[原创]常见自校检分析实例-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]常见自校检分析实例

发表于: 2006-7-1 17:54 255118

[原创]常见自校检分析实例

laomms

2006-7-1 17:54

255118

查看主题内容

收藏・194

免费・7

支持

最新回复 (244) ◀ 1 2 3 4 5 6 7 8 9 10 ▶
jhlqb 雪币： 289 活跃值： (236) 能力值： ( LV13，RANK：420 ) 在线值：发帖 24 回帖 94 粉丝 0 关注私信	jhlqb 10 26 楼好文章,学习!!! 2006-7-4 07:33 0
一破雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	一破 27 楼学习中谢谢 2006-7-4 08:51 0
haibin1013 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	haibin1013 28 楼有时侯这几种方法都不灵的. 对付第一、二种的办法，校验到程序被改后，修改关健数据，使后继程序中处理的数据变成一堆垃圾。例如： call crc ;CRC校验返回值在 EAX 中 xor data,eax ;data 为关健数据后面多处使用对付第三种的办法修改源码，隐藏特征数据。例子：动态生成CRC的码表代码 Table:Array[0..255] of DWORD; procedure MakeTable(); var i,j,Crc:integer; begin for i:=0 to 255 do begin Crc:=i; for j:=0 to 7 do begin if (Crc and 1)<>0 then Crc:=(Crc shr 1) xor $EDB88320 else Crc:=Crc shr 1; end; Table[i]:=Crc; end; end; 特征数据为 $EDB88320 这行改为 Crc:=(Crc shr 1) xor ( $12477CDF xor $FFFFFFFF ) 第四种办法就更简单了，不用明码比较就行；例如 cmp esi, 00002A00 改为 mov eax, 00002000 add eax, 00000a00 cmp esi,eax 2006-7-4 09:59 0
飘渺虚无雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	飘渺虚无 29 楼最初由 woow* 发布* 写的太好了！更是那句话激发：“不知道是大家太忙了还是因为要守住点秘密”，忍不住决定注册本论坛，第一帖顶给你。也因为大侠吴朝相说过:一切从“壳”开始，故第一帖顶给你。在本论坛潜水几个月，一直不敢注册，因为论坛里有位大侠说过“不懂就继续潜水”，不敢忘记，我会继续潜水。 ........ 恩，WOOW说的是，我也得继续潜水。。。另外不得不说一句废话，楼主这篇文章是好文章！ 2006-7-4 10:43 0
laomms 雪币： 560 活跃值： (359) 能力值： ( LV13，RANK：1370 ) 在线值：发帖 83 回帖 384 粉丝 8 关注私信	laomms 34 30 楼最初由 haibin1013* 发布* 有时侯这几种方法都不灵的......... 28楼厉害，希望看到实例。这里也说几点：校验到程序被改后，修改关健数据，使后继程序中处理的数据变成一堆垃圾。修改关健数据后的程序和原来的程序不会没区别吧。第四种办法就更简单了，不用明码比较就行；例如 cmp esi, 00002A00 改为 mov eax, 00002000 add eax, 00000a00 cmp esi,eax 不管这个长度是多少，你总得调用GetFileLen等API获取文件长度吧。 2006-7-4 11:02 0
hahar 雪币： 220 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 48 粉丝 0 关注私信	hahar 31 楼建议楼主看看最新版的“CJC好玩背单词”，在这里只谈脱壳，不谈破解（早期的版本是不加壳的）,谢谢！ 2006-7-4 16:25 0
laomms 雪币： 560 活跃值： (359) 能力值： ( LV13，RANK：1370 ) 在线值：发帖 83 回帖 384 粉丝 8 关注私信	laomms 34 32 楼看了一下，最新的7.05 build20060701版本的没有自校检，不知道你说的是哪个版本？ 2006-7-4 17:07 0
hahar 雪币： 220 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 48 粉丝 0 关注私信	hahar 33 楼就是这个版本，不要被表明现象迷惑，用“primary Learner用户” 登陆，然后点“新课”，可以看到没有任何反应，状态栏提示“运行错误：Ver7.05 TApplication-> Access violation at address 004F1DD3 in moudule" 可以用PEID查一下脱壳后的版本，会发现MD5加密算法 2006-7-4 17:29 0
SiMON 雪币： 215 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 192 粉丝 1 关注私信	SiMON 34 楼哦，好文章啊~~ 2006-7-4 18:24 0
haibin1013 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	haibin1013 35 楼最初由 laomms* 发布* 28楼厉害，希望看到实例。这里也说几点：修改关健数据后的程序和原来的程序不会没区别吧。 ........ 仅改数据是不会影响流程的 2006-7-8 23:14 0
Spring.W 雪币： 302 活跃值： (410) 能力值： ( LV12，RANK：410 ) 在线值：发帖 48 回帖 166 粉丝 2 关注私信	Spring.W 10 36 楼呵呵。。我的自校验，通过发送消息到另外一个框架，程序并不退出，运行到某些功能时候，启动一个线程，判定退出条件，再给猪框架发送退出消息。。多线程考虑结束条件，引诱你。 2006-7-9 03:37 0
zlgooo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	zlgooo 37 楼十分的感谢! 2006-7-9 07:11 0
xyz123abc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	xyz123abc 38 楼收藏了，谢谢！！！ 2006-7-9 13:51 0
tsfrzjq 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	tsfrzjq 39 楼好文!多谢分享! 2006-7-9 18:34 0
hxx 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 189 粉丝 0 关注私信	hxx 40 楼有参考价值 2006-7-9 19:03 0
cnnets 雪币： 458 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 41 楼不错，希望有更多这类型的文章。 2006-7-9 20:15 0
无所谓了雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 0 关注私信	无所谓了 42 楼好好的学习一下～ 2006-7-9 21:09 0
condor 雪币： 242 活跃值： (10) 能力值： ( LV12，RANK：250 ) 在线值：发帖 9 回帖 39 粉丝 2 关注私信	condor 6 43 楼想问楼主以下这种情况：vb的用BP rtcFileLen，好像用这些方法都不可以哦，我用错了？该怎么处理呢？ http://bbs.pediy.com/showthread.php?s=&threadid=26404 2006-7-10 00:33 0
yalcm 雪币： 225 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 105 粉丝 0 关注私信	yalcm 44 楼在本论坛潜水几个月，一直不敢注册，因为论坛里有位大侠说过“不懂就继续潜水”，不敢忘记，我会继续潜水。在几个月里看了不少前辈们写的文章，作为刚入门，在下推荐新手们先看以下文章：kanxue的脱壳基础知识入门，Lenus的系列和最近最火热的OllyDBG 入门系列。当然还有很多好文，未能一一拜读。我为什么要推荐以上的文章？我们破解不是为了盗版，要盗网上已经够多了，我们是为了学技术来到一快，以上的文章是给你一块敲门砖，“授人予鱼不如授人予渔”，阅读上面文章，你自然会去学相关的知识，如汇编、C语言、PE结构等等，几个月后你发现自己还不会怎么破解，但大概可以看懂汇编程序，甚至可以用C写简单的程序，如注册机。以上几位称得上“真大侠”也，希望我们这些菜鸟以后若有机会成为高手不要“饮水忘源”才好。收到，跟著这条路走，看看能否省点时间 2006-7-20 04:17 0
Jecelyin 雪币： 199 活跃值： (272) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 41 粉丝 0 关注私信	Jecelyin 45 楼好东西，学习中，，， 2006-7-20 10:00 0
wmjm 雪币： 217 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 72 粉丝 0 关注私信	wmjm 46 楼正需要了解这方面的知识，谢谢。 2006-7-20 13:00 0
eyping 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	eyping 47 楼学习了,谢谢! 2006-7-20 15:51 0
soro 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 73 粉丝 0 关注私信	soro 48 楼学习一下,支持! 2006-7-21 07:19 0
我叫笨笨雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	我叫笨笨 49 楼我是菜鸟，学习了，我刚好有个程序试下。 2006-7-23 23:02 0
dsmall 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	dsmall 50 楼好文章，收藏了。 2006-7-24 08:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

laomms

发帖

384

回帖

1370

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (244) ◀ 1 2 3 4 5 6 7 8 9 10 ▶
jhlqb 雪币： 289 活跃值： (236) 能力值： ( LV13，RANK：420 ) 在线值：发帖 24 回帖 94 粉丝 0 关注私信	jhlqb 10 26 楼好文章,学习!!! 2006-7-4 07:33 0
一破雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	一破 27 楼学习中谢谢 2006-7-4 08:51 0
haibin1013 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	haibin1013 28 楼有时侯这几种方法都不灵的. 对付第一、二种的办法，校验到程序被改后，修改关健数据，使后继程序中处理的数据变成一堆垃圾。例如： call crc ;CRC校验返回值在 EAX 中 xor data,eax ;data 为关健数据后面多处使用对付第三种的办法修改源码，隐藏特征数据。例子：动态生成CRC的码表代码 Table:Array[0..255] of DWORD; procedure MakeTable(); var i,j,Crc:integer; begin for i:=0 to 255 do begin Crc:=i; for j:=0 to 7 do begin if (Crc and 1)<>0 then Crc:=(Crc shr 1) xor $EDB88320 else Crc:=Crc shr 1; end; Table[i]:=Crc; end; end; 特征数据为 $EDB88320 这行改为 Crc:=(Crc shr 1) xor ( $12477CDF xor $FFFFFFFF ) 第四种办法就更简单了，不用明码比较就行；例如 cmp esi, 00002A00 改为 mov eax, 00002000 add eax, 00000a00 cmp esi,eax 2006-7-4 09:59 0
飘渺虚无雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	飘渺虚无 29 楼最初由 woow* 发布* 写的太好了！更是那句话激发：“不知道是大家太忙了还是因为要守住点秘密”，忍不住决定注册本论坛，第一帖顶给你。也因为大侠吴朝相说过:一切从“壳”开始，故第一帖顶给你。在本论坛潜水几个月，一直不敢注册，因为论坛里有位大侠说过“不懂就继续潜水”，不敢忘记，我会继续潜水。 ........ 恩，WOOW说的是，我也得继续潜水。。。另外不得不说一句废话，楼主这篇文章是好文章！ 2006-7-4 10:43 0
laomms 雪币： 560 活跃值： (359) 能力值： ( LV13，RANK：1370 ) 在线值：发帖 83 回帖 384 粉丝 8 关注私信	laomms 34 30 楼最初由 haibin1013* 发布* 有时侯这几种方法都不灵的......... 28楼厉害，希望看到实例。这里也说几点：校验到程序被改后，修改关健数据，使后继程序中处理的数据变成一堆垃圾。修改关健数据后的程序和原来的程序不会没区别吧。第四种办法就更简单了，不用明码比较就行；例如 cmp esi, 00002A00 改为 mov eax, 00002000 add eax, 00000a00 cmp esi,eax 不管这个长度是多少，你总得调用GetFileLen等API获取文件长度吧。 2006-7-4 11:02 0
hahar 雪币： 220 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 48 粉丝 0 关注私信	hahar 31 楼建议楼主看看最新版的“CJC好玩背单词”，在这里只谈脱壳，不谈破解（早期的版本是不加壳的）,谢谢！ 2006-7-4 16:25 0
laomms 雪币： 560 活跃值： (359) 能力值： ( LV13，RANK：1370 ) 在线值：发帖 83 回帖 384 粉丝 8 关注私信	laomms 34 32 楼看了一下，最新的7.05 build20060701版本的没有自校检，不知道你说的是哪个版本？ 2006-7-4 17:07 0
hahar 雪币： 220 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 48 粉丝 0 关注私信	hahar 33 楼就是这个版本，不要被表明现象迷惑，用“primary Learner用户” 登陆，然后点“新课”，可以看到没有任何反应，状态栏提示“运行错误：Ver7.05 TApplication-> Access violation at address 004F1DD3 in moudule" 可以用PEID查一下脱壳后的版本，会发现MD5加密算法 2006-7-4 17:29 0
SiMON 雪币： 215 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 192 粉丝 1 关注私信	SiMON 34 楼哦，好文章啊~~ 2006-7-4 18:24 0
haibin1013 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	haibin1013 35 楼最初由 laomms* 发布* 28楼厉害，希望看到实例。这里也说几点：修改关健数据后的程序和原来的程序不会没区别吧。 ........ 仅改数据是不会影响流程的 2006-7-8 23:14 0
Spring.W 雪币： 302 活跃值： (410) 能力值： ( LV12，RANK：410 ) 在线值：发帖 48 回帖 166 粉丝 2 关注私信	Spring.W 10 36 楼呵呵。。我的自校验，通过发送消息到另外一个框架，程序并不退出，运行到某些功能时候，启动一个线程，判定退出条件，再给猪框架发送退出消息。。多线程考虑结束条件，引诱你。 2006-7-9 03:37 0
zlgooo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	zlgooo 37 楼十分的感谢! 2006-7-9 07:11 0
xyz123abc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	xyz123abc 38 楼收藏了，谢谢！！！ 2006-7-9 13:51 0
tsfrzjq 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	tsfrzjq 39 楼好文!多谢分享! 2006-7-9 18:34 0
hxx 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 189 粉丝 0 关注私信	hxx 40 楼有参考价值 2006-7-9 19:03 0
cnnets 雪币： 458 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 41 楼不错，希望有更多这类型的文章。 2006-7-9 20:15 0
无所谓了雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 0 关注私信	无所谓了 42 楼好好的学习一下～ 2006-7-9 21:09 0
condor 雪币： 242 活跃值： (10) 能力值： ( LV12，RANK：250 ) 在线值：发帖 9 回帖 39 粉丝 2 关注私信	condor 6 43 楼想问楼主以下这种情况：vb的用BP rtcFileLen，好像用这些方法都不可以哦，我用错了？该怎么处理呢？ http://bbs.pediy.com/showthread.php?s=&threadid=26404 2006-7-10 00:33 0
yalcm 雪币： 225 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 105 粉丝 0 关注私信	yalcm 44 楼在本论坛潜水几个月，一直不敢注册，因为论坛里有位大侠说过“不懂就继续潜水”，不敢忘记，我会继续潜水。在几个月里看了不少前辈们写的文章，作为刚入门，在下推荐新手们先看以下文章：kanxue的脱壳基础知识入门，Lenus的系列和最近最火热的OllyDBG 入门系列。当然还有很多好文，未能一一拜读。我为什么要推荐以上的文章？我们破解不是为了盗版，要盗网上已经够多了，我们是为了学技术来到一快，以上的文章是给你一块敲门砖，“授人予鱼不如授人予渔”，阅读上面文章，你自然会去学相关的知识，如汇编、C语言、PE结构等等，几个月后你发现自己还不会怎么破解，但大概可以看懂汇编程序，甚至可以用C写简单的程序，如注册机。以上几位称得上“真大侠”也，希望我们这些菜鸟以后若有机会成为高手不要“饮水忘源”才好。收到，跟著这条路走，看看能否省点时间 2006-7-20 04:17 0
Jecelyin 雪币： 199 活跃值： (272) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 41 粉丝 0 关注私信	Jecelyin 45 楼好东西，学习中，，， 2006-7-20 10:00 0
wmjm 雪币： 217 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 72 粉丝 0 关注私信	wmjm 46 楼正需要了解这方面的知识，谢谢。 2006-7-20 13:00 0
eyping 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	eyping 47 楼学习了,谢谢! 2006-7-20 15:51 0
soro 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 73 粉丝 0 关注私信	soro 48 楼学习一下,支持! 2006-7-21 07:19 0
我叫笨笨雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	我叫笨笨 49 楼我是菜鸟，学习了，我刚好有个程序试下。 2006-7-23 23:02 0
dsmall 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	dsmall 50 楼好文章，收藏了。 2006-7-24 08:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复