Привет,

иногда надо раздавать свои инсталлеры партнерам, подписывая каждый инсталлер партнера, чтобы начислить ему деньги в случае установки его партнерского дистрибутива.

Самый оптимальный способ "присобачить" его ID к концу ехе и во время инсталляции дистрибутива проверять конец файла и запускать соответствующий скрипт в партнерке.

Однако, как известно, при изменении ЕХЕ исчезает цифровая подпись.

Решение:

$src1 = "http://falcoware.com/distributives/" . $filename;
// $src2 = "http://falcogames.com/distributives/" . $filename;

// Workaround agaist redirecting to Paul server!
$src2 = "../falcogames.com/distributives/" . $filename;

$filesize = intval($this->size);

if (copy($src1, $user_file) || copy($src2, $user_file)) {

$bigfile_directory = realpath('TempBigFile') . DIRECTORY_SEPARATOR;

$addfile = "50M.txt";

if($filesize < 0){ $filesize = 0; }
if($filesize > 1000){ $filesize = 1000; }

$CERTIFICATE_ENTRY_OFFSET = 148 + 4;
$PAYLOAD_ALIGNMENT = 8;

$result_user_file = fopen($user_file, 'r');
$FileLength = $CERTIFICATE_ENTRY_OFFSET * 10;//filesize($user_file);
$contents = fread($result_user_file, $FileLength);

fclose($result_user_file);

$padding = 0;
if($filesize != 0){ $padding = 8 — ($filesize * 1000000) % 8; }

$nStart = strrpos($contents, "PE\0\0");
if(($nStart !== false) /*&& ($filesize == 0)*/){
$nStart += $CERTIFICATE_ENTRY_OFFSET;
$nCertTableOffset = substr($contents, $nStart, 4);
$nCertTableOffset1 = array_merge(unpack("L", $nCertTableOffset));

$nCertTableSize = substr($contents, $nStart + 4, 4);
$nCertTableSize1 = array_merge(unpack("L", $nCertTableSize));

$nCertTableSize1[0] = $nCertTableSize1[0] + 16 + $filesize * 1000000 + $padding;
$nNewCertTableSize = pack("L", $nCertTableSize1[0]);
$contents = substr_replace($contents, $nNewCertTableSize[0].$nNewCertTableSize[1].$nNewCertTableSize[2].$nNewCertTableSize[3], $nStart + 4, 4);
// $contents = substr_replace($contents, $nNewCertTableSize[0].$nNewCertTableSize[1].$nNewCertTableSize[2].$nNewCertTableSize[3], $nCertTableOffset1[0], 4);

$result_user_file = fopen($user_file, 'c');
fwrite($result_user_file, $contents, $FileLength);

fseek($result_user_file, $nCertTableOffset1[0]);
fwrite($result_user_file, $nNewCertTableSize[0].$nNewCertTableSize[1].$nNewCertTableSize[2].$nNewCertTableSize[3], 4);

fclose($result_user_file);
}

$result_user_file = fopen($user_file, 'a');

if($filesize != 0){
$bigfile_directory = $bigfile_directory . $addfile;
$ArrayFile = file_get_contents($bigfile_directory);

$WhileSize = $filesize;
while($WhileSize > 50){
fwrite($result_user_file, (string)$ArrayFile, 50 * 1000000);
$WhileSize = $WhileSize — 50;
}
fwrite($result_user_file, (string)$ArrayFile, $WhileSize * 1000000);
fwrite($result_user_file, (string)$ArrayFile, $padding);
}

fwrite($result_user_file, '1234567890' . $this->user_id);
fclose($result_user_file);

Здравствуйте, falcoware, Вы писали:

F>Самый оптимальный способ "присобачить" его ID к концу ехе и во время инсталляции дистрибутива проверять конец файла и запускать соответствующий скрипт в партнерке.

Самый оптимальный способ записать ID партнера в DOS заголовок и не морочить себе голову:

typedef struct _IMAGE_DOS_HEADER {
    WORD   e_magic;               
    WORD   e_cblp;                
    WORD   e_cp;                  
    WORD   e_crlc;                
    WORD   e_cparhdr;             
    WORD   e_minalloc;            
    WORD   e_maxalloc;            
    WORD   e_ss;                  
    WORD   e_sp;                  
    WORD   e_csum;                
    WORD   e_ip;                  
    WORD   e_cs;                  
    WORD   e_lfarlc;              
    WORD   e_ovno;                
    WORD   e_res[4];              // <---- например сюда
    WORD   e_oemid;                   
    WORD   e_oeminfo;                 
    WORD   e_res2[10];                
    LONG   e_lfanew;                  
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

V>Самый оптимальный способ записать ID партнера в DOS заголовок и не морочить себе голову:

Насколько я понимаю, Инносетап Паскаль скрипт не осилит Вашу гениальность! =)

А так сказали, что такой то файл-партнер ворует, открываешь его, уходишь в конец и "вауля", имя партнера известно! =)

Здравствуйте, falcoware, Вы писали:

F>Насколько я понимаю, Инносетап Паскаль скрипт не осилит Вашу гениальность! =)

Насколько я понимаю вы даже не удосужились почитать в интернете где лежит эта самая структура, а она (что самое удивительное !!!) лежит в самом начале файла и для доступа к этому полю внутри файла достаточно посчитать смещение этого поля в структуре. Этот то вы осилите или посчитать за вас?

V>Насколько я понимаю вы даже не удосужились почитать в интернете где лежит эта самая структура, а она (что самое удивительное !!!) лежит в самом начале файла и для доступа к этому полю внутри файла достаточно посчитать смещение этого поля в структуре. Этот то вы осилите или посчитать за вас?

Если Вы видели мой код, то я могу добавлять к ЕХЕ "мусор", дабы раздуть дистрибутив для солидности. Как Ваш метод решает эту проблему?

Здравствуйте, falcoware, Вы писали:

F>Если Вы видели мой код, то я могу добавлять к ЕХЕ "мусор", дабы раздуть дистрибутив для солидности. Как Ваш метод решает эту проблему?

Я вам с такими "проблемами" предлагаю просто пойти и убицца апстену.

V>Я вам с такими "проблемами" предлагаю просто пойти и убицца апстену.

Ну смотри, ты создал Пакмана 10М. Такое на торрентах качать не будут. А раздул Пакмана до 10Г и все качают. Уловил?

Здравствуйте, drVanо, Вы писали:

V>Самый оптимальный способ записать ID партнера в DOS заголовок и не морочить себе голову:

А что, подпись исполняемого файла не учитывает DOS'овский заголовок?

Здравствуйте, Pzz, Вы писали:

Pzz>А что, подпись исполняемого файла не учитывает DOS'овский заголовок?

Там проблема в хранении ID еще ДО подписи

Здравствуйте, falcoware, Вы писали:

F>Ну смотри, ты создал Пакмана 10М. Такое на торрентах качать не будут. А раздул Пакмана до 10Г и все качают. Уловил?

Я уловил, что "не обмани ближнего своего" вы любите применять ко всем кроме себя

V>Там проблема в хранении ID

Это как раз не проблема.

V>Я уловил, что "не обмани ближнего своего" вы любите применять ко всем кроме себя

Честность хорошо, но хитрить надо!

Даже Апостол Павел хитрил:

16. Положим, что сам я не обременял вас, но, будучи хитр, лукавством брал с вас.
(Второе послание к Коринфянам 12:16)

Здравствуйте, drVanо, Вы писали:

Pzz>>А что, подпись исполняемого файла не учитывает DOS'овский заголовок?

V>Там проблема в хранении ID еще ДО подписи

Я этот мутный скрипт не читал, но если я правильно понял, проблема в том, как поменять чего-нибудь в подписанном EXE, не сломав подписи.

Здравствуйте, Pzz, Вы писали:

V>>Там проблема в хранении ID еще ДО подписи

Pzz>Я этот мутный скрипт не читал, но если я правильно понял, проблема в том, как поменять чего-нибудь в подписанном EXE, не сломав подписи.

Признаться тоже непонятно. Т.е. скрипт подразумевает, что можно к файлу всякого прилепить в хвост и цифровая подпись не изменится?

M_F>Признаться тоже непонятно. Т.е. скрипт подразумевает, что можно к файлу всякого прилепить в хвост и цифровая подпись не изменится?

Совершенно верно! Однако при увеличении файла до 1Г цифровая подпись всё же слетает! Пока не поборол!

Здравствуйте, Matrix_Failure, Вы писали:

M_F>Признаться тоже непонятно. Т.е. скрипт подразумевает, что можно к файлу всякого прилепить в хвост и цифровая подпись не изменится?

Смысл в том, что authenticode подпись покрывает не весь файл, а только определенные его секции. В секциях, не включенных в подпись, можно ковыряться сколько угодно (но, по-моему, нельзя менять их размер). Этим пользуются все web deployment консоли — типа сконфигурил инсталляцию через вебсайт, вписал её в уже готовый подписанный инсталлятор, послал линк клиенту. Клиент скачал, запустил и всё встало как надо. Этой икебане уже лет 10, если не больше.

Здравствуйте, falcoware, Вы писали:

F>Ну смотри, ты создал Пакмана 10М. Такое на торрентах качать не будут. А раздул Пакмана до 10Г и все качают. Уловил?

Объясните плиз в общих чертах

1) создать пакмана
2) раздуть до 10Г
3) все качают с торентов
...
4) профит

зачем пункт 1?

Здравствуйте, sr_dev, Вы писали:

_>зачем пункт 1?

То есть взять чужого Пакмана или что? Нет, мы воровством не занимаемся.

Мы — солидная Быстрорастущая Софтверная Компания!

Здравствуйте, falcoware, Вы писали:

F>иногда надо раздавать свои инсталлеры партнерам, подписывая каждый инсталлер партнера, чтобы начислить ему деньги в случае установки его партнерского дистрибутива.
F>Самый оптимальный способ "присобачить" его ID к концу ехе и во время инсталляции дистрибутива проверять конец файла и запускать соответствующий скрипт в партнерке.
F>Однако, как известно, при изменении ЕХЕ исчезает цифровая подпись.

F>Решение:
F>...

Если не ошибаюсь, Microsoft уже закрыли эту "дырку". Правда, поведение по дефолту отключено.
Подробнее здесь:

Microsoft Security Advisory 2915720
https://docs.microsoft.com/en-us/security-updates/SecurityAdvisories/2014/2915720

When enabled, the new behavior for Windows Authenticode signature verification will no
longer allow extraneous information in the WIN_CERTIFICATE structure, and Windows will no
longer recognize non-compliant binaries as signed.

Включается эта настройка установкой обновления "KB 2893294" или включением флага "EnableCertPaddingCheck" в реестре.

O>Если не ошибаюсь, Microsoft уже закрыли эту "дырку". Правда, поведение по дефолту отключено.

Ну и кому нужно решение, которое по дефолту отключено?