一步一步简单的保护我们的源码(2)

最新推荐文章于 2021-12-17 23:20:29 发布
最新推荐文章于 2021-12-17 23:20:29 发布
阅读量839 收藏
点赞数
分类专栏: 保护 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiangminghate/article/details/45645861
版权

    在<一步一步简单的保护我们的源码>中,提到了几种保护源码的方式,本文再新增一种方式。

    众所周知,PE文件有诺干节区(至少有.text/.data节),而一般源文件经过编译生成PE文件后,其可执行码就存放在PE文件的.text节区。并且节中可执行的指令集在磁盘中的分布和加载到内存后的分布是一样的。当调试程序而在某代码地址上下断点时,调试器会用int 3(0xcc)替换改地址上的指令,然后在异常中恢复。很明显,在下断点调试这个过程中内存上的指令集和磁盘上的指令集已经存在差异了。如果添加一种机制:程序运行时,时不时的检测一下内存中.text节的内容是否不同于磁盘上的,如果不同,直接退出程序,通过这种方式至少可以防止第二个人调试自己的代码。看雪<加密与解密>的14章提到了这种方法,可以参考其实现。

这里有2个问题:1,什么时候记录文件中.text节的校验值?程序发布前,.text节区中的内容已经确定不变了,因此这个时候计算并记录.text节的内容比较适宜。2,校验值存放在哪?PE文件中有大量冗余内容,我记录在IMAGE_DOS_HEADER!e_lfanew之后的4个字节,记录于此不影响程序运行。

以下开始贴代码

#include "stdafx.h"
#include <windows.h>
#include <assert.h>
#include <stdio.h>

DWORD PeHdrOff = 0;
DWORD PeDataTabOff = 0;
DWORD PeSectTabOff = 0;
DWORD PeSectionCount = 0;
DWORD PeMemoruAil = 0;
DWORD gRVA = 0; //节区的起始RVA

void LocatePeStruct(PVOID lpFileBuf);
DWORD RVA2FOA(PIMAGE_SECTION_HEADER section);
DWORD CRC32(BYTE* ptr,DWORD Size);

int main(int argc, char* argv[])
{
	DWORD lastErr;
	int idx;
	HANDLE imageHd = CreateFile("C:\\studio\\checkdebug\\Debug\\checkdebug.exe",
					GENERIC_READ|GENERIC_WRITE,
					FILE_SHARE_READ|FILE_SHARE_WRITE,
					NULL,OPEN_EXISTING, 
					FILE_ATTRIBUTE_NORMAL, NULL);
	if(imageHd == INVALID_HANDLE_VALUE)
	{
		lastErr = GetLastError();
		assert(0);
	}

	HANDLE mapHd = CreateFileMapping ( 
    imageHd, NULL, 
    PAGE_READWRITE, 
    0,0,NULL);
	if(mapHd == NULL)
	{
		lastErr = GetLastError();
		assert(0);
	}

	DWORD  dwCurAddr = 0, dwCurPart = 0;
	LPVOID mapAddr = 0;
	DWORD txtOff;
	char* txtBase;

	mapAddr = MapViewOfFile (mapHd, FILE_MAP_READ|FILE_MAP_WRITE, 0, dwCurAddr, dwCurPart ) ;
	if(mapAddr == NULL)
	{
		lastErr = GetLastError();
		assert(0);
	}

	LocatePeStruct(mapAddr);
	PIMAGE_SECTION_HEADER sectPtr = (PIMAGE_SECTION_HEADER)(((char*)mapAddr)+PeHdrOff+PeSectTabOff);
	
	//定位.text节
	for(idx=0;idx<PeSectionCount;idx++)
	{
		if(strcmp((char*)sectPtr[idx].Name,".text") == 0)
		{
			//获得.text节在文件中的偏移
			gRVA = sectPtr[idx].VirtualAddress;
			txtOff = RVA2FOA(sectPtr+idx);
			break;
		}
	}
	//获得.text在内存映射中的地址
	txtBase = (char*)mapAddr+txtOff;
	DWORD crcSum = CRC32((BYTE*)txtBase,sectPtr[idx].Misc.VirtualSize);
	//获得IMAGE_DOS_HEADER!e_lfanew偏移
	DWORD patchOff = FIELD_OFFSET(IMAGE_DOS_HEADER, e_lfanew);
	//在IMAGE_DOS_HEADER!e_lfanew+0x04的位置处写入CRC值
	patchOff += sizeof(long);
	memcpy(((char*)mapAddr+patchOff),&crcSum,sizeof(long));

	UnmapViewOfFile(mapHd);
	CloseHandle (mapHd);
    CloseHandle (imageHd);
	return 0;
}

void LocatePeStruct(PVOID lpFileBuf)  
{  
	//e_lfanew:PE头距离MZ的偏移
	PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)lpFileBuf;
	PeHdrOff = pDos->e_lfanew;
	//DataDirectory:映像读到内存后,数据目录数组在内存中的地址
	//下面计算DataDirectory与PE标志之间的偏移
	PIMAGE_NT_HEADERS32 pNT = (PIMAGE_NT_HEADERS32)((char*)lpFileBuf+pDos->e_lfanew);
	PeMemoruAil = pNT->OptionalHeader.SectionAlignment;
	PeDataTabOff = (DWORD)pNT->OptionalHeader.DataDirectory-(DWORD)pNT;
	
    //区段数  
    PeSectionCount = pNT->FileHeader.NumberOfSections;

	//映像文件读到内存后,首个节表在内存中的地址
	//下面计算pSection与PE标志之间的偏移
	PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(pNT);
	PeSectTabOff = (DWORD)pSection-(DWORD)pNT;

	return;
}

DWORD fileOffset;
char* gSectName = NULL;
DWORD RVA2FOA(PIMAGE_SECTION_HEADER section)
{
	//距离命中节的起始虚拟地址的偏移值。  
    DWORD  dwDiffer = 0; 
	//模拟内存对齐机制 
	DWORD dwBlockCount  = section->SizeOfRawData/PeMemoruAil;  
    dwBlockCount       += section->SizeOfRawData%PeMemoruAil? 1 : 0;
	DWORD dwBeginVA     = section->VirtualAddress;  
    DWORD dwEndVA       = section->VirtualAddress + dwBlockCount * PeMemoruAil;  
	//rva与节表在内存中的起始地址的偏移
	dwDiffer = gRVA - dwBeginVA;

	if(dwDiffer > section->SizeOfRawData)
	{
		char errBuffer[1024] = {0};
		sprintf(errBuffer,"节在文件中大小:0x%x,节在内存中起址:0x%08x",section->SizeOfRawData,dwBeginVA);
		::MessageBoxA(NULL,errBuffer,"Exceed",MB_OK);

		return 0;
	}
	else
	{
		//PointerToRawData:在整个文件中的偏移
		fileOffset = section->PointerToRawData + dwDiffer;  
		gSectName = (char*)section->Name;
		return fileOffset;
	}
}

DWORD CRC32(BYTE* ptr,DWORD Size)
{
	
	DWORD crcTable[256],crcTmp1;
	
	//动态生成CRC-32表
	for (int i=0; i<256; i++)
	{
		crcTmp1 = i;
		for (int j=8; j>0; j--)
		{
			if (crcTmp1&1) crcTmp1 = (crcTmp1 >> 1) ^ 0xEDB88320L;
			else crcTmp1 >>= 1;
		}
		
		crcTable[i] = crcTmp1;
	}
	//计算CRC32值
	DWORD crcTmp2= 0xFFFFFFFF;
	while(Size--)
	{
		crcTmp2 = ((crcTmp2>>8) & 0x00FFFFFF) ^ crcTable[ (crcTmp2^(*ptr)) & 0xFF ];
		ptr++;
	}
	
	return (crcTmp2^0xFFFFFFFF);
}
这段代码是计算需要保护的PE文件.text节的校验值。 

#include "stdafx.h"
#include <windows.h>

BOOL CodeSectionCRC32( );
DWORD CRC32(BYTE* ptr,DWORD Size);

int main(int argc, char* argv[])
{
	if(CodeSectionCRC32())
		MessageBox(NULL,TEXT ("CRC32 Check OK!"),TEXT ("OK"),MB_ICONEXCLAMATION);
	else
    	MessageBox(NULL,"File corrupted! !","CRC error",MB_ICONEXCLAMATION);
	return 0;
}


// 计算代码区块的CRC32值
//

BOOL CodeSectionCRC32( )
{

	PIMAGE_DOS_HEADER	    pDosHeader=NULL;
    PIMAGE_NT_HEADERS       pNtHeader=NULL;
    PIMAGE_SECTION_HEADER   pSecHeader=NULL;

	DWORD					ImageBase,OriginalCRC32;


	ImageBase=(DWORD)GetModuleHandle(NULL);//取基址,其实本例也可直接用0x4000000这个值

	 pDosHeader=(PIMAGE_DOS_HEADER)ImageBase;	 	 
     pNtHeader=(PIMAGE_NT_HEADERS32)((DWORD)pDosHeader+pDosHeader->e_lfanew);
	 //定位到PE文件头(即字串“PE\0\0”处)前4个字节处,并读出储存在这里的CRC-32值:
	DWORD checkSumOff = FIELD_OFFSET(IMAGE_DOS_HEADER,e_lfanew)+sizeof(long);
	OriginalCRC32 = *((DWORD*)((char*)ImageBase+checkSumOff));
	 //OriginalCRC32 =*((DWORD *)((DWORD)pNtHeader-4));

	 pSecHeader=IMAGE_FIRST_SECTION(pNtHeader);   //得到第一个区块的起始地址  
	
	 //假设第一个区块就是代码区块
	 //是从磁盘文件得到代码块的地址和大小来计算CRC32值
	 if(OriginalCRC32==CRC32((BYTE*) (ImageBase+pSecHeader->VirtualAddress),pSecHeader->Misc.VirtualSize)) 
		return TRUE;
	else
		return FALSE;


	//如果程序从磁盘文件获取第一区块的数据,加壳后,数据将可能不准确,因此对于要加壳的程序来说,
	//直接填上代码区块的地址和大小,方法是先随便填一数据,编译后用PE工具查看生成文件的代码区块的RVA和大小,
	//再填进来重新编译
	/*
	if(OriginalCRC32==CRC32((BYTE*) 0x401000,0x36AE)) 
		return TRUE;
	else
		return FALSE;
*/

}




// 计算字符串的CRC32值
// 参数:欲计算CRC32值字符串的首地址和大小
// 返回值: 返回CRC32值

DWORD CRC32(BYTE* ptr,DWORD Size)
{

	DWORD crcTable[256],crcTmp1;
	
	//动态生成CRC-32表
	for (int i=0; i<256; i++)
	 {
		crcTmp1 = i;
		for (int j=8; j>0; j--)
		 {
			if (crcTmp1&1) crcTmp1 = (crcTmp1 >> 1) ^ 0xEDB88320L;
			 else crcTmp1 >>= 1;
		}

		 crcTable[i] = crcTmp1;
	 }
	//计算CRC32值
	DWORD crcTmp2= 0xFFFFFFFF;
	while(Size--)
	{
		crcTmp2 = ((crcTmp2>>8) & 0x00FFFFFF) ^ crcTable[ (crcTmp2^(*ptr)) & 0xFF ];
		ptr++;
	}
		
	return (crcTmp2^0xFFFFFFFF);
}
这段代码正是需要保护的假想代码,首先得到IMAGE_DOS_HEADER!e_lfanew+4处校验码,然后计算内存中.text节区代码,两者相比较,结果不同说明代码至少被下了断点。


Eugene800
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
滴水逆向——RVA与FOA相互转换
sunr.
04-07 3254
(开始这段别人总结的比较好,我就拿来用了) 1.RVA2FOA 即我们现在知道内存状态下的偏移,需要找到文件状态下的偏移。 步骤如下图: step1:内存中的地址减去内存基址得到偏移,即RVA。 step2:循环遍历节表中各个节的信息,判断在哪个节中。(需要满足:内存偏移+节数据没对齐的大小>image_panyi>内存偏移) step3:找出在哪个节后,减去该节在内存中的偏移...
一步一步简单保护我们的源码
lixiangminghate的专栏
01-26 2273
年底了,又赶上离职潮了。离职的coder总想着带走一些代码,自己的无可厚非,别人的就不大好了。如何保护公司的重要代码成了头痛的问题。本文通过添加一些简单的手段保护重要的代码。当然,这些手段有些陈旧,对付老鸟基本无效,但一般的coder拿到这样的代码,只能按delete了。。。吗啡,在药师手上变成了麻醉药,但在瘾君子看来又是一顿饕餮,这些手段如果被离职的coder自己使用,不仅制造bug还代码保护
滴水逆向三期实践13:移动导出表
Rivival_S 的博客
10-28 1095
为什么要移动各种表? 1、这些表是编译器生成的,里面存储了非常重要的信息。 2、在程序启动的时候,系统会根据这些表做初始化的工作: 比如,将用到的DLL中的函数地址存储到 IAT 表中(IAT表后面会讲) 3、为了保护程序,可以对.exe的二进制代码进行加密操作,但问题是: 我们知道数据目录的各种表是存在各个节里的,而exe的代码的信息也是在节里,表与客户字节的代码和数据都混在一起了,如果进行加密(加壳),那系统在初始化的时候会出问题! 综上,学会移动各种表,是对程序加密/破解的基础。 移动导
滴水逆向作业——RVA与FOA相互转换
weixin_44584614的博客
02-20 2196
PE有两种不同的状态:1.FileBuffer文件状态 2.ImageBuffer内存状态。 当需求为:改变一个变量的值,知道它在内存状态下的地址,我们需要找到他在文件状态下的地址对它进行修改。或者反之,我们知道它在文件状态下的地址、找出他在内存状态下的地址。就需要RVA与FOA相互转换。 RVA与FOA相互转换主要会使用到节表中的信息,所以我们先需要复习一下节表中的信息。 节表 节表存在于可选P...
一个简单的壳源码
zhw309的专栏
12-10 3329
最近出差,偶有闲暇,写了个简单的壳,先声明下,此壳部分内容借鉴看雪论坛某位大侠(现在搜索找不到了,所以名字忘记了)名为shell的程序。主要实现有以个方面的功能:1,对text块进行RC4加密,组织程序被IDA等静态工具分析。2,替换程序中的部分API函数,让其执行到API函数时能跳到壳执行相关代码后再跳回。3,在壳中加了CRC和自己随便写的一个CheckSum用来检验程序的完整性
智商简易测试源代码 -ASP源码.zip
12-16
标题中的“智商简易测试源代码 - ASP源码.zip”表明这是一个使用ASP(Active Server Pages)编程语言编写的智商测试应用程序的源代码包。ASP是一种由微软开发的服务器端脚本环境,用于创建动态网页和Web应用程序。源...
易语言源码易语言WIFI无线PIN码源码.rar
03-30
《易语言WIFI无线PIN码源码解析》 在IT领域,编程语言是构建软件的基础,易语言作为一款中文编程工具,以其独特的易学性深受...在实践中,我们可以根据源码逐步理解每一步操作,从而提升自己的编程能力和网络知识。
易语言简单ASP网络验证源码-易语言
06-13
在本压缩包中,"易语言简单ASP网络验证源码"提供了使用易语言实现的ASP(Active Server Pages)网络验证功能的源代码,这对于我们理解网络验证机制以及学习易语言在网络编程中的应用具有重要意义。 ASP是微软开发的...
简单的登陆注册页面源码
07-29
在IT行业中,构建登录注册页面是基础且至关重要的一步,尤其对于C#初学者来说,理解这一过程能帮助他们快速入门Web开发。本资源提供的"简单的登录注册页面源码"是一个很好的学习起点。 首先,登录注册功能是任何...
JAVA上百实例源码以及开源项目
01-03
2个目标文件,FTP的目标是:(1)提高文件的共享性(计算机程序和/或数据),(2)鼓励间接地(通过程序)使用远程计算机,(3)保护用户因主机之间的文件存储系统导致的变化,(4)为了可靠和高效地传输,虽然用户...
RVA与FOA的转换
weixin_43754657的博客
12-17 1489
RVA与FOA的转换
PE(64位)文件之导入表
玄道的网安博客
01-06 1706
导入表是PE文件中一个重要的表项,负责声明从其他的库中调入函数。一般代表着这个PE文件使用了哪些其他库的函数。 首先我们先了解下几个名词: PE文件:PE结构的文件,一般为可执行程序,.exe、.dll、.sys、.vxd、.ocx、.com等。 VA(Virtual Address): 虚拟地址,代表着PE文件映射进内存之后的地址。 RVA(Reverse Virtual Address):相对虚拟地址,对于PE文件映射进内存之后相对基地址偏移。 FOA(File Offset Addres..
WinPE基础知识之代码解析
weixin_30604651的博客
05-13 160
void CMyPE::OnClickedButton1() { // TODO: 在此添加控件通知处理程序代码 // 打开一个文件夹选择对话框 CFileDialog dlg(TRUE); dlg.DoModal(); // 将文件路径显示到编辑框 CString path = dlg.GetFolderPath(); CString path1...
win32asm导入表
x
06-12 124
非IAT , 没用的代码,反编译用 .386 .model flat, stdcall option casemap:none include windows.inc include user32.inc includelib user32.lib include kernel32.inc includelib kernel32.lib include msvcrt.inc includelib msvcrt.lib .const szFilePath db 'C:\\code\\win32
校验和(Checksum)
weixin_30267697的博客
12-07 741
校验和(Checksum) PE的可选映像头(IMAGE_OPTION_HEADER)里面,有一个Checksum字段,是该文件的校验和,一般EXE文件可以使0,但一些重要的和系统DLL及驱动文件必须有一个校验和. Windows 提供了一个API函数MapFileAndCheckSum 测试文件的Checksum,它位于IMAGEHLP.DLL链接库里,其原型: ULONG MapFile...
PE文件格式解析 LUA版本,兼容32/64位
AKe's blog
09-20 1335
PE文件格式解析 LUA版本,兼容32/64位local function readOnly (t) local mtReadOnly = {}; mtReadOnly.__index = t; mtReadOnly.__newindex = function(t,k,v) error("attempt to update a r
滴水逆向三期实践15:根据重定位表修正地址
Rivival_S 的博客
10-28 2480
占坑
花指令总结1
lixiangminghate的专栏
01-10 3537
最近看了不少关于花指令的博文,感觉大致了解插入花指令的方法,此处加以总结记录。     本文参考资料: 1). Chap10_2 看雪论坛译  2). 3). 作者 罗聪 http://www.luocong.com/articles/show_article.asp?Article_ID=14 4).还有一些无法记录出处的博文     花指令属于静态反调试技术,只是通过加入烟幕弹扰乱
利用SEH进行代码混淆
lixiangminghate的专栏
07-30 1419
这几天在重看SEH机制,收获颇丰。随手写了一个用SEH进行跳转的代码贴于此处以作纪念。     当发生异常,并捕捉了异常,在OS的异常处理机制下,会进入异常过滤函数。过滤函数可以返回EXCEPTION_EXECUTE_HANDLER/EXCEPTION_CONTINUE_SEARCH/EXCEPTION_CONTINUE_EXECUTION三者之一,以此决定OS的后续操作。如果返回EXCEPTI
206套成品网站源码打包下载
其语法简单易学,且拥有丰富的扩展库支持,因此在Web开发领域非常流行。 3. ASP.NET:ASP.NET是微软.NET框架的一部分,用于构建动态Web应用程序。它提供了更高级别的抽象,如控件、事件驱动模型等,使得开发更加...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值