本文介绍了一种程序保护技术,通过计算被保护程序的代码段和文件数据的CRC32值并进行验证,确保程序不被非法修改。具体包括利用API读取数据计算CRC32值并写入特定位置,被保护程序定期检测这些CRC32值,发现异常则退出。
保护工具
1.利用ReadProcessMemory等API读取被保护程序的代码段数据,计算CRC32值,写入文件结尾。目的是为了防止代码段下断或者代码段文件被修改。
2.利用ReadFile等API读取被保护程序文件除DOS头部的数据.计算CRC32值,写入到DOS头部的stumb最后四个字节。目的是为了防止代码段CRC值被修改绕过。
被保护程序
1.定时检测除DOS头部的数据CRC32值,检测到修改,退出进程。
GetModuleFileName->CreateFile->ReadFile->CloseHandle 读取到DOS头部的stumb最后四个字节。
计算文件CRC32值.
2.定时检测代码段数据CRC32值,检测到修改,退出进程。
GetModuleFileName->CreateFile->ReadFile->CloseHandle 读取到文件结尾的CRC32.
代码段数据的CRC32的偏移与大小可以写死。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
