• vprotector
  • 标 题:vcasm的多进程反跟踪技术学习心得(菜鸟篇)
  • 作 者:syy
  • 时 间:2004-12-15,22:04
  • 链 接:http://bbs.pediy.com

vcasm的vprotector程序中使用的多进程(Process)反跟踪技术很有新意,反跟踪技术中比较常见的是多线程(Thread)技术。我以前见到的多进程主要是使用一个进程调试另一个进程。这种方式只能认为是调试反跟踪,不能称为真正的多进程反跟踪技术。而vcasm的方法本人认为是真正意义上的多进程反跟踪技术。这里简单说明一下。
要想利用多进程,必须处理好多个进程之间的数据交换问题和进程同步问题。如果各进程之间没有数据交换就不成其为多进程技术了,谈到进程间的数据交换,我们首先想到的是动态连接库(dll),但vcasm采用了一种更为简便的方法。下面就说说这种方法。
在谈vcasm的数据交换的方法之前先看几个API函数。
CreateFileMapping函数用来生成一个内存文件映射对象,函数定义如下
HANDLE CreateFileMapping(
  HANDLE hFile,              // 映射文件句柄
  LPSECURITY_ATTRIBUTES lpFileMappingAttributes,
                             // 安全属性
  DWORD flProtect,           // 对象的保护属性
  DWORD dwMaximumSizeHigh,   // 对象大小高32位
  DWORD dwMaximumSizeLow,    //对象大小第32位e
  LPCTSTR lpName             // 文件映射对象名
);
当hFile=(HANDLE)-1时得到的不是实际文件的映射对象,而是一个操作系统分页文件返回的一个特定大小的内存块对象。这个内存块对象可以被多个进程用对象名进行操作。这就是说,可以用它来交换数据了。判断这个对象是否存在呢?这又要用到一个函数。
DWORD GetLastError(VOID)
当返回值等于ERROR_ALREADY_EXISTS时则说明这个对象已经存在了。
好了,下面就用程序实际说明一下,vcasm的程序比较复杂,我并没按原程序写代码,而是简化成了一段说明方法的代码,目的只想说明一下这种方法。线程同步的代码这里就不写了,
有兴趣自己逆向一下。

  GetModuleFileName(0,lpFilename,0x200); //取得文件名
   然后将文件名加以变动作为mapview的名
for(i=0;i<0x200;i++)
  {
  //  将文件名中的\变成-
    if(*(char*)(lpFilename+i)==0x5c)*(char*)(lpFilename+i)=0x2d;
  }
mHandle=CreateFileMapping((HANDLE)-1,0,PAGE_READWRITE,0,0x400,lpFilename);
GetLastError()必须紧跟在后面,如果中间还有其他的api,他返回的就不知道是什么了.
if(GetLastError()!=ERROR_ALREADY_EXISTS)
  {
    mapview=MapViewOfFile(mHandle,FILE_MAP_ALL_ACCESS,0,0,0); //提交物理内存
        sum =(char*)((char*)mapview+0x3ff);
        *sum=0;                                        //初始化累加值
  }
  else
  {
    mapview=MapViewOfFile(mHandle,FILE_MAP_ALL_ACCESS,0,0,0); //提交物理内存
        sum =(char*)((char*)mapview+0x3ff);
        *sum+=1;                                        //累加值+1
  }

   if(*sum>5)     //大于5次就该结束了
   {
     MessageBox(0,"yes","ok",0);
     UnmapViewOfFile(mapview);   打开的fileview可以不要了
     CloseHandle(mHandle);        handle也可以关掉了
   }
   else
   {
    还没到五次,再开一个进程
    CreateProcess(0,GetCommandLine(),0,0,0,0,0,0,&StartupInfo,&ProcessInformation);
   }
   Sleep(50);    将执行权交出去,休息一下
   ExitProcess(0);  其他的进程已经打开了,本进程就可以关掉了.

vc++的代码如下:
#include "stdafx.h"

int APIENTRY WinMain(HINSTANCE hInstance,
                     HINSTANCE hPrevInstance,
                     LPSTR     lpCmdLine,
                     int       nCmdShow)
{
   
  DWORD i;
  LPVOID mapview;
  HANDLE mHandle;
  PCHAR  sum;
  LPTSTR lpFilename=(LPTSTR)malloc(0x200);
  STARTUPINFO StartupInfo;
  StartupInfo.cb=sizeof(STARTUPINFO);
  PROCESS_INFORMATION ProcessInformation;  
  GetModuleFileName(0,lpFilename,0x200); //取得文件名
  GetStartupInfo(&StartupInfo); //填写StartupInfo结构
    for(i=0;i<0x200;i++)
  {
  //  将文件名中的\变成-
    if(*(char*)(lpFilename+i)==0x5c)*(char*)(lpFilename+i)=0x2d;
  }
    mHandle=CreateFileMapping((HANDLE)-1,0,PAGE_READWRITE,0,0x400,lpFilename);
  if(GetLastError()!=ERROR_ALREADY_EXISTS)
  {
    mapview=MapViewOfFile(mHandle,FILE_MAP_ALL_ACCESS,0,0,0); //提交物理内存
        sum =(char*)((char*)mapview+0x3ff);
        *sum=0;                                        //初始化累加值
  }
  else
  {
    mapview=MapViewOfFile(mHandle,FILE_MAP_ALL_ACCESS,0,0,0); //提交物理内存
        sum =(char*)((char*)mapview+0x3ff);
        *sum+=1;                                        //累加值+1
  }

   if(*sum>5)
   {
     MessageBox(0,"yes","ok",0);
     UnmapViewOfFile(mapview);
     CloseHandle(mHandle);
   }
   else
   {
    
    CreateProcess(0,GetCommandLine(),0,0,0,0,0,0,&StartupInfo,&ProcessInformation);
   }
   Sleep(0);
   ExitProcess(0);

  return 0;
}