关于程序自校验的一些分析

最新推荐文章于 2024-05-09 23:35:59 发布
最新推荐文章于 2024-05-09 23:35:59 发布
阅读量2.4k 收藏 1
点赞数 1
文章标签: MD5自校验 大小自校验 脱壳修补
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37120576/article/details/71056127
版权

当我们脱完壳后发现,程序提示被非法修改,我们知道它是有自校验的。在平时工作中,我们脱完壳修复完毕而且如果有附加数据加上附加数据之后,如果还是没法将程序跑起来,那么我们在保证没有找错OEP的前提下,就需要考虑程序设置了自校验。对于程序存在的自校验,我们可以打开我们脱壳后的程序和未脱壳的程序进行对比,先将未脱壳的程序操作找到真正的OEP,然后开始同步F8对比,看它们的跳转是怎么进行的。

下面是一个程序的自校验分析:

对于这次的自校验,我们通过观看教学,知道需要在CreateFileA下断点,然后进行运行对比分析。那么我们在自己做的时候,并没有使用这个函数而是单步比对,然后发现他们前期步骤都一样,只是在经过一些运算之后,ESI 和 EDI的值不太一样,而且再运行几行以后,发现寄存器中的值大多都不一样了,但是,要注意的是,即使我们发现寄存器的值不一样,但是我们的运行代码和跳转与否是一致的,那么,我们发现在经过一个call之后,程序就会跑飞,那么,在这个call中肯定暗藏玄机,我们就需要进到这个call中去看一下,进去以后,我们发现,他是有一段代码,里面有着运行正常和非法修改的提示,然后我们单步跟,发现在一个call之后,出现了一个test eax,eax  ,然后程序会在后面的一个跳转发生变化,根据我们的查看可以发现,这里eax需要为1,那么,我们对这个call可以直接非法修改掉,比如说直接改为mov eax,1,经过保存,我们发现可以正常执行

MD5自校验  :
将程序的一部分代码或者全部代码进行MD5计算,得出MD5的值,然后再在程序中进行比对,达到保护效果。
大小自校验 :
这个应该是应用于程序加壳之后的自校验,因为现在的壳一般是压缩和加密两个功能兼备,这就导致加密壳破解掉以后程序的大小也会发生相应的变化,那么通过比对自身的文件大小,就可以判断程序是否被破解。

那么,我们可以将未脱壳程序的空字节代码进行一点点的修改,然后再次运行程序,发现无法运行,那么,它就是程序的MD5自校验了。

逆向小学生
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
在 VS2008 下用 CRC32 算法实现程序校验
蜡笔小辛的专栏
05-14 7017
老话题,程序校验。不过放在 VS2008 下,情况又发生了变化。   作为软件开发者,我们一般不希望程序出来之后被人非法修改,比如破解或冠以 xxx 版等称谓,所以都会跟反调试反跟踪作斗争,当然,提到反跟踪作斗争,就像矛与盾,这个话题永远是无止境的,较量也是无止境的。再怎么想方设法保护程序,总有被 cracker 攻破的时候,只是时间的问题。当然我们也不能觉得既然这样那保护不保护也就无所谓了
易语言程序自身自校验源码
07-24
易语言自校验模块源码.编译成模块后.在易语言中调用. 编译程序后.第一次程序运行时将生成一个带自检验的程序. 如果生成的程序被修改时会被程序检测到.也可以在代码里进行判断.
【C++】CRC-8校验程序,小端格式
最新发布
RickyWasYoung的博客
05-09 325
生成多项式为 CRC-8 x8+x5+x4+1 0x31(0x131)小端格式,小端格式,小端格式。
去自校验
qingye
11-14 1561
【免责声明】 :纯属技术交流为hb****写的破解笔记破解一软件,名字是厨卫XXXXX,主要是去除自校验的思路。查壳,ASPack 2.001 -> Alexey Solodovnikov应该没多大问,手动脱壳。无法运行,修复是一个习惯。修复后,一看是Borland Delphi 6.0 - 7.0,运行后更很郁闷,一闪,程序没了,退出了,肯定有自校验。晕晕。OD载入已
delphi EXE文件自效验
靠别人不如靠自已。
05-23 2390
<br />var stream: TMemoryStream; CrcValue,OldCrcValue: DWORD; exename: string; WriteBuf: array[0..3] of Byte; begin CRCValue := $FFFFFFFF; // 预设 WriteBuf[0]:= $00; WriteBuf[1]:= $00; WriteBuf[2]:= $00; WriteBuf[3]:= $00; exename:= appl
VC++程序校验的简单方法
Lewen的编程博客
01-24 1914
<br />在Project->Settings->Link中去掉Generate debug info和Link incrementlly选项,再选择Category组合框的Customize,去掉Use program database选项,最后在Project Options中加入"/release",一切OK!<br />#include <imagehlp.h><br />#pragma comment(lib, "imagehlp.lib")<br />bool CheckExeSum()<br
CRC校验C语言源程序
02-13
下面是关于 CRC 校验 C 语言源程序的详细知识点: CRC 校验算法 CRC 校验算法是一种基于多项式运算的错误检测方法。其基本思想是将要传输的数据与一个生成多项式进行异或运算,从而生成一个校验值,该校验值可以被...
循环冗余校验 CRC的算法分析程序实现
08-19
"循环冗余校验 CRC 的算法分析程序实现" 一、循环冗余校验 CRC 的概念和原理 循环冗余校验(Cyclic Redundancy Check,CRC)是一种常用的差错控制方法,它可以检测数字通信系统中的错误。CRC 采用多项式编码方法...
校验支持库
07-24
校验,顾名思义,指的是程序能够自我验证其正确性,通过在运行时或编译时进行一系列检查来确保代码的正确执行。这样的机制对于避免运行时错误、提高软件安全性以及简化调试过程具有重要意义。 自校验技术通常包括...
CRC校验原理与程序设计
07-30
3. CRC校验程序设计 - CRC-16-IBM是一个常见的CRC标准,它使用16位CRC寄存器,初始值为FFFFH。计算过程包括对每个字节进行异或、右移、判断最低位和可能的异或操作,直到所有数据处理完毕,寄存器的最终值即为CRC...
CRC 校验源码分析.rar_CRC-16_CRC源程序_crc 16_crc校验_源码分析
09-20
"CRC 校验源码分析.pdf"很可能包含了CRC-16算法的详细实现代码和原理分析,可以帮助读者深入理解CRC校验的工作机制。而"www.pudn.com.txt"可能是提供该资源的网站信息,可能包含更多相关资源链接或者介绍。 理解并...
程序自效验去除经典教程集
12-01
程序载入OD   下断bp CreateFileA,F9运行   OD中断,ALT+F9执行到用户代码      下面就是F8单步跟踪了      程序在0048EE23处出现对话框,很明显,在0048EDF9处的跳转就是关键跳了   直接将0048EDF9  /7E 38        jle short dumped_.0048EE33   改成0048EDF9  /7E 38         jmp dumped_.0048EE33   保存下,运行成功   把脱好的程序载入ResScope,发现有非标准资源结构,那就用Fix Resource修正下资源,再次再入ResScope,这次可以修改资源了,但是问题又来了。。。   打开修正好的程序程序只是一闪而过就自动关闭了,看来还有校验,继续操起OD,再次载入程序   下断bp CreateFileA,F9运行   OD中断,ALT+F9执行到用户代码,继续F8单步走      0048EE5F出OD就会跑飞了,显然0048EE5D处的跳转又是关键跳啦,   把0048EE5D  /74 05        je short 1.0048EE64   改成0048EE5D  /74 05        jmp 1.0048EE64   就OK了,保存,运行一切正常   现在程序太大,我们再用CxLrb大侠汉化的Resource Binder V2.6处理一下!   挖塞,程序一下从154M缩小到1.13 MB,这样的结果还是让人满意的   但是一运行,程序又是一闪而过,还有校验,OK,继续   OD载入程序,这次可能会比较卡   下断bp CreateFileA,F9运行   OD中断,ALT+F9执行到用户代码,继续F8单步走      0048EE3F处OD跑飞,也很明显了0048EE3D处就是关键跳啦,   把0048EE3D  . /74 05       je short 2.0048EE44   改成0048EE3D  . /74 05       jmp 2.0048EE44   保存,运行成功,感觉048EE4A处的跳转应该也是个校验吧,只是没用到,程序处理到这里就差不多了,有是不妥之处还望大侠们指点!
易语言-异编自校验模块源码3.5-支持自校验DLL
07-02
什么是自校验?自校验就是软件程序自己对自己本身的数据完整性进行检查,然后做出相应的处理,通常大公司的产品都会带有自校验。 但易语言程序员会为自己的程序加上自校验的非常至少,导致程序被破解、被病毒感染还到处传播等现象十分普遍。 或许也因为易语言程序校验方面的源码更少,有的也只是不完整的字节校验或者外部文件保存MD5校验、网络保存MD5校验等等 这些方式无论是精确准确性上还是安全性上都不尽人意。 2010年6月异编MD5校验模块第一个版本开发完毕,可以说是第一个易语言有价值的MD5校验开源产品,可惜的是流传并不广泛,甚至没多少人用。 大多数易语言程序员对自己程序保护的意识,(主要是作者发布时废话太多,甚至有些人看不懂还到百度贴吧发帖提问怎么用)。 沉默5年,本次开更新求以后所有易程序都能加上MD5校验,拒绝被软件非法修改。 更新说明: 1.改进首次运行重新生成机制,速度更快、可在原始路径直接保存无需退出程序。 2.增加DLL自校验功能。 3.未能解决:无法对压缩壳、加密壳后的文件使用自校验。 *注意:首次运行过后重新生成的文件不可再次加壳、或者黑月编译,如果要进行这些操作请先操作完后再运行。 天朝红雨
常见自校检分析实例
06-04 875
自校检是许多软件的保护手段之一,对软件加个简单的壳再增加自校检在一定程序上可以抵挡住一大部分新手,不过,对许多人来说,这个保护已经很弱了。可是,搜索论坛,居然没有一篇系统的文章。不知道是大家太忙了还是因为要守住点秘密。其实大部分技术应该拿出来交流才好,只有交流才有进步。就象老王的EPE,netsowell一次一次的脱壳文章,才促使老王一次一次的升级,保护强度也越来越强。废话一堆,不讲了。下面讲几种
对付自校验
qingye
10-04 1786
现在的软件为了保护自身不被修改,防止脱壳,不少都加上了自身的完整性校验,一旦发现自己的关键指令被修改或被脱壳了之后,毫无提示地就拒绝运行。这种令人头疼的自校验相信难住了不少跟我一样的菜鸟!后来再遇到自校验,就只好开2个OD,下断CreateFilaA,然后,一步一步地跟,一句一句地对照,不知道经过多少步之后,哈,发现了一个跳转不一样,激动地改掉,成功。对于这样直接比较的软件校验还可以用这种不怕脏不
X86逆向教程5:破解程序的自效验
weixin_30265103的博客
07-10 662
在软件的破解过程中,经常会遇到程序的自效验问题,什么是自效验?当文件大小发生变化,或者MD5特征变化的时候就会触发自效验暗装,有些暗装是直接退出,而有些则是格盘蓝屏等,所以在调试这样的程序的时候尽量在虚拟机里面进行吧。 这里作者编写了一个文件自效验的例子,并且使用UPX进行了加壳处理,这个CM程序,如果不脱壳的情况下是可以正常执行的,但只要一脱壳程序就废了,这也是大多数程序作者惯用的反破解手法,...
手动去自校验!!
xum2008的专栏
11-12 1102
 快速去掉自校验的思路: 用od 将壳脱掉后,没有什么其他的问题,然而程序仍然不能运行,可能就是程序中 存在自校验了。。。 当然,你可以用双 OD 的方法,慢慢的比较他们的不同,现在,我们来用一种更快的方法去掉它。。 将程序载入后,查找--当前模块的标签--》找到 ExitProcess... 因为程序的退出都是由它来完成的。。 怎么样来退出程序呢?? 肯定是通过一
程序去自校验方法
weixin_43916678的博客
08-05 1802
什么是自校验: 意思是这些程序会检查自己有没有被修改,如果发现被修改的话,便会离开或进行其它动作。基本的校检方法包括 checksum, 检查大小, 检查跳转代码,等等。 什么情况下考虑自校验: 当一个程序脱壳前可以正常运行,脱壳以后不能运行,修复以后也不行,程序不能运行或者闪退、弹窗提示错误等,我们就要考虑是不是因为程序有自校验了。 自校验破解思路: 将脱壳前和脱壳后的程序分别单步运行,对比找出...
逆向-自校验绕过-2
VRMEI的博客
04-21 433
上一种自校验校验的目的是为了防止程序脱壳 但是程序在未脱壳的前提下也存在被破解的可能 所以这种自校验的目的是校验是否存在使用OD等直接修改程序数据的行为存在 该校验方式被称为重启自校验。 即在运行中先将正确的注册码等数据存储在文件或是注册表项等地方 等到重启时,将上次输入的注册码与正确的注册码进行比对,只有比对成功才能永久解锁。 所以,破解该类型程序的重点在于在程序...
校验和的分析程序设计
04-02
校验和的分析校验和的计算方法是将数据的每个字节相加,然后将结果与预先确定的值进行比较。如果计算得到的校验和与预先确定的值相同,则认为数据传输正确,否则认为数据传输错误。 校验和的优点是简单、快速、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值