我来我网
https://5come5.cn
 
您尚未 登录  注册 | 菠菜 | 软件站 | 音乐站 | 邮箱1 | 邮箱2 | 风格选择 | 更多 » 
 

本页主题: 太激动了,再发一篇,关于代码加密 显示签名 | 打印 | 加为IE收藏 | 收藏主题 | 上一主题 | 下一主题

DebugAnyway



性别: 帅哥 状态: 该用户目前不在线
头衔: 江湖人称小徐锦江
等级: 荣誉会员
发贴: 1872
威望: 1
浮云: 499
在线等级:
注册时间: 2004-04-07
最后登陆: 2018-03-16

5come5帮你背单词 [ reminiscence /remi'nisns/ n. 回忆,(pl.)回忆录 ]


太激动了,再发一篇,关于代码加密

真的很激动,和5c5阔别3年,再次重逢~~~~~~~
        一种代码加密解密的方法
        如果做了共软,并且很不幸注册界面已经被人给Crack了,而且人家已经做出了针对你的注册机,是不是很郁闷?哈哈,又或者,你的代码被人家DASM之后被改得乱起八遭,是不是想杀人?hoho
        这里介绍一种把你代码加密的办法,比较简单,可能在高手大虾们看来比较笨。
        思路:通过在你想为之加密的函数(姑且叫它Func吧)体内放入标记代码,使得这个函数很容易被定位,这里要使用 __emit__ 编译器命令,不熟悉的朋友可以去找帮助文件参考一下。
        加密过程例如下:
        Int __stdcall Func(void *Meta){
            goto Start;
        //在函数代码前插入了八个字节的标记,前4个是字符串,内容你可以自己定,越有特异性越好,后四个自己保留。
        __emit__('F','u','n','c',0u);
            Start://这里才开始真正执行函数的代码
        …….
        End://代码函数代码结束
        __emit__('C','n','u','f',0u);//道理同上,标记函数结尾
        }
        编译成exe之后(假设叫“EncryMe.exe”),再做一个加密工具,打开EncryMe.exe文件,很容易找到你做的标记,两段标记之间就是代码,读出代码之后加密再写回EncryMe.exe文件去,加密就完成。一些细节,加密方法如果不了解,可以去网上找,很多,自己依葫芦画瓢写个加密函数还是很容易的,但是注意一定要记住你使用的密钥,刚才在emit编译命令中故意加了4个保留字节你也可以充分利用,比如可以把加密前的代码的校验值(CRC32、MD5诸如此类)放进去,方便验证。
        现在介绍解密过程。可以让函数执行时调用方法和加密一致的函数自己解密,假设这个函数叫DecryFunc,我们先看看这个解密函数需要什么样的参数,首先密钥可以通过参数传到DecryFunc,当然也可以使用一个固定密钥放在常量或者宏里;此外,你必须告诉DecryFunc要对那个函数进行解密,这是关键。我的思路是,通过一个叫GetIP的函数获得Func体内且在__emit__('F','u','n','c',0u)标记之前某位置的地址Addr,然后把Addr传给DecryFunc。DecryFunc从Addr开始向后找”Func”,于是很容易定位函数代码的地址和长度。所以还要修改函数Func:
        int __stdcall Func(void *Meta){
        void * Addr;
        BYTE Key[…]={…};
        goto Start;
        Addr=(void *)GetIP();
        DecryFunc(Addr,Key);
        __emit__('F','u','n','c',0u);
            Start://这里才开始真正执行函数的代码
        …….
        End://代码函数代码结束
        __emit__('C','n','u','f',0u);
        }
        hoho,想到GetIP怎么实现的吗?我用的是如下办法,可能还有更厉害更BT的办法,具体原理请查阅Win32汇编相关资料:
        DWORD __stdcall GetIP(void){
            __asm{
                mov eax,[esp+4]
            }
            return _EAX;
        }
        当然,DecryFunc还必须检查该函数是否已经被解密,如果已经解密,就直接返回,可以把知否已经解密这个状态体现在__emit__('F','u','n','c',0u);的后面4个字节里,我推荐的方法是这4个字节存放加密前函数代码的CRC32,因为一般非零数据的CRC32值也不为零,所以第一次解密完成后把这后面的字节清零,代表已经解密,下次再执行DecryFunc时,它就能探测到。其实,还有更妙的办法,解密后直接用空指令(0x90)将DecryFunc的调用点覆盖,具体办法留给大家思考,方和和GetIP类似,很简单,hoho。
        最后提醒大家,代码一般不是可写的,修改之前需要VirtualProtect这个API,具体用法请你勤快点去看看MSDN。
        额外的,__emit__除帮你实现了代码定位,也相当于插入了花指令,让Cracker郁闷,hoho。


[ 此帖被DebugAnyway在2009-03-29 01:47重新编辑 ]
顶端 Posted: 2009-03-29 01:41 | [楼 主]
bert



性别: 帅哥 状态: 该用户目前不在线
头衔: 四年...
等级: 荣誉会员
发贴: 2203
威望: 0
浮云: 636
在线等级:
注册时间: 2002-12-13
最后登陆: 2022-09-22

5come5帮你背单词 [ zinc /ziŋk/ n. 锌 ]


对楼主记忆犹新。
不过俺搞不懂windows编程,顶一个
顶端 Posted: 2009-10-09 13:05 | [1 楼]
我来我网·5come5 Forum » 程序员之家

Total 0.008934(s) query 6, Time now is:11-24 04:12, Gzip enabled
Powered by PHPWind v5.3, Localized by 5come5 Tech Team, 黔ICP备16009856号