保护篇-文件完整性检查

 在软件保护中，增加对自身的完整性检查，以防止解密者修改程序达到破解的目的。完整性检查又包括磁盘文件检查和内存映像的检查。完整性检查的实现原理是用散列函数计算文件的散列值，并将该值放在某处，以后文件每次运行时，重新计算文件的散列值，并与原散列值比较，以判断文件是否被修改。

1.磁盘文件完整性检查

打开需要完整性检查的程序，用散列计算从PE文件头开始到文件末尾的值，保存在PE文件头得某个位置。在程序运行时取出存储的值进行比较。需要一个额外的应用程序处理程序。

文件处理程序：

打开目标程序，用散列函数计算出从PE文件头到文件结束的散列值，并把散列值写到PE文件头前那个空白处。

 

校验程序：

（1）读取自身文件从PE头开始到文件结束的内容，用同样的散列函数计算文件内容的散列值，这时得到一个“原始“文件的散列值。

（2） 读取自身文件先前存储的散列值（PE文件前），这个值时通过处理程序写入的。

（3） 把步骤（1）和步骤（2）的值进行比较，如果相等，说明文件没有被修改过，反之，文件被修改了。

 

缺陷：

解密者可能自己计算散列值，重新写入文件。

2.内存映像完整性检查

磁盘文件完整性校验可以抵御破解者修改磁盘文件，但对内存补丁却没有效果。因此对内存关键代码也实行检验。每个程序都有数据块和代码块，由于数据块会动态变化，因此检查这部分是没有意义的。而代码块是只读的，存放的是程序代码，在程序运行过程中是不会发生变化的，因此用这部分进行内存校验是可行的。

实现过程：

（1） 从内存映像得到PE相关数据，入代码区块的RVA值和内存大小等。

（2） 根据得到的代码区块的RVA值和内存大小，计算其内存数据的散列值。

（3） 读取自身文件先前存储的散列值。

（4） 比较两个散列值。

这个方法还可以有效的抵抗调试器的普通断点，因为调试器一般通过给应用程序下INT3指令来实现中断，这样就改变了代码区块的数据，计算散列值时会与原来的不同。

3.实现实例

对磁盘文件完整性检查主要查看代码段是否被修改，所以对磁盘文件同样可以只检查代码段的MD5值。由于静态磁盘文件和内存映像中代码段是相同的。所以只需计算静态文件代码段得MD5值，写入PE文件头的某个位置。程序在运行时分别计算静态磁盘文件和内存镜像代码段的MD5值跟PE文件头预存放值进行比较。在计算MD5值时，最好加些特殊字符，以增加破解的难度。

3.1文件处理程序

步骤：

1、打开文件，获取dos文件头。

2、通过dos头的结构体内变量计算出PE文件头得位置。

3、通过PE文件结构体变量计算出块表位置。

4、通过块表第一个区块表计算出代码段的起始位置和长度。

5、计算MD5值。

6、将计算出的MD5值写入PE文件头之前的8个字节中。

代码：

size_t GetDiskFileCodeSectionEncrypt(const char* filename, unsigned char infor[8])
/*++
Routine Description:
    This routine get the program .text section MD5 value.
Arguments:
    filename - [in]File need to calculate .text section MD5 value.
    infor    -[out]MD5 value of .text section
Return Value:
    If success return 1, else return 0.
Author:
    eric zhang, 2010-08-18
--*/
{
    PIMAGE_DOS_HEADER pDosHeader = NULL;
    PIMAGE_NT_HEADERS pNtHeader = NULL;
    PIMAGE_SECTION_HEADER pCodeSection = NULL;
    HANDLE hFile = NULL;
    DWORD dwLowFileSize = 0, dwHighFileSize = 0,dwReturn = 0;
    TCHAR *pBuffer = NULL;
    encrypt e;
    unsigned char en[16];
    int i = 0;