кстати да - не сразу считывает содержимое файлов itemsID.ini\skillID.ini. Но это вроде и не критично
__________________ На фразы в аську типа "слух карочь 1)как точить 2)как раскачаться за 5 мин" - игнор. ИМХО идиотизм
Дай голодному рыбу - он будет один день сыт. Покажи ему, как удить рыбу - он пошлёт тебя и скажет, что у него есть более интересные занятия, чем забрасывать снасти в воду
David Kastrup @ de.comp.text.tex.
"Приобретенные навыки общения с маленькими детьми - сильно упрощают взаимопонимание на форумах..."
А вы знаете, что для качественной сварки - место шва нужно протереть спиртом?
а насчет антивирусов - как можно что-то типа подписи присобачить? я точно не знаю как эта схема выглядит, но по идее что-то должно быть типа электронной подписи для программы, чтобы антивирус увидя эту подпись, вносил бы в доверенные сам. тогда независимо от версии, имени мутекса и прочих изменений антивирус бы не реагировал.
SeregaZ, а что мешало бы в таком случае подписывать вирусы? Цифровая подпись даёт лишь гарантию что файл не был изменён после подписывания, причем надо ещё как то удостовериться что подписал файл тот кто его создал а не тот кто его изменил)
Добавлено через 11 минут
А что бы подписать файл подписью которой довериться антивирус надо купить такую подпись у одного из центров сертификации, которые во первых их продают довольно не дешего, во вторых выдают подписи только фирмам которые предварительно проверяют...
__________________
Я здесь практически не появляюсь!, Skype - ikskor
Последний раз редактировалось xkor, 29.05.2011 в 17:27.
Причина: Добавлено сообщение
не думаю, что при проверке подписи антивирус выходит в интернет, отсылает этот сертификат на тот сервер подписи, и получает оттуда ответ их подпись или не их. я думаю он получает какие-то основные определенные инструкции, алгоритмы, по которым строится эта подпись, а значит по идее её можно подделать.
далее - возможно у производителей антивируса есть какой-то свой сертификат, понятный только их продуктам. и попытаюсь объяснить почему этот сертификат должен быть бесплатным. в этом заинтересован сам производитель антивируса и вот почему - делая, какую-либо рискованную программу, ты постоянно что-то усовершенствуешь, и получается каждый раз исходный продукт немного отличается от оригинальной версии, а значит антивирус, даже добавив одну версию в исключения, будет детектить последующие версии, так как md5 или crc не сходятся, а значит это якобы совсем другая программа, а значит придется отсылать эту измененную версию опять касперскому, чтобы он опять внес её в исключения.
что такое внос в исключения - это во первых документооборот - то есть пришло письмо, ушло письмо, это человеко-часы работы - вирусный аналитик получает семпл программы, декомпилирует, изучает, и выносит вердикт что это было ложное срабатывание. после опять человеко часы по внесению в исключения, изменение антивирусной базы, лишний трафик для сервера по рассылке этой обновленной базы всем клиентам по интернету...
а если у касперского будет что-то типа подписи, которые они выдают, то следовательно автор может подписать программу этой подписью, и антивирус не будет срабатывать, так как изначально признает её. поэтому выдача подписей по идее должна быть бесплатна, то есть касперский избегает лишнюю мороку по исследованию каждый раз нового семпла программы и не теряет на этом свои человеко-часы и прочие ресурсы компании.
как я себе представляю подпись - это что-то типа специального патч-файла для продукта, когда его готовишь, скомпилируешь, в этой программе для подписи должно быть что-то типа формы для ввода номера версии, мд5, срс, и после нажатия применить - она вносит по своим каким-то алгоритмам в файл эту информацию, не нарушая основную работу программы.
предупреждая следующий вопрос - что если эта программа попадет в чужие руки, то эти злодеи будут подписывать свои трояны под видом легитных программ и антивирус будет молчать - тут видимо какие-то определенные ограничения. может быть время действия подписи год-два-три, может быть привязка к компьютеру автора, может быть подпись содержит зашифрованную информацию об определенных рискованных функциях - например в подписи дано добро на скачивание и запуск автоапдейтера с определенного сайта, но ничего не сказано об отсылке пароля на совсем другой сервер - то есть при протроянивании программы, или при внедрении на стадии разработки подобных нехороших действий - подпись уже не будет действительна.
Добавлено через 4 минуты
***
пойду поищу контакты касперского, может там этот вопрос давно проработан и есть какие-то специальные механизмы.
__________________
хочу картинку в подпись!
Последний раз редактировалось SeregaZ, 29.05.2011 в 18:17.
Причина: Добавлено сообщение
Вот собрал inject.dll в последней дельфе + выкинул лишнее, теперь на вирутотале только два антивиря ей не доверяют, посмотрите кто нить пашет ли с ней пакетхак, а то у меня клиента нет проверить.
__________________
Я здесь практически не появляюсь!, Skype - ikskor
Вот собрал inject.dll в последней дельфе + выкинул лишнее, теперь на вирутотале только два антивиря ей не доверяют, посмотрите кто нить пашет ли с ней пакетхак, а то у меня клиента нет проверить.
Проверил. Работает.
Код:
01.06.2011 23:21:14 Library loaded D:\DEVELOPMENT\LINEAGE2\0\169\inject.dll
01.06.2011 23:21:14 Startup of L2ph v3.5.33.169
01.06.2011 23:21:14 Local server registered on 7788
01.06.2011 23:21:49 Patched l2.exe (3108)
01.06.2011 23:23:14 (Inject.dll) connect on 213.186.117.99:2106 ignored
01.06.2011 23:23:22 (Inject.dll) connect on 213.186.117.99:7371 intercepted
01.06.2011 23:23:22 ServerListen: New connection found.
01.06.2011 23:23:22 Tunel ($176557488) created
01.06.2011 23:23:23 Tunel ($176557488) runned for reading from socket # 464
01.06.2011 23:23:29 Tunel ($176557488) Disconnect from server
01.06.2011 23:23:29 Tunel ($176557488), Server socket # 464 / Client socket # 496, Connect established with 213.186.117.99:7371
01.06.2011 23:23:53 Tunel ($176557488) Disconnect from client
01.06.2011 23:24:00 (Inject.dll) connect on 213.186.117.99:2106 ignored
01.06.2011 23:24:07 (Inject.dll) connect on 213.186.117.99:7371 intercepted
01.06.2011 23:24:07 ServerListen: New connection found.
01.06.2011 23:24:07 Tunel ($207422288) created
01.06.2011 23:24:08 Tunel ($207422288) runned for reading from socket # 484
01.06.2011 23:24:09 Tunel ($207422288), Server socket # 484 / Client socket # 516, Connect established with 213.186.117.99:7371
01.06.2011 23:24:19 Tunel ($207422288), connection name : DwaRaza
С первого раза не зашел. Со второго нормально. Пакетики бегут правильные.
Revision: 259
Author: nlobp
Date: 23:54:54, 29 мая 2011 г.
Message:
[*] Изменения в парсере packets*.ini, кроме того добавлен оператор выбора switch и оператор LoopM в котором параметр цикла маска
[+] Для AION: подключил файлы ClassIdAion.ini, ItemsIdAion.ini, SkillsIdAion.ini для разбора пакетов, функции соответственно Get.ClassIdA, Get.FUNC01A, Get.SkillA
[*] Для AION: Подключил файл client_strings_ru.ini. В packetsAion.ini добавилась функция "Get.StringA"
[*] В зависимости от настроек грузятся *.ini файлы для Lineage II или Aion
[*] Для AION: обновил client_strings_ru.ini и ItemsIdAion.ini
[*] немного расшифровки пакетов для Айон 2.1
[+] добавил в проект недостающие файлы
Добавлено через 10 минут
Virustotal аггрится на inject.dll (на старый)
тю... так там ж касперский не агрица, значит все в порядке большая тройка антивирусов выглядит так: касперский, нод32 и др.веб. остальное муть голубая...