逆向破解——程序去自校验方法
自校验
意思是这些程序会检查自己有没有被修改,如果发现被修改的话,便会离开或进行其它动作。基本的校检方法包括 checksum, 检查大小, 检查跳转代码,等等。
什么情况下考虑自校验
当一个程序脱壳前可以正常运行,脱壳以后不能运行,修复以后也不行,程序不能运行或者闪退、弹窗提示错误等,我们就要考虑是不是因为程序有自校验了。
自校验破解思路
将脱壳前和脱壳后的程序分别单步运行,对比找出关键跳转,使得自校验保护程序的跳转不能实现。
实验步骤
-
尝试运行练习程序
-
查壳
-
ESP定律法脱壳,单步,数据窗口跟随当前ESP值,设置硬件访问断点,运行到断点处,单步运行到程序OPE
-
脱壳后提示程序被非法修改,不能运行。
-
尝试修复,自动修复-->失败
-
手动修复
-
IAT起始地址
-
IAT结束地址
-
size=25c-190=cc
-
手动修复IAT后
-
修复后仍不能运行,考虑自校验,把脱壳后的程序发送到OD,原始程序脱壳完停留在OPE的界面不要关,我们来对比原始程序和脱壳完成的程序。
-
在命令输入 bp CreateFileA,定位到kernel32的CreateFileA函数
-
CreateFileA是一个多功能的函数,可打开或创建以下对象,并返回可访问的句柄:控制台,通信资源,目录(只读打开),磁盘驱动器,文件,邮槽,管道。
-
两边都对这个函数下断点,然后运行到断点处,再执行到用户代码。
-
先下API断点,执行到断点处,我们就来到函数内部;然后执行到用户代码,回到主程序中调用这个API的位置。
-
至于为什么是CreateFileA,我觉得自校验之前可能要打开文件,读取一些校验信息。
-
接下来单步运行,对比脱壳前后两个程序的跳转。
-
这个跳转在脱壳后的程序20145315_.exe里实现了;
-
但是在还未脱壳的程序 练习.exe 里没有实现。
-
这是一个条件跳转
cmp eax ,dword ptr ss:[ebp-0x8]
Jnz shoet 00401215
如果当前eax的值与ss:[ebp-0x8]相等,跳转实现;
JE/JZ 等于转移;
JNE/JNZ 不等于时转移.
-
修改方法有很多种
-
比如,用Nop替换
-
保存到可执行文件
-
修改后正常运行
-
还可以做其他修改
-
比如直接修改汇编语言
cmp eax ,dword ptr ss:[ebp-0x8]
Jnz shoet 00401215
如果当前eax的值与ss:[ebp-0x8]相等,跳转实现
JE/JZ 等于转移
JNE/JNZ 不等于时转移
把汇编语句修改为jz short 00401215
-
保存,显示正常运行
