System files modifizieren

05/12/2009 23:45 ms​#1
Ich habe mal wieder eine Frage. :)

Momentan experimentiere ich ein wenig damit rum, was man alles anstellen kann, wenn man System Files per ollydbg verändert. Ich habe die ws2_32.dll modifiziert und den Rechner neu gestartet. Nach dem Neustart lief das System einwandfrei und mit den gewünschten kleinen "Modifikationen". Ein einziges merkwürdiges Problem gab es jedoch: Die Soundkarte wird nicht mehr erkannt oder so, jedenfalls habe ich keinen Ton mehr.

Wenn ich dann wieder die originale ws2_32.dll benutze geht es wieder. Auch wenn ich die Datei durch eine ältere Version ersetze, die dennoch original ist, gibt es keine Probleme. Doch sobald ich auch nur 1 Byte verändere habe ich keinen Ton mehr, selbst wenn es sich um ein unwichtiges "NOP" handelt. Außer dem Problem mit dem Ton funktioniert sonst wie schon gesagt alles perfekt. Zumindest ist mir nichts aufgefallen.

Meine Frage ist nun, wie das System erkennt, dass die Systemdatei modifiziert und nicht original ist und lässt es sich irgendwie auf gut Deutsch verarschen? Und was hat das überhaupt mit dem Audiotreiber zu tun? Treiberupdate hilft leider auch nicht.
05/12/2009 23:59 Kazaaa#2
Also bin mir nicht sicher, aber villeicht checkt Windoof ja per MD5, da würde selbst 1 Buchstabe was ausmachen.
05/13/2009 00:02 ms​#3
Hatte auch so eine Idee und habe in der Datei selbst nach dem CRC32-Werten von ihr gesucht - leider nichts gefunden.
05/13/2009 12:24 Adroxxx#4
Versuch mal das Plugin CRC Fix für PEiD. Kann sein das es auch für Olly gibt, weiß ich gerad nicht. Aber für PEiD gibts das 100pro.
05/13/2009 16:31 ms​#5
Hat mein Problem leider auch nicht gelöst. :(
05/13/2009 21:31 RDTSC#6
Warum sollte auch ein unbenutzer Teil des Headers, der so einfach zu manipulieren ist, die Ursache dafür sein, dass irgendwelche Programme nicht mehr harmonieren?

Falls der Sound wirklich mit der modifizierten Systemdatei zusämmenhängt, könnte ich mir absolut nicht erklären, weshalb...
Leider habe ich auch keine Ahnung, wie genau die Systemdateien geschützt sind.

Aber kam bei dir denn nicht eine Nachricht, dass die Datei nicht die originale ist?
Bei mir war es mal so und beim Neustarten fand ich wieder die unveränderte Datei vor.
Diesen Schutz kann man aber auch irgendwie aushebeln, ich würde zu Google raten :x
05/13/2009 21:40 ms​#7
Ich habe gehört, dass der Schutz nur in XP existiert. Hier auf Vista gibt es so einen Schutz nicht mehr und Windows meckert auch nicht rum, dass man was geändert hat.

Quote:
Originally Posted by RDTSC View Post
Warum sollte auch ein unbenutzer Teil des Headers, der so einfach zu manipulieren ist, die Ursache dafür sein, dass irgendwelche Programme nicht mehr harmonieren?
Ich habe keine Ahnung. Es gibt ja schon Probleme wenn ich einfach nur einen unbenutzten Teil im Code verändere (z.B. einige NOPs zwischen zwei Functions).

Aber was der Sound damit zu tun hat kann ich mir auch nicht erklären. Und es liegt auch nicht bei meinem System, da ich das auch schon auf einem anderen Vista-Computer versucht habe und da auch alles bis auf den Ton funktionierte.
05/13/2009 22:07 Adroxxx#8
Hm, ja bei XP gibt es so einen Komischen Schutz, der angeblich bei Virenbefall eintreten soll. Der verhindert das ausführen von Programmen wie z.B. explorer. Frag mich net wie das heißt... irgendwas mit E ...
Könnte sein, dass es daran liegt. Die veränderung an der Systemdatei wird als Virenbefall angesehen und deshalb gibts Probleme... wobei kp :D Hab mich mit veränderungen an Systemdateien nie beschäftigt.