逆向破解——程序去除自校验

逆向破解——程序去自校验方法

自校验

意思是这些程序会检查自己有没有被修改，如果发现被修改的话，便会离开或进行其它动作。基本的校检方法包括 checksum, 检查大小, 检查跳转代码，等等。

什么情况下考虑自校验

当一个程序脱壳前可以正常运行，脱壳以后不能运行，修复以后也不行，程序不能运行或者闪退、弹窗提示错误等，我们就要考虑是不是因为程序有自校验了。

自校验破解思路

将脱壳前和脱壳后的程序分别单步运行，对比找出关键跳转，使得自校验保护程序的跳转不能实现。

实验步骤

• 尝试运行练习程序
  

• 查壳
  

• ESP定律法脱壳，单步，数据窗口跟随当前ESP值，设置硬件访问断点，运行到断点处，单步运行到程序OPE
  

• 脱壳后提示程序被非法修改，不能运行。
  
  

• 尝试修复，自动修复-->失败
  

• 手动修复
  

• IAT起始地址
  

• IAT结束地址
  

• size=25c-190=cc

• 手动修复IAT后
  

• 修复后仍不能运行，考虑自校验，把脱壳后的程序发送到OD，原始程序脱壳完停留在OPE的界面不要关，我们来对比原始程序和脱壳完成的程序。
• 在命令输入 bp CreateFileA，定位到kernel32的CreateFileA函数
• CreateFileA是一个多功能的函数，可打开或创建以下对象，并返回可访问的句柄：控制台，通信资源，目录（只读打开），磁盘驱动器，文件，邮槽，管道。
• 两边都对这个函数下断点，然后运行到断点处，再执行到用户代码。
• 先下API断点，执行到断点处，我们就来到函数内部；然后执行到用户代码，回到主程序中调用这个API的位置。
• 至于为什么是CreateFileA，我觉得自校验之前可能要打开文件，读取一些校验信息。
• 接下来单步运行，对比脱壳前后两个程序的跳转。

• 这个跳转在脱壳后的程序20145315_.exe里实现了；
  

• 但是在还未脱壳的程序 练习.exe 里没有实现。
  

• 这是一个条件跳转

cmp eax ,dword ptr ss:[ebp-0x8]
Jnz shoet  00401215

如果当前eax的值与ss:[ebp-0x8]相等，跳转实现;
JE/JZ 等于转移;
JNE/JNZ 不等于时转移.

• 修改方法有很多种

• 比如，用Nop替换
  

• 保存到可执行文件

• 修改后正常运行
  

• 还可以做其他修改

• 比如直接修改汇编语言
  cmp eax ,dword ptr ss:[ebp-0x8]
  Jnz shoet 00401215
  如果当前eax的值与ss:[ebp-0x8]相等，跳转实现
  JE/JZ 等于转移
  JNE/JNZ 不等于时转移
  把汇编语句修改为jz short 00401215
  
  

• 保存，显示正常运行