Ändert sich eine Exe bei Ausführung? - Hashproblem

Beitrag von **monta** » Di 3. Apr 2007, 17:54

Ich hab nen kleines Verständnisprobelm.

Eine exe welche auf der Festpatte gespeichert ist, ändert sich doch eigentlich nach start nicht, sondern sie wird in den Speicher geladen und der Wert im RAM ändert sich, oder irre ich mich da?

Der Binärcode auf der festplatte müsste demnach doch unabhängig davon, ob das Programm läuft, oder nicht, identisch sein, oder

Ich bin durch MD5 darauf gekommen.

Wenn ich die Exe sich selber hashen lasse erhalte ich einen anderen hash, als wenn ich die Exe durch ein zweites Programm hashe:

Aus der Exe selbst:

Code: Alles auswählen

procedure TForm1.Button1Click(Sender: TObject);
begin
  Label1.Caption := MD5Print(MD5File(Application.ExeName));
end;

Aus einem externen 'Hasher':

Code: Alles auswählen

procedure TForm1.Button1Click(Sender: TObject);
begin
  Memo1.Lines.Add('Dateihash für ' + Edit1.Text);
  Memo1.Lines.Add(MD5Print(MD5File(Edit1.Text)));
end;

Die exe selbst hasht sich mit: c629c81354b56f20bf64218b0851c55d

Das externe Programm ergibt:
wenn die Exe nicht läuft: c629c81354b56f20bf64218b0851c55d
wenn die Exe läuft aber: d41d8cd98f00b204e9800998ecf8427e

Wie verändert sich nun die Exe wärend der Laufzeit, so das diese unterschiedlichen Ergebnisse zustande kommen. Und wieso hasht die Exe sich selbst nicht so, wie das externe Programm die laufende Exe hasht?

Christian · Beitrag von **Christian** » Di 3. Apr 2007, 17:59

Die exe ändert sich nicht. Nur darf dein Hasher nich auf die Exe zugreifen wärend sie läuft, deshalb wird der Hash für 0 erstellt. Hat mich mal 2h Suche gekostet dieses Phänomen

Beitrag von **monta** » Di 3. Apr 2007, 18:03

Danke.

Habs gerade probiert, ein leerer String erzeugt ja den selben hash.

Eigentlich logisch.

Mit anderen Worten, eine laufende Exe ist unmöglich zu hashen.

Beitrag von **pluto** » Di 3. Apr 2007, 20:11

wird nicht irgendwo noch die Datums werte gesetzt ?
ich dachte die werden auch in die exe rein geschrieben oder wird das vom Dateisystem gemacht ?

Beitrag von **Euklid** » Di 3. Apr 2007, 20:13

Ich glaube, das macht das Dateisystem.

mori · Beitrag von **mori** » Di 3. Apr 2007, 20:24

Hi,
alles, was in eine exe reinschreibt, wird von den Virenscannern erkannt

Mit dem Problem hatte ich mich mal beschaeftigt, als ich ein paar Settings
direkt ins ausfuehrbare Teil schreiben wollte. Gab nur Stress!

MfG mori

schnullerbacke · Beitrag von **schnullerbacke** » Di 3. Apr 2007, 21:46

Programme im Speicher werden auch über die Platte gepaget. Das könnte auch zu einem anderem hash-Wert führen.

Christian · Beitrag von **Christian** » Mi 4. Apr 2007, 09:50

Man kann die exe schon hashen aber dann kannst du nicht die internen MD5 routinen nehmen, mit TFileStream.Create(MyFilename, fmOpenRead Or fmShareDenyNone);

Müsstest du eigentlich daraus lesen können (ungetested).

Unddann dir MD5 halt "zu Fuss" erstellen wie das geht kannst die ja in der MDFile routine abgucken.