在软件保护中,增加对自身的完整性检查,以防止解密者修改程序达到破解的目的。完整性检查又包括磁盘文件检查和内存映像的检查。完整性检查的实现原理是用散列函数计算文件的散列值,并将该值放在某处,以后文件每次运行时,重新计算文件的散列值,并与原散列值比较,以判断文件是否被修改。
1.磁盘文件完整性检查
打开需要完整性检查的程序,用散列计算从PE文件头开始到文件末尾的值,保存在PE文件头得某个位置。在程序运行时取出存储的值进行比较。需要一个额外的应用程序处理程序。
文件处理程序:
打开目标程序,用散列函数计算出从PE文件头到文件结束的散列值,并把散列值写到PE文件头前那个空白处。
校验程序:
(1)读取自身文件从PE头开始到文件结束的内容,用同样的散列函数计算文件内容的散列值,这时得到一个“原始“文件的散列值。
(2) 读取自身文件先前存储的散列值(PE文件前),这个值时通过处理程序写入的。
(3) 把步骤(1)和步骤(2)的值进行比较,如果相等,说明文件没有被修改过,反之,文件被修改了。
缺陷:
解密者可能自己计算散列值,重新写入文件。
2.内存映像完整性检查
磁盘文件完整性校验可以抵御破解者修改磁盘文件,但对内存补丁却没有效果。因此对内存关键代码也实行检验。每个程序都有数据块和代码块,由于数据块会动态变化,因此检查这部分是没有意义的。而代码块是只读的,存放的是程序代码,在程序运行过程中是不会发生变化的,因此用这部分进行内存校验是可行的。
实现过程:
(1) 从内存映像得到PE相关数据,入代码区块的RVA值和内存大小等。
(2) 根据得到的代码区块的RVA值和内存大小,计算其内存数据的散列值。
(3) 读取自身文件先前存储的散列值。
(4) 比较两个散列值。
这个方法还可以有效的抵抗调试器的普通断点,因为调试器一般通过给应用程序下INT3指令来实现中断,这样就改变了代码区块的数据,计算散列值时会与原来的不同。3.实现实例
对磁盘文件完整性检查主要查看代码段是否被修改,所以对磁盘文件同样可以只检查代码段的MD5值。由于静态磁盘文件和内存映像中代码段是相同的。所以只需计算静态文件代码段得MD5值,写入PE文件头的某个位置。程序在运行时分别计算静态磁盘文件和内存镜像代码段的MD5值跟PE文件头预存放值进行比较。在计算MD5值时,最好加些特殊字符,以增加破解的难度。
3.1文件处理程序
步骤:
1、打开文件,获取dos文件头。
2、通过dos头的结构体内变量计算出PE文件头得位置。
3、通过PE文件结构体变量计算出块表位置。
4、通过块表第一个区块表计算出代码段的起始位置和长度。
5、计算MD5值。
6、将计算出的MD5值写入PE文件头之前的8个字节中。
代码:size_t GetDiskFileCodeSectionEncrypt(const char* filename, unsigned char infor[8])
/*++
Routine Description:
This routine get the program .text section MD5 value.
Arguments:
filename - [in]File need to calculate .text section MD5 value.
infor -[out]MD5 value of .text section
Return Value:
If success return 1, else return 0.
Author:
eric zhang, 2010-08-18
--*/
{
PIMAGE_DOS_HEADER pDosHeader = NULL;
PIMAGE_NT_HEADERS pNtHeader = NULL;
PIMAGE_SECTION_HEADER pCodeSection = NULL;
HANDLE hFile = NULL;
DWORD dwLowFileSize = 0, dwHighFileSize = 0,dwReturn = 0;
TCHAR *pBuffer = NULL;
encrypt e;
unsigned char en[16];
int i = 0;