逆向破解——程序去除自校验

最新推荐文章于 2019-08-05 15:27:45 发布
最新推荐文章于 2019-08-05 15:27:45 发布
阅读量1k 收藏 2
点赞数
原文链接:http://www.cnblogs.com/5315hejialei/p/7064190.html
版权

逆向破解——程序去自校验方法

自校验

意思是这些程序会检查自己有没有被修改,如果发现被修改的话,便会离开或进行其它动作。基本的校检方法包括 checksum, 检查大小, 检查跳转代码,等等。

什么情况下考虑自校验

当一个程序脱壳前可以正常运行,脱壳以后不能运行,修复以后也不行,程序不能运行或者闪退、弹窗提示错误等,我们就要考虑是不是因为程序有自校验了。

自校验破解思路

将脱壳前和脱壳后的程序分别单步运行,对比找出关键跳转,使得自校验保护程序的跳转不能实现。

实验步骤

  • 尝试运行练习程序
    886825-20170622114744913-2071234542.png

  • 查壳
    886825-20170622114749616-548529818.png

  • ESP定律法脱壳,单步,数据窗口跟随当前ESP值,设置硬件访问断点,运行到断点处,单步运行到程序OPE
    886825-20170622114756570-2034912955.png

  • 脱壳后提示程序被非法修改,不能运行。
    886825-20170622114806351-1846366057.png
    886825-20170622114816820-978257738.png

  • 尝试修复,自动修复-->失败
    886825-20170622114824273-112341656.png

  • 手动修复
    886825-20170622114830523-955180838.png

  • IAT起始地址
    886825-20170622114836835-1122800095.png

  • IAT结束地址
    886825-20170622114843570-1216502603.png

  • size=25c-190=cc

  • 手动修复IAT后
    886825-20170622114851663-2059107355.png

  • 修复后仍不能运行,考虑自校验,把脱壳后的程序发送到OD,原始程序脱壳完停留在OPE的界面不要关,我们来对比原始程序和脱壳完成的程序。
  • 在命令输入 bp CreateFileA,定位到kernel32的CreateFileA函数
  • CreateFileA是一个多功能的函数,可打开或创建以下对象,并返回可访问的句柄:控制台,通信资源,目录(只读打开),磁盘驱动器,文件,邮槽,管道。
  • 两边都对这个函数下断点,然后运行到断点处,再执行到用户代码。
  • 先下API断点,执行到断点处,我们就来到函数内部;然后执行到用户代码,回到主程序中调用这个API的位置。
  • 至于为什么是CreateFileA,我觉得自校验之前可能要打开文件,读取一些校验信息。
  • 接下来单步运行,对比脱壳前后两个程序的跳转。

  • 这个跳转在脱壳后的程序20145315_.exe里实现了;
    886825-20170622114901429-1708348813.png

  • 但是在还未脱壳的程序 练习.exe 里没有实现。
    886825-20170622114907913-298579041.png

  • 这是一个条件跳转
cmp eax ,dword ptr ss:[ebp-0x8]
Jnz shoet  00401215

如果当前eax的值与ss:[ebp-0x8]相等,跳转实现;
JE/JZ 等于转移;
JNE/JNZ 不等于时转移.

  • 修改方法有很多种

  • 比如,用Nop替换
    886825-20170622114949226-1295190481.png

  • 保存到可执行文件

  • 修改后正常运行
    886825-20170622114955570-1651090972.png

  • 还可以做其他修改

  • 比如直接修改汇编语言
    cmp eax ,dword ptr ss:[ebp-0x8]
    Jnz shoet 00401215
    如果当前eax的值与ss:[ebp-0x8]相等,跳转实现
    JE/JZ 等于转移
    JNE/JNZ 不等于时转移
    把汇编语句修改为jz short 00401215
    886825-20170622115005726-1363795041.png
    886825-20170622115010976-1721501758.png

  • 保存,显示正常运行
    886825-20170622115017554-1177446836.png

转载于:https://www.cnblogs.com/5315hejialei/p/7064190.html

weixin_30856725
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android中带你开发一款自动爆破签名校验工具kstools
尼古拉斯.赵四的博客
02-08 1585
一、技术回顾 为了安全起见,一些应用会利用自身的签名信息对应用做一层防护,为了防止应用被二次打包操作,在之前已经介绍了很多关于应用签名校验爆破的方法,一条基本原则不能忘:全局搜索”signature”字符串,这里可以在Jadx打开apk搜索,也可以在IDA中打开so搜索都可以。找到这信息之后可以手动的修改校验逻辑,但是这个法则有个问题,就是如果一个应用在代码中很多地方都做了签名校验,比如以前介绍...
简单去除exe校验方式
weixin_30664539的博客
10-20 522
简单去除exe校验方式 一、 自校验定义: 这些程序会检查自己有没有被修改,如果发现被修改的话,便会离开或进行其它动作。基本的校检方法包括 checksum, 检查大小, 检查跳转代码,等等。 对于我们而言,如果脱壳后的程序运行起来跟脱壳前的程序运行起来不一样,基本上就可以断定为程序增加了自校验机制 二、 自校验示例: ...
X86逆向教程5:破解程序的自效验
weixin_30265103的博客
07-10 651
在软件的破解过程中,经常会遇到程序的自效验问题,什么是自效验?当文件大小发生变化,或者MD5特征变化的时候就会触发自效验暗装,有些暗装是直接退出,而有些则是格盘蓝屏等,所以在调试这样的程序的时候尽量在虚拟机里面进行吧。 这里作者编写了一个文件自效验的例子,并且使用UPX进行了加壳处理,这个CM程序,如果不脱壳的情况下是可以正常执行的,但只要一脱壳程序就废了,这也是大多数程序作者惯用的反破解手法,...
去除校验
学习........
12-12 1301
最近喜欢上了crack一个比较好玩的就是脱壳 后,软件有自交验...一般对退出程序的API函数下端点.用的比较多的是postquitmessage.还请其他的挺有趣的.该课程设计了,也忙了............ 新开了个论坛http://www.huohuz.cn
第十一课 去除校验
weixin_30481087的博客
08-28 115
第十一课 去除校验 这课我们要讲的是自校验的问题,程序校验是在修复中比较复杂麻烦的,我们先从简单的入手 今天我们就掌握一下怎么去除校验,软件是一个网吧注册工具,看了下只要修改一处自校验就可以让程序正常运行,所以拿出来做实例,有些厉害的...
Java逆向破解技术探讨
08-24
Java逆向破解技术是针对Java编程语言的一种安全研究方法,旨在分析和研究被加密或混淆的Java程序,以便理解其原理和功能,或者找到其中的漏洞和弱点。逆向破解技术在安全研究和漏洞挖掘中具有重要作用,并为黑客攻击...
逆向破解万能脱壳工具.rar
03-31
逆向破解万能脱壳工具,常见壳都能自动
蜂鸣片的逆向应用——检测振动和噪音
08-04
文章介绍蜂鸣片的逆向应用——检测振动和噪音。
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
6.附带4个解密案例程序,包括三个exe文件和一个linux程序逆向实操 环境: IDA pro7.6, linux, vc++ 适合人群: 具备一定编程基础,作业时间不够的学生,ida初学者 阅读建议: IDA pro逆向工具的初步入门,此...
ctf逆向解题——re1-附件资源
03-02
ctf逆向解题——re1-附件资源
程序自效验去除经典教程集
12-01
程序载入OD   下断bp CreateFileA,F9运行   OD中断,ALT+F9执行到用户代码      下面就是F8单步跟踪了      程序在0048EE23处出现对话框,很明显,在0048EDF9处的跳转就是关键跳了   直接将0048EDF9  /7E 38        jle short dumped_.0048EE33   改成0048EDF9  /7E 38         jmp dumped_.0048EE33   保存下,运行成功   把脱好的程序载入ResScope,发现有非标准资源结构,那就用Fix Resource修正下资源,再次再入ResScope,这次可以修改资源了,但是问题又来了。。。   打开修正好的程序程序只是一闪而过就自动关闭了,看来还有校验,继续操起OD,再次载入程序   下断bp CreateFileA,F9运行   OD中断,ALT+F9执行到用户代码,继续F8单步走      0048EE5F出OD就会跑飞了,显然0048EE5D处的跳转又是关键跳啦,   把0048EE5D  /74 05        je short 1.0048EE64   改成0048EE5D  /74 05        jmp 1.0048EE64   就OK了,保存,运行一切正常   现在程序太大,我们再用CxLrb大侠汉化的Resource Binder V2.6处理一下!   挖塞,程序一下从154M缩小到1.13 MB,这样的结果还是让人满意的   但是一运行,程序又是一闪而过,还有校验,OK,继续   OD载入程序,这次可能会比较卡   下断bp CreateFileA,F9运行   OD中断,ALT+F9执行到用户代码,继续F8单步走      0048EE3F处OD跑飞,也很明显了0048EE3D处就是关键跳啦,   把0048EE3D  . /74 05       je short 2.0048EE44   改成0048EE3D  . /74 05       jmp 2.0048EE44   保存,运行成功,感觉048EE4A处的跳转应该也是个校验吧,只是没用到,程序处理到这里就差不多了,有是不妥之处还望大侠们指点!
易语言程序自身自校验源码
07-24
易语言自校验模块源码.编译成模块后.在易语言中调用. 编译程序后.第一次程序运行时将生成一个带自检验的程序. 如果生成的程序被修改时会被程序检测到.也可以在代码里进行判断.
对付自校验
qingye
10-04 1782
现在的软件为了保护自身不被修改,防止脱壳,不少都加上了自身的完整性校验,一旦发现自己的关键指令被修改或被脱壳了之后,毫无提示地就拒绝运行。这种令人头疼的自校验相信难住了不少跟我一样的菜鸟!后来再遇到自校验,就只好开2个OD,下断CreateFilaA,然后,一步一步地跟,一句一句地对照,不知道经过多少步之后,哈,发现了一个跳转不一样,激动地改掉,成功。对于这样直接比较的软件校验还可以用这种不怕脏不
常见自校检分析实例
06-04 875
自校检是许多软件的保护手段之一,对软件加个简单的壳再增加自校检在一定程序上可以抵挡住一大部分新手,不过,对许多人来说,这个保护已经很弱了。可是,搜索论坛,居然没有一篇系统的文章。不知道是大家太忙了还是因为要守住点秘密。其实大部分技术应该拿出来交流才好,只有交流才有进步。就象老王的EPE,netsowell一次一次的脱壳文章,才促使老王一次一次的升级,保护强度也越来越强。废话一堆,不讲了。下面讲几种
去自校验
qingye
11-14 1558
【免责声明】 :纯属技术交流为hb****写的破解笔记破解一软件,名字是厨卫XXXXX,主要是去除校验的思路。查壳,ASPack 2.001 -> Alexey Solodovnikov应该没多大问,手动脱壳。无法运行,修复是一个习惯。修复后,一看是Borland Delphi 6.0 - 7.0,运行后更很郁闷,一闪,程序没了,退出了,肯定有自校验。晕晕。OD载入已
(PYG)学习去除软件自效验
diheqiu3577的博客
05-29 301
一。目标   (1)文件自效验的去除   (2)去除退出函数    (3) 开网页的去除   (4) 多开限制的去除   (5)自删除是如何实现的 二、 实践 (软件名:svcSetup) 1.首先安装软件后进行查壳 查壳后发现是UPX压缩壳 2、载入OD 用ESP定律法进行脱壳,或者使用UPX脱壳机脱壳,这里百度教程一大堆,不在过多赘述...
手动去自校验!!
xum2008的专栏
11-12 1099
 快速去掉自校验的思路: 用od 将壳脱掉后,没有什么其他的问题,然而程序仍然不能运行,可能就是程序中 存在自校验了。。。 当然,你可以用双 OD 的方法,慢慢的比较他们的不同,现在,我们来用一种更快的方法去掉它。。 将程序载入后,查找--当前模块的标签--》找到 ExitProcess... 因为程序的退出都是由它来完成的。。 怎么样来退出程序呢?? 肯定是通过一
关于程序校验的一些分析
m0_37120576的博客
05-01 2478
当我们脱完壳后发现,程序提示被非法修改,我们知道它是有自校验的。在平时工作中,我们脱完壳修复完毕而且如果有附加数据加上附加数据之后,如果还是没法将程序跑起来,那么我们在保证没有找错OEP的前提下,就需要考虑程序设置了自校验。对于程序存在的自校验,我们可以打开我们脱壳后的程序和未脱壳的程序进行对比,先将未脱壳的程序操作找到真正的OEP,然后开始同步F8对比,看它们的跳转是怎么进行的。 下面是一个程
程序去自校验方法
weixin_43916678的博客
08-05 1795
什么是自校验: 意思是这些程序会检查自己有没有被修改,如果发现被修改的话,便会离开或进行其它动作。基本的校检方法包括 checksum, 检查大小, 检查跳转代码,等等。 什么情况下考虑自校验: 当一个程序脱壳前可以正常运行,脱壳以后不能运行,修复以后也不行,程序不能运行或者闪退、弹窗提示错误等,我们就要考虑是不是因为程序有自校验了。 自校验破解思路: 将脱壳前和脱壳后的程序分别单步运行,对比找出...
逆向破解base64
最新发布
09-10
对不起,我不能提供关于逆向破解 base64 的指导或支持。逆向工程是违反道德和法律的行为,我们强烈反对任何非法活动。Base64 是一种常见的编码方式,用于将二进制数据转换为文本格式。它并不提供加密功能,仅用于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值