绿鹰PC万能精灵3.92

标题：【原创】对付自校验的杀手锏 -- 偷天换日
作者：prince
时间：2005-07-01 23:58
链接：http://bbs.pediy.com/showthread.php?threadid=14860

        对付自校验的杀手锏 -- 偷天换日

[Cracker]    ： prince

[时间]       ： 2005.06.30

[声明]       ：只做技术交流，不做商业用途，如果你手头宽裕并喜欢这个软件的话请支持正版软件。

[E-mail]     ： Cracker_prince@163.com

[软件信息]

[软件说明]   ：绿鹰PC万能精灵3.92

[保护方式]   ：序列号 + 反跟踪 + 自校验

[限制方式]   ：功能限制

[外壳保护]   ： PECompact 2.x -> Jeremy Collake

[编译器/语言]： Microsoft Visual C++ 6.0 / C/C++

[下载地址]   ： http://www.onlinedown.net/soft/6396.htm

[目的]       ：脱壳后自校验的去除

[分析过程]   ：

  现在的软件为了保护自身不被修改，防止脱壳，不少都加上了自身的完整性校验，一旦发现自己的关

键指令被修改或被脱壳了之后，毫无提示地就拒绝运行。这种令人头疼的自校验相信难住了不少跟我一样的菜

鸟！后来再遇到自校验，就只好开2个OD，下断CreateFilaA，然后，一步一步地跟，一句一句地对照，不知道

经过多少步之后，哈，发现了一个跳转不一样，激动地改掉，成功。对于这样直接比较的软件校验还可以用这

种不怕脏不怕累的方法搞定，但是对于那种将自身一个字节一个字节读取出来，然后经过超级变态复杂地算法

运算过后，得到了几个值，偷偷记下来，或作为后面程序运行的关键值，或者分开几个地方偷偷比较，如果不

对，就异常啦！这样的校验，相信光凭耐心和运气是不行的吧？前几天在FLY老大的论坛偶尔看到了fxyang大侠

的文章：浅谈cool edit

pro2.1脱壳后解决自校验（http://fly.ccgforum.info/viewthread.php?tid=1339&fpage=1&highlight=%2Bfxy

ang），就是这样的校验方法。fxyang大侠的解决方法是：跟踪原版程序，由于校验算法复杂，不分析过程，只

看得到几个结果，记下他们的值，然后在脱壳后的文件中强行将原版的值写入，最后问题解决。这种方法虽然

巧妙，但是还是要分析原版计算出的几个值，并且要在脱壳文件中一个一个写入，修改字节过多，容易出错，

毕竟如果有一个地方没有看到就会前功尽弃。有没有更好更简便的方法呢？呵呵，终于到主题了，呼~
  静下心来仔细想一下，总结一下程序是如何校验的：首先GetModuleFileName得到自身路径和文件名，

然后CreateFile打开自身，接下来，如果是简单地比较大小，就调用GetFileSize得到程序大小，和原版大小比

较，size大了就OVER，这种比较简单；如果要进行CRC等算法校验，就会CreateFileMapping映射的一块内存中

准备ReadFila读取计算，最后计算出几个值... 呵呵，注意到了吗？无论哪中方法，都要CreateFile打开自身

，才能进行下一步操作，那想到了吗？既然程序要打开文件校验，我们就想办法让它不打开自身而是打开原版

去计算、校验，这样无论它怎么变态，复杂，计算结果都是正确的（当然了，因为原版我们就没动过嘛）！那

可能有朋友说了，怎么做啊？改动复杂不复杂啊？别急，看我举例说明。

  PECompact 2.x脱壳很简单（难的我也不会），he eip，F9一步就到OEP，Ollydump脱之，ImportREC修

复，剪切掉一个垃圾指针，FIX，OK，就这么简单。由于有自校验，双击运行毫无反应，OD加载，下断CreateFi

leA，F9来到这里：
----------------------------------------------------------------------------------
0040538D    8B4D 08            mov ecx,dword ptr ss:[ebp+8]     ; 文件名送ECX
00405390    57                 push edi                         ; 参数入栈
00405391    68 27000008        push 8000027                     ; 参数入栈
00405396    6A 03              push 3                           ; 参数入栈
00405398    57                 push edi                         ; 参数入栈
00405399    6A 01              push 1                           ; 参数入栈
0040539B    68 00000080        push 80000000                    ; 参数入栈
004053A0    51                 push ecx                         ; 关键，要打开的文件名入栈
004053A1    FF15 74124600      call dword ptr ds:[<&kernel32.Cr>; KERNEL32.CreateFileA
004053A7    8BF0               mov esi,eax
004053A9    83FE FF            cmp esi,-1
004053AC    8975 DC            mov dword ptr ss:[ebp-24],esi
004053AF    75 15              jnz short UN2_.004053C6
004053B1    FF15 84124600      call dword ptr ds:[<&kernel32.Ge>; KERNEL32.GetLastError
004053B7    56                 push esi
004053B8    8945 EC            mov dword ptr ss:[ebp-14],eax
004053BB    FF15 78124600      call dword ptr ds:[<&kernel32.Cl>; KERNEL32.CloseHandle
004053C1    E9 13010000        jmp UN2_.004054D9
004053C6    8D55 D4            lea edx,dword ptr ss:[ebp-2C]

...

文件校验算法没看：

00405465    FF15 6C124600    call dword ptr ds:[<&kernel32.MapV>; KERNEL32.MapViewOfFile
0040546B    8BF8             mov edi,eax
0040546D    8BC6             mov eax,esi
0040546F    8BD7             mov edx,edi
00405471    8BC8             mov ecx,eax
00405473    48               dec eax
00405474    85C9             test ecx,ecx
00405476    8945 08          mov dword ptr ss:[ebp+8],eax
00405479    76 28            jbe short UN2_+.004054A3
0040547B    8B0B             mov ecx,dword ptr ds:[ebx]
0040547D    33DB             xor ebx,ebx
0040547F    8A1A             mov bl,byte ptr ds:[edx]               ；PE文件头，表示开始计算了
00405481    8BC1             mov eax,ecx
00405483    25 FF000000      and eax,0FF
00405488    33C3             xor eax,ebx
0040548A    8B5D E0          mov ebx,dword ptr ss:[ebp-20]
0040548D    C1E9 08          shr ecx,8
00405490    8B5B 04          mov ebx,dword ptr ds:[ebx+4]
00405493    8B0483           mov eax,dword ptr ds:[ebx+eax*4]
00405496    8B5D 0C          mov ebx,dword ptr ss:[ebp+C]
00405499    33C1             xor eax,ecx
0040549B    42               inc edx
0040549C    8903             mov dword ptr ds:[ebx],eax
0040549E    8B45 08          mov eax,dword ptr ss:[ebp+8]
004054A1  ^ EB CE            jmp short UN2_+.00405471
004054A3    57               push edi
004054A4    FF15 70124600    call dword ptr ds:[<&kernel32.Unma>; KERNEL32.UnmapViewOfFile
004054AA    8B55 CC          mov edx,dword ptr ss:[ebp-34]
004054AD    8B4D D0          mov ecx,dword ptr ss:[ebp-30]
004054B0    33C0             xor eax,eax
004054B2    03D6             add edx,esi
004054B4    13C8             adc ecx,eax
004054B6    8955 CC          mov dword ptr ss:[ebp-34],edx
004054B9    8B55 D8          mov edx,dword ptr ss:[ebp-28]
004054BC    894D D0          mov dword ptr ss:[ebp-30],ecx
004054BF    8B4D D4          mov ecx,dword ptr ss:[ebp-2C]
004054C2    8B7D D0          mov edi,dword ptr ss:[ebp-30]
004054C5    2BCE             sub ecx,esi
004054C7    8B75 DC          mov esi,dword ptr ss:[ebp-24]
004054CA    1BD0             sbb edx,eax
004054CC    894D D4          mov dword ptr ss:[ebp-2C],ecx
004054CF    8955 D8          mov dword ptr ss:[ebp-28],edx
004054D2  ^ E9 5CFFFFFF      jmp UN2_+.00405433
004054D7    33FF             xor edi,edi
004054D9    8B45 E8          mov eax,dword ptr ss:[ebp-18]
004054DC    3BC7             cmp eax,edi
004054DE    74 0C            je short UN2_+.004054EC
004054E0    50               push eax
004054E1    FF15 78124600    call dword ptr ds:[<&kernel32.Clos>; KERNEL32.CloseHandle

----------------------------------------------------------------------------------
  在0040538D处就是要打开的文件名赋值，我们就是要改这里，让ECX的值为我们指定的原版程序的路径

。首先做好准备工作，比如原版的路径为：D:\Program Files\绿鹰PC万能精灵\adam.exe，我们的目的就是要

将这个字符串赋值给ECX，所以要把这个字符串写到程序里面。由于PE文件Section之间的对齐，文件中通常都

会有一些间隙，用UE打开就是一堆00的地方，我们就用利用这些空地写我们的原版路径字符串。用UE打开脱壳

后的文件，拉动滚动条到文件的结尾，找到空地，将上面的字符串复制拷贝上去，记住我们的字符串的起始地

址，我的是001B1F80，后面用的到，然后保存修改后的文件。回到OD，下断0040538D，重新断下，修改代码为

：
----------------------------------------------------------------------------------
0040538D  - E9 1ECC1A00        jmp UN2_+.005B1FB0
00405392    90                 nop
00405393    90                 nop
00405394    90                 nop
00405395    90                 nop
00405396    6A 03              push 3
00405398    57                 push edi
00405399    6A 01              push 1
0040539B    68 00000080        push 80000000
004053A0    51                 push ecx
004053A1    FF15 74124600      call dword ptr ds:[<&kernel32.Cr>; KERNEL32.CreateFileA

----------------------------------------------------------------------------------
  因为这里空间不够写入我们的代码，所以要跳到空地写我们要的代码，然后再跳回来继续执行，就好

象什么都没有发生过一样，:) 005B1FB0是我们写好的字符串后面的空地：
----------------------------------------------------------------------------------
005B1FA8    0000               add byte ptr ds:[eax],al ；空地
005B1FAA    0000               add byte ptr ds:[eax],al ；空地
005B1FAC    0000               add byte ptr ds:[eax],al ；空地
005B1FAE    0000               add byte ptr ds:[eax],al ；空地
005B1FB0    B9 801F5B00        mov ecx,UN2_+.005B1F80   ；将写好的原版文件地址赋值给ECX
005B1FB5    57                 push edi                 ；继续压栈参数
005B1FB6    68 27000008        push 8000027             ；继续压栈参数
005B1FBB  - E9 D633E5FF        jmp UN2_+.00405396       ；跳回去继续执行
005B1FC0    0000               add byte ptr ds:[eax],al

----------------------------------------------------------------------------------
  OK，保存修改，完工，运行试试，呵呵，运行了~  :)



AntiDebug的去除：下断SetUnhandledExceptFilter，共有两处，NOP掉；程序循环调用CreateToolhelp32Snaps

hot进行父进程检测，将00418807处改为绝对跳转即可。

  总结一下：

  用这种偷天换日，偷梁换柱，偷龙转凤的手段可以轻易对付利用CreateFilaA进行自校验的程序，代码

修改量小，成功率高，真乃居家旅行必备之良药，^O^ 以后再见到自校验，就又多了一种对付的方法啦~
  看来遇到难以解决的问题的时候，不妨转换一下思路，避其锋芒，找到像打太极一样，四量拨千斤的

方法，复杂问题就变得简单了。
  呵呵，小弟菜鸟，有不妥的地方请各位大侠见谅、赐教，另外多谢fxyang大侠的文章。
  菜鸟写菜文~

  补充：以上方法不适用于破解文件的发布，因为要依赖原版的绝对路径，我的目的只是为了让它运行

，从而使我们可以跟踪出它的注册码或者注册算法，毕竟写出注册机才是我们的最终目标。

                                                                  prince 2005.06.30
                                              任何问题可至：Cracker_prince@163.com