таблетки, не нужно чуши говорить.
Ты определись чего ты хочешь
Ты дед, который забыл выпить таблетки. Который еще и про дотнеты не знает ничего.
Бремя доказательства лежит на том, кто доказывает, а не на том, кто отрицает. Читай римское право. Это ты пытаешься доказать, что вызов недокументированных апишек из дотнета чем то лучше, чем встроенный Deflate. Да и после твоего высказывания о том, что Deflate увеличит размер исполняемого файла, что либо доказывать, считается бессмысленным. Я чуть лоб фейспалмом не пробил, читая твои посты тут. Не забывай пить таблетки, и поменьше бреда неси на форуме. Никому ты нахер не нужон, чтобы за тобой бегать и что-то тебе доказывать.
Началось, деды бушуют
... Пишите на ассемблере и не нужно никаких дотнетов. В моём понимании дотнет подходит только для веб-сервисов. Зачем пихать его в малварь?
Почему не подходит? В некоторых аспектах даже лучше подходит, чем нативный код. Для шкафчиков не подходит разве что.
В махач дедов лучше не встревать.
В чем его преимущество? Зачем использовать костыли от негрософта, если можно писать нативный код?
Ну, в первую очередь надо понимать, что ты и так и так используешь костыли от негрософта. Теперь по поводу дотнетов, я назову несколько преимуществ, которые первыми приходят в голову. Во-первых, с MSIL куда удобнее и проще работать, чем с нативным кодом. Поэтому писать обфускаторы и морферы куда проще, при этом можно делать довольно забавные вещи. Во-вторых, MSIL, поскольку нативным кодом не является, он может находится на страницах виртуальной памяти с R или RW правами, вместо RX для нативного кода. Более того, когда дотнет сборка грузится из памяти через Assembly.Load, она грузится на RW страницы, и если вовремя отрублен ETW, то они не будут отображаться в списке загруженных библиотек. В-третьих, метаданные дотнетов, которые становятся в процессе исполнения не нужны (например, код, который уже прощел JIT-компилятор, или данные, которые были закешированы в сборщике мусора), можно затереть в памяти, тем самым сделав антидамп. В четвертых, шарпы имеют все возможности, которые предлагает нативный код, но с удобством сборщика мусора и кучи функционала дотнет фреймворка. И да, на семерке предустановлен фреймворк 2.0, но десятке 4.0, так что ничего доставлять не нужно.
Может я уже старый, но для меня это излишества. По мне так все что работает под интерпретатором это от лукавого. Я привык к ассемблеру и Си, тут все понятно и просто.
