[原创]反字符参考全接触-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]反字符参考全接触

发表于: 2007-4-8 15:52 24134

[原创]反字符参考全接触

笨笨雄

2007-4-8 15:52

24134

这个本来是打算投稿看雪的杂志，所以简单的东西也说得很详细。前两部分可以忽略，文章真正有价值的是第三部分，从指针欺骗到字符欺骗，可以骗过Ultra String Reference和IDA的字符参考窗口。避免加密后的关键字符仍然以乱码的方式出现在字符参考窗口中，导致仍然可以通过加密字符找到关键代码的情况。毕竟最好的加密是让对方根本不知道其存在。
本来还有其他的想法，例如Ultra String Reference可能只搜索EXE所在内存范围，而不扫描DLL中的参考信息，又或者是象壳那样将解密的代码复制到申请的内存空间中运行。但是前面的方法过于简单，而且有效，以致我觉得完全没有必要用复杂的方法实现，就取消了对复杂方法的探索。
另外，一个明显的注册信息，和一堆明显的无意义字符，你会去看哪一个参考呢？假如把加密的字符隐藏了，现在只有唯一的注册信息，就可以引诱CRACKER去看一堆可能根本不可能运行的代码。一两句话就能说清楚的东西，也没必要写示例代码。
文章就砍剩这么多了，大家凑合看。发上来看看能不能混个精华

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

AntiStrRef.rar （62.26kb，328次下载）

收藏・11

免费・7

支持

最新回复 (30) 1 2 ▶
萝卜雪币： 260 活跃值： (81) 能力值： ( LV4，RANK：50 ) 在线值：发帖 48 回帖 833 粉丝 2 关注私信	萝卜 1 2 楼坐一次沙发 2007-4-8 16:04 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 3 楼学习~`支持~~~ 2007-4-8 16:21 0
jsjcjsjc 雪币： 178 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 70 粉丝 0 关注私信	jsjcjsjc 4 楼菜鸟来侃侃啊 2007-4-8 21:43 0
fonge 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：210 ) 在线值：发帖 38 回帖 1071 粉丝 0 关注私信	fonge 5 5 楼熊老大,顶你个肚脐眼 2007-4-8 22:18 0
garasmc 雪币： 114 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	garasmc 6 楼熊大大的东西要顶下 2007-4-9 00:31 0
RegKiller 雪币： 191 活跃值： (345) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 3 关注私信	RegKiller 10 7 楼楼主方便的话传一个编译好的,还没装C++呢。 2007-4-9 04:52 0
wofan[OCN] 雪币： 2943 活跃值： (1788) 能力值： ( LV9，RANK：850 ) 在线值：发帖 55 回帖 808 粉丝 8 关注私信	wofan[OCN] 21 8 楼感谢笨笨雄的文章，不知是用什么编译编的，我用Visual c++ 修改头文件后编译了一下，发现的确有效。修改版： #include "windows.h" class defMsgBox { public: defMsgBox() { m_text = (char )"你能找到我吗？"; m_caption = (char ) "隐藏字符参考"; } void myShow() { MessageBox(0,m_text,m_caption,0); } char m_text; char m_caption; }; char myText = "测试"; int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { defMsgBox myMsgBox; char myCaption = "\x1f""Hello Ultra String Reference"; MessageBox(0,myText,myCaption,0); myMsgBox.myShow(); //字符指针myCaption由于第一个字节加入了无效字符而被Ultra String Reference的确被忽略 return 0; } 2007-4-9 09:33 0
sdzbyy 雪币： 236 活跃值： (11) 能力值： ( LV12，RANK：210 ) 在线值：发帖 13 回帖 55 粉丝 0 关注私信	sdzbyy 5 9 楼学习~`支持~~~ 2007-4-9 09:35 0
binbinbin 雪币： 405 活跃值： (10) 能力值： ( LV9，RANK：1130 ) 在线值：发帖 51 回帖 690 粉丝 0 关注私信	binbinbin 28 10 楼哇。看来老罗的字符串查找，要从0.12升级了。支持下 2007-4-9 09:36 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 11 楼我的是VC6（SP6） 2007-4-9 12:16 0
xzchina 雪币： 615 活跃值： (1222) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 12 楼好文章,长见识了. 2007-4-9 12:27 0
scship 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 217 粉丝 1 关注私信	scship 13 楼收下来再说！ 2007-4-9 12:33 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 14 楼遇到过最损的，abcdefg全列一遍，要用一个个调 2007-4-9 12:37 0
Nisy 雪币： 167 活跃值： (1574) 能力值： ( LV9，RANK：250 ) 在线值：发帖 68 回帖 668 粉丝 42 关注私信	Nisy 5 15 楼精品先收藏了~~ 2007-4-9 18:55 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 16 楼反crack研究 2007-4-9 19:40 0
WisdomZh 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 110 粉丝 0 关注私信	WisdomZh 17 楼收藏! 好技巧! 2007-4-9 20:14 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 18 楼学习~`支持~~~ 2007-4-10 18:40 0
ynboyinkm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 82 回帖 443 粉丝 0 关注私信	ynboyinkm 19 楼谢谢楼主,写的详细~ 2007-4-10 19:27 0
bxm 雪币： 461 活跃值： (93) 能力值： ( LV9，RANK：1170 ) 在线值：发帖 41 回帖 306 粉丝 1 关注私信	bxm 29 20 楼学习一下,支持笨兄! 2007-4-10 20:30 0
lypp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	lypp 21 楼学习很有收获 `支持~ 2007-4-10 21:58 0
sertty 雪币： 216 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 41 粉丝 0 关注私信	sertty 1 22 楼笨笨熊老大，我有个弱弱的问题，为什么我的OD识别不了C的CRT函数（若用lstrcmp就可以，为什么strcmp不行呢）呢？另外，我用VC6编译你包内的simple.cpp，用OD加载进来的汇编代码和您老大的不一样，多了很多东东，可能是我的VC IDE环境没有优化吧。老大的OD截图：下面是我的截图： WIN32SDK API版本： CRT版本： 2007-4-13 20:31 0
lhfa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	lhfa 23 楼学习中，看看 2007-4-13 21:05 0
laohai 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 284 粉丝 0 关注私信	laohai 24 楼又学到好东西了，谢谢！ 2007-4-14 23:01 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 25 楼强烈学习! 2007-4-15 00:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

笨笨雄

212

发帖

3620

回帖

570

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
萝卜雪币： 260 活跃值： (81) 能力值： ( LV4，RANK：50 ) 在线值：发帖 48 回帖 833 粉丝 2 关注私信	萝卜 1 2 楼坐一次沙发 2007-4-8 16:04 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 3 楼学习~`支持~~~ 2007-4-8 16:21 0
jsjcjsjc 雪币： 178 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 70 粉丝 0 关注私信	jsjcjsjc 4 楼菜鸟来侃侃啊 2007-4-8 21:43 0
fonge 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：210 ) 在线值：发帖 38 回帖 1071 粉丝 0 关注私信	fonge 5 5 楼熊老大,顶你个肚脐眼 2007-4-8 22:18 0
garasmc 雪币： 114 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	garasmc 6 楼熊大大的东西要顶下 2007-4-9 00:31 0
RegKiller 雪币： 191 活跃值： (345) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 3 关注私信	RegKiller 10 7 楼楼主方便的话传一个编译好的,还没装C++呢。 2007-4-9 04:52 0
wofan[OCN] 雪币： 2943 活跃值： (1788) 能力值： ( LV9，RANK：850 ) 在线值：发帖 55 回帖 808 粉丝 8 关注私信	wofan[OCN] 21 8 楼感谢笨笨雄的文章，不知是用什么编译编的，我用Visual c++ 修改头文件后编译了一下，发现的确有效。修改版： #include "windows.h" class defMsgBox { public: defMsgBox() { m_text = (char )"你能找到我吗？"; m_caption = (char ) "隐藏字符参考"; } void myShow() { MessageBox(0,m_text,m_caption,0); } char m_text; char m_caption; }; char myText = "测试"; int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { defMsgBox myMsgBox; char myCaption = "\x1f""Hello Ultra String Reference"; MessageBox(0,myText,myCaption,0); myMsgBox.myShow(); //字符指针myCaption由于第一个字节加入了无效字符而被Ultra String Reference的确被忽略 return 0; } 2007-4-9 09:33 0
sdzbyy 雪币： 236 活跃值： (11) 能力值： ( LV12，RANK：210 ) 在线值：发帖 13 回帖 55 粉丝 0 关注私信	sdzbyy 5 9 楼学习~`支持~~~ 2007-4-9 09:35 0
binbinbin 雪币： 405 活跃值： (10) 能力值： ( LV9，RANK：1130 ) 在线值：发帖 51 回帖 690 粉丝 0 关注私信	binbinbin 28 10 楼哇。看来老罗的字符串查找，要从0.12升级了。支持下 2007-4-9 09:36 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 11 楼我的是VC6（SP6） 2007-4-9 12:16 0
xzchina 雪币： 615 活跃值： (1222) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 12 楼好文章,长见识了. 2007-4-9 12:27 0
scship 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 217 粉丝 1 关注私信	scship 13 楼收下来再说！ 2007-4-9 12:33 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 14 楼遇到过最损的，abcdefg全列一遍，要用一个个调 2007-4-9 12:37 0
Nisy 雪币： 167 活跃值： (1574) 能力值： ( LV9，RANK：250 ) 在线值：发帖 68 回帖 668 粉丝 42 关注私信	Nisy 5 15 楼精品先收藏了~~ 2007-4-9 18:55 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 16 楼反crack研究 2007-4-9 19:40 0
WisdomZh 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 110 粉丝 0 关注私信	WisdomZh 17 楼收藏! 好技巧! 2007-4-9 20:14 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 18 楼学习~`支持~~~ 2007-4-10 18:40 0
ynboyinkm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 82 回帖 443 粉丝 0 关注私信	ynboyinkm 19 楼谢谢楼主,写的详细~ 2007-4-10 19:27 0
bxm 雪币： 461 活跃值： (93) 能力值： ( LV9，RANK：1170 ) 在线值：发帖 41 回帖 306 粉丝 1 关注私信	bxm 29 20 楼学习一下,支持笨兄! 2007-4-10 20:30 0
lypp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	lypp 21 楼学习很有收获 `支持~ 2007-4-10 21:58 0
sertty 雪币： 216 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 41 粉丝 0 关注私信	sertty 1 22 楼笨笨熊老大，我有个弱弱的问题，为什么我的OD识别不了C的CRT函数（若用lstrcmp就可以，为什么strcmp不行呢）呢？另外，我用VC6编译你包内的simple.cpp，用OD加载进来的汇编代码和您老大的不一样，多了很多东东，可能是我的VC IDE环境没有优化吧。老大的OD截图：下面是我的截图： WIN32SDK API版本： CRT版本： 2007-4-13 20:31 0
lhfa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	lhfa 23 楼学习中，看看 2007-4-13 21:05 0
laohai 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 284 粉丝 0 关注私信	laohai 24 楼又学到好东西了，谢谢！ 2007-4-14 23:01 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 25 楼强烈学习! 2007-4-15 00:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复