（高手勿进）为pe文件添加CRC32自效验的小程序（vc）

 

标 题: 【原创】（高手勿进）为pe文件添加CRC32自效验的小程序（vc） 作 者: sdzbyy 时 间: 2007-05-23,00:49 链 接: http://bbs.pediy.com/showthread.php?t=45074 学习CRC32的一个习作，老实说，对CRC的原理还是不太明白，我是菜鸟，请大家不吝赐教。  QQ:406670611 原理：http://www.pediy.com/tutorial/chap6/Chap6-2-4.htm还有www.luocong.com上也有很好的讲解。 步骤：pe文件通过比较自己的CRC32效验值，来判断自己是否被改写。      （1）为原pe文件添加一个新的节，将自效验部分（Loader）写入该新节。      （2）将原pe文件的ep改为新节的开始。      （3）计算原pe文件部分（在程序里计算的是从pe文件的开头到+0xe5）的CRC32效验值，并将该效验值保存在Loader中。      （4）修改后的pe文件开始运行时，先计算相应部分的（在程序里计算的是从pe文件的开头到+0xe5 ）CRC32效验值。与原pe文件的CRC32效验值比较，若相等则跳转到原pe的ep,否则直接调用ExitProcess退出。 测试：（１）打开程序CRC32为记事本添加自效验。 　　　（２）运行已添加自效验的记事本，能正常运行。 　　　（３）修改从记事本开头到０ｘｅ５范围内的任意一个字节（不要修改关键数据，如“MZ“），再运行，记事本直接ExitProcess,退出。         几点说明： 　　　（１）源码在ｖｃ７＋ｘｐ＿ｘｐ２下编译通过。 　　　（２） 卡巴斯基会将已添加自效验的记事本误报为病毒。 　　　（３）因为图简单所以将自效验的范围定为＂ＭＺ＂到０ＸＥ５。（添加了新的节以后，记事本的头部会改变，但０ｘｅ６之前的不会变） 　　　（4）在调用ExitProcess时使用了硬编码:mov eax,07c81caa2h(Kernel32.ExitProcess),call eax 参考文献： 　　（１）ｂｂｓ．ｐｅｄｉｙ．ｃｏｍ 　　（２）www.luocong.com

上传的附件

	CRC32源码.rar (2007-05-23 00:53 , 175.9 KB, 239 次下载)
	已添加CRC32效验的记事本.rar (2007-05-23 00:49 , 33.5 KB, 142 次下载)
	静态mfcCRC32.rar (2007-05-23 00:53 , 401.3 KB, 168 次下载)
	CRC32.rar (2007-05-23 00:55 , 28.1 KB, 177 次下载)

 

此帖于 2007-05-23 19:54 被 sdzbyy 编辑.