[CRC32]浅谈防破

如此美丽。

                                             女神镇楼               @没小名    速来膜拜  ..  (再黑我就拉黑你)
                             在网上看到个资料 关于CRC32效验  防破          我只是拿我自己的知道的给大家说说     并非什么大神  ..    如果错误或纰漏  我就把 @没小名 送给你

                             为什么说是谈呢?   因为功能我都是用VB实现的 .. TC就不知道怎么写了    不过主要是 思路  思路    哈哈哈
                             注意:  以下内容只是介绍如何防   ..  当然你要死板的早着一步一步写功能  你可以把代码写乱  比如在弹出消息(注册失败) 前加一些生成随机数啊 毫无意义的代码  具体就看思路如何来混乱代码
                             1.  防脱壳效验  ..    要保护肯定先要加壳子   (我知道这是废话..)
                                  加壳肯定会改变程序大小(不管加密壳  还是压缩壳  变动会比较大)  
                                  我们可以先加壳   看有大小多少  比如大小为 20480字节 (加密壳 原程序肯会更小)  在初始化就判断  如果他 小于 20400字节 就说明壳被脱了 这个时候我们就可以退出了
                                  参考 【Rain】纯tc四五行代码 两种方法 获取文件大小 有注释！
                             2. 挖字符串陷阱防破
                                 一旦程序跑起了  代码段都会被还原   这个时候别人可能会搜索字符串  有的就会明显的看到  注册失败  注册成功  之类的字符串 ..
                                 如何做到挖陷阱呢?    先把 注册成功 转换成Unicode 或 ANSI  (就比如说VB里的 AscW$)  然后直接用 MsgBox ChrW$(27880) & ChrW$(20876) & ChrW$(25104) & ChrW$(21151)
                                 弹出来就是注册成功了 ..  当然你还可以继续坑  Unicode码都可以用 Xor、Or、And 等运算符弄出来  当然既然是挖坑 当然还得 有所谓的"注册成功"等字符串 不过下面就写 辅助.退出 咯!
                             3. 金蝉脱壳反装载
                                 在初始化的时候初始化随机数  假如那个个随机数不等于指定的就获取自身路径再打开一下自己 直到循环出那个随机数  这样调试器装载的只不过是我们第一次的打开 我们都不知道打开多少次了..
                             4.启动时间效验反装载 (TC不支持结构体  请自行封装插件)
                                大家可以尝试一下用OD装载一个程序运行所加载的时间会大于一个程序正常启动很多很多
                                我们可以先获取一下系统时间 (相关API: GetLocalTime)
                                获得本进程ID对应的信息 (相关API: GetProcessTimes   FileTimeToSystemTime)
                                计算时间差 (dTime = Val(系统时间.wSecond) * 1000  + 系统时间.wMilliseconds - Val(进程时间.wSecond) * 1000 - 进程时间.wMilliseconds)
                                当时差大于一个值就说明被调试(可以自己写个例子尝试一下 ..  调试启动和正常启动差值基本是N倍..)
                            5.CRC32效验 (文件效验)  和  (内存效验)
                               文件效验: 文件效验主要是为了效验程序是否被恶意修改 (比如修改代码内容后保存)   (TC就浅谈一下 不多说 因为TC代码、界面都是被打包到资源)
                               内存效验: 为了防止破在某一段代码上做CRC32效验 用循环 读byte 读出这段代码 然后交给CRC32效验  先做一个初始效验 保存效验码 然后下次比较效验码就知道是否被恶意修改(OD在那个区域下断也会导致代码被恶意修改  因为他会在那个地址写入CC[INT3)
                           6.黑名单验证
                              用百度空间啊 各种博客 云云.. 做数据库  在上面记录一些常见的 OD、CE、IDA、各种内存监视器、注册表监视器 等 (找标题 子标题 类名 多重特征等)




                          差不多就这些了 ..  秒杀一些菜鸟级选手应该没问题了        具体就得看你怎么运用了  


                          至此         黑一下   @没小名       
                         好像废话多招人口舌  ..   当然不喜的 可以笑笑就点右上角的叉叉  .. 要骂我的 希望等回帖到了第2页你再开骂  不然别人会看到   谢谢!

如此美丽。

  ... 唉   看来以后还是潜水得好

b44412545

这果断神贴，抢前排

小西

带头鄙视一下这些只给分,不顶楼的大神.
向我学习,既给分,又顶楼.

rainshine

看来我回头也应该写一写放**的了、、、、、貌似很受欢迎

cylhb

很厉害的样子，不过新手还是先把脚本做好了再研究这个去，这个适合出师了的人学

fpx90

学习

88979825

还是美丽姐吊。等下我们吊打你  可以吗？

fyq2000

88979825 发表于 2014-7-24 08:46
还是美丽姐吊。等下我们吊打你  可以吗？

可以的。。小三。美丽姐最喜欢我们这样。。。

whoyeyang

好帖要顶~~~