Kan man se på vilken dator en exe-fil är kompilerad på?

Vad snackar du om?
Äger du inte ett program som har en produktnyckel?

Sedan är inte MAC-adressen unik du kan ändra och programmera om den på många kort om du inte visste om det.

Förr för länge sedan så var detta riktigt, men det gällde bara nätverkskorten, inte själva datorn. Tillverkarna av nätverkskorten hade så att säga en viss ordning på om hur de skulle dela ut dem. Nätverkskorten kunde också bytas på den tiden.

Det är också riktigt att det inte finns någon mening i att kompilera in MAC-adressen i en exe, iallafall inte i normala fall. En exe vilken som helst kan använda nätverket ändå utan att veta ett smack om vilken MAC-adress din maskin har för tillfället.

MAC-adressen har ju mest användning inom det interna nätverket i hur IP-adresserna ska delas ut med DHCP, man kan tex knyta en viss MAC-adress till en viss IP, men numera är det mest dynamisk utdelning av IP-adresserna som gäller eftersom datorer kopplas in och ur hela tiden.

Det finns annars mängder av unik information inne i en fysisk maskin som en kompilator kan ta reda på och eventuellt lagra i en exe, men det är ju vanligtvis inte särskilt användbart,

Man strävar ju att hålla memory footprint nere, och då är sådant bara bortkastat.


Vad gäller Visual Studio mfl utvecklingsmiljöer så skulle man mycket väl kunna tänka sig att produktnyckeln eller dess hashvärde lagrades i exen, men för att få reda på detta måste man väl antagligen kontakta Microsoft, och skicka exen dit och be dem analysera den ?
Det kommer dock inte att tala om vilken fysisk maskin som har använts.

Å andra sidan så har man ju ifrån utvecklarhåll menat att i takten med att fler malware och virus produceras att det skulle finnas något unikt hashvärde inne i exen som skulle gå att analysera, - Men å andra sidan så är det ju inte omöjligt att patcha en exe med ett sådant fejkvärde så att sådan info inte ger något ändå.

Nu är det ju snarare så att antivirusprogramvara har hashvärdena av hela den aktuella exe-filen och jämför denna med "spärrlistan"


Javisst är det så, på många kort så går MAC-adressen att ändra, man kan också i teorin fejka en sådan med hjälp av tex typ virtuella nätverksportar.

Jag hyser inga illusioner om att MS på något sätt skulle värna om min integritet. Routertillverkare och just antivirustillverkare har det ju rapporterats om blir kontaktade av amerikanska myndigheter troligen då NSA och blir ombedda att öppna upp en backdoor och låta bli att kolla/sätta upp vissa sekvenser. Var väl en intervju med någon på Kaspersky som avslöjade det senare och det tidigare vill jag minnas att alla större tillverkare utom en hade gått med på det. Att MS då inte skulle kunna tänka sig öppna upp för att knyta program till en dator är inte långsökt än mindre att lämna över felloggar och den algoritm som knyter upp den.

Men det som talar emot det är ju att det skulle bli ett slag i luften då en billig laptop idag kan vem som helst köpa och fri oberoende programvara av samma/bättre kvalité än det MS ger finns gratis ute på nätet då många är som jag och ser MS dominans som ett stort problem på många sätt och vis och jobbar ideellt med att utveckla sådana alternativ. Jag har bara freeware installerad på alla våra burkar här hemma förutom virusskydd och spel då. Funkar för det mesta helt smärtfritt med freeware och i vissa fall är de faktiskt bättre än de kommersiella alternativen imho.

Och att patcha exe-filer är ju inga problem.
Vem av de äldre av oss "nördar" har inte skrivit om command.com i någon editor och bytt ut kommandon mm på den tiden DOS var förhärskande?
Man tog bort kommandon man inte använde och bytte ut dem mot annat.
Svårare än så var det inte.

Redan nu så räcker det ju med att MS lagrar programnamnen som orsakar fel från felrapporteringen och från vilken IP-adress som skickat in den i en databas så kan du på någon halvsekund få fram uppgifter som skulle kunna vara av intresse så du har en god bas att påbörja en utredning/förundersökning från.

Så detta kan ju vara en anledning till att det redan inte är gjort.
Det finns mycket skit du kan hitta på om du har intresse att fejka/bryta dig in i/simulera saker i datorer/nätverk mm.
Man har väl själv gjort sin beskärda del av detta i sin ungdom.

Jo fast vissa routrar hade ett felsökningsläge och vilka kommandon som behövdes ges det minns jag inte, Men det var typ allmän broadcast, ungefär som en hubb fungerar, i princip kunde man också spegla all trafik mm. Men det hör nog till min gamla experimentverkstad med Josty Kits och Hobbex röntgenglasögon osv...


Såklart men det krävs ju att den aktuella utvecklingsdatorn är uppkopplad emot nätet, vilket vi ju inte vet i det här ärendet.

Av kända virushistorier så har man ju ibland kunnat ta reda på i efterhand vilken dator som först var infekterad, dvs göra baklängesspårningar i kedjan osv.

Det är det ju ändå om du installerar ett program som Wireshark.
Ruggigt kraftfullt program.
Fingera sedan att du är en router och du har sedan lätt tillgång all trafik.
Är man lite kunnig i nätverk så tar du dig in i det mesta.
Jo det går ju men det är tidsödande.

Ledsen att jag avbryter när ni har sådant gulle-gull-mys med varandra, men jag vill bara tillföra ett exempel på hur kommersiella mjukvaruföretag kan/har burit sig åt:

Från http://synopsys.com/Support/LI/Licen...es/HostID.aspx
Och JA: Många kommersiella kompliatorer/runtime vill placera Licens/HostID i resultatfilerna.

Men vi tittar då på frågan igen då.
Och svaret på frågan är inte blankt nej.
Utan, det beror på.

VS t.ex lägger in sökvägen till katalogen där du kompilerade programmet.
C:\Users\NN\xxx\xxx\....
Kan mycket väl räcka till för att finna en misstänkt och burken om man har tur.
Det beror på omständigheterna.

Är det t.ex en keylogger så hittar du kanske en IP-adress eller en mailadress du kan gå vidare med. Annars vet du ju att den som installerat den har lokal access till din dator eller kan logga in på din dator. Då den kan hämta ut aktuell fil för keyloggens aktivitet och du kan gå vidare därifrån.

Sedan kan man gå in i de systemloggar och i registret som jag föreslog och titta om programmet körts där och lämnat kvar några spår efter sig om man har möjlighet att ta fysisk kontroll över datorn.

Du kan spåra stavfel personen gör och se om dessa upprepas i övrig text på datorn som med dig när du inte ens lyckades stava till det du fantiserade ihop att du jobbade med.


Är det en narcissistisk person kanske hen fyllt i AssemblyInfo-filen.
Har varit några idioter som gjort det vid några tillfällen och åkt dit på det....

Så det beror på helt och hållet på vilken typ av program det är frågan om och hur väl personen sopat igen spåren efter sig och om du kan få tillgång till misstänkt dator, om du ska kunna spåra vilken dator programmet är kompilerad på och vem som har gjort det.

Så du har bara så helt fel i detta med.

Har raderat en massa ovidkommande gnabb. Undvik inlägg som enbart handlar om att:
a) du själv är fantastisk
b) någon annan i tråden är en idiot

Detta är sällan eller aldrig on topic, med möjligt undantag för enstaka laidbacktrådar.

/Moderator

Haha, jag hade minsann roligt av att läsa dyngan, det gjorde mig en aning piggare, haha
Tack så micket !! Spånerier i kubik som just inte sa någonting --- Inget ont i det, Frågan om spårbarhet och MAC- adresserna kan ju få en egen tråd liknande LCHF, Chemtrails och kolloidalt Silver och andra konspirationstrådar.

MAC-adresserna var väl viktiga en gång i tiden, men eftersom nästan all sådan info numera är inlagt på EEPROM så kan den ändras för den som vill, vet dock ej vilka maskiner som har hårdhårdkodade serienr osv, Det är ju inte heller mycket mening att ha hårdkodade sådana nummer utan att samtidigt hålla reda på vem/vilka som är ägarna.


Jag har för mig att VS lägger in den extra infon om projektets sökväg enbart för att vara en referens för en utvecklare som lyckats strula/stöka till det med katalogerna och också för att kunna ladda symbol tables och sådant i debug läget. Ifall programmet ska debuggas.

Om programmet är en debugrelease så finns det sannolikt rätt mycket information som man kan hämta ut.

Med att sätta upp två olika maskiner med olika users men med helt identiska kompilatorinstallationer så kan utvecklaren räkna ut om kompilatorn lägger till användarinfo mm, i exen,

Det kan dock enkelt patchas bort med en hex-editor förstås.

IP-adresserna är ju ett osäkert sätt att kommunicera med omgivningen på, bättre i såfall att använda anonyma epostkonton, men fan vet egentligen, även en IP-adress kan sparas i krypterad form inne i exen för att sedan dekrypteras när programmet exekverar.

Men det är precis som MeanME skriver att utan den fysiska (utvecklings-)datorn i sin ägo så är det nog rätt så lönlöst att leta efter upphovsmannen/männen/hennarna till programmet.

Det finns ett parallellfall om något av de äldre antika virusarnas uppkomst. Här kunde man härleda vilken version av kompilatorn (BC++ 4.x) som hade använts. Detta av att studera de inlänkade libbens ursprung. Så mycket mera information kunde man inte få fram ur exen.



Hur mäter man kukar med hjälp av MAC-adresser ? Hur går det till - Vad är det för måttenheter vi pratar om ?

Det är ju bara att kolla i program som pestudio.
Det tar ju ut allt som finns att läsa i strängformat ur programmet.
Det som är lite dumt dock är att sökvägen det ligger kvar i releasen.
Det är faktiskt rätt onödigt.

Det är möjligt det finns någon inställning du kan göra för att ta bort denna infon, det vet jag inte då jag inte är någon expert på GUIn för VS på långa vägar.
Jo, men som jag skrev man behöver lite flyt om man skall hitta något som man kan använda sig av. Är det Pelle Polare som skrivit en keylogger för att jävlas lite med dig så är det ju tänkbart att koden inte är optimerad och att möjligheten finns att du kan hitta något är större än att hitta något sådant i ett program som någon skrivit för rent kriminella avsikter.
Jo men det hittar du kanske i VS med, såg iaf att den hade uppgivit något versionsnummer för någonting, kollade inte så noga så jag kommer ihåg för vad, men det har du inte så stor nytta av då all uppgradering sker automatiskt idag så alla bör väl sitta på samma versioner inom någon vecka typ?

När Windows installeras så sparas faktiskt en del maskin-unika data i registret, den gör detta pga att om du byter flera maskinkomponenter tex moderkort, den ser det som en ny dator, och då måste man installera om , eller i vart fall aktivera om Windows. Bla så tror jag att nätverkskortens MAC-adress sparas i registret.

Men det är registret det, det finns inte mången anledning att kompilera in en MAC-adress in i en exe, Det finns ju ingen korrelation emellan IP-adress (som är den viktiga delen) och MAC-adress, detta beror på att DHCP sköter utdelningen av IP-adresserna, det är ett sk dynamiskt nätverk. Om man nu inte vill ha statiska IP-adresser.

MAC-adresserna är egentligen mest bara viktiga inom det lokala LAN-et att ifall två enheter har likadana MAC-adresser så fungerar det inte som det är tänkt.


Ja så klart att man bör dissekera programmet så gott man kan , men man behöver ju oftast ytterligare information - annars tror jag det är rätt så döfött...

TS skulle väl här kunna nämna vad programmets syfte är ? Om det är klyftigt designat kanske man måste köra det i en debugger, disassembler, virtuell maskin eller liknande för att se vad programmet avser att ställa till med för jävelskap.

Keyloggers finns väl lite varstans, alltså jag menar källkoden av olika slag. Man kan ju designa en keylogger att typ bara en gång i veckan ansluta till "en hemlig server" för att där överföra hela keyloggen för den gångna veckan, kanske tillsammans med lite webbhistorik mm osv.


Javisst, en som sysslar med kriminell programvara kastar väl antagligen hela datorn ifrån tex Finlandsfärjan, eller i Landsortsdjupet, eller kastar in den i SSABs masugn uppe i Luleå typ ?


Såklart där har du en poäng, tex om ett lib har uppdaterats så kan man ju kanske hitta vilken version som använts av länkaren även om programkodaren tex ändrat fildatum (time stamp) på exen.

Jaja, jag har faktiskt inte tittat närmare på denna info, om det ens är framkomligt den vägen

Det är dock inte nödvändigt att ha datorn uppkopplad för att utveckla program på den.

Nej självklart inte men de flesta vill ju gärna få uppdateringar och bli fri buggar.

Tidigare var det ju upp till var och en att uppdatera och då kunde du ju hitta de mest underliga kombinationer av programvara mest pga att man hade inte fysisk plats att ha allt installerat på datorn. Så då var väl variationen större och mer individuell.

Du hade en 20-40-80-120 MB HD och troligen körde du någon diskkomprimerare i alla fall gjorde jag det så min 40 MB vart 78 MB, vart en ren revolution när man hittade det programmet. Men du hade ändå inte plats på HDn med alla libs du ville ha utan man fick ibland sopa ren en installation för att få plats med en annan. Då fanns det ju en poäng med att HDar var binära.
De var tomma när du fick den och tvärfull någon timme senare.

Idag går du bara och köper en ny 1TB HD och stoppar i racket eller burken för en spottstyver. Sedan lägger du in de lib du önskar. Kollade en lite äldre version av Boost 1.5 den är på 400 MB du hade inte fått plats med den på HDn ett antal år tillbaka.

Aja, vem bryr sig om de historierna idag.