前面的那一篇文章中所使用的技术只能有效抵抗解密者直接修改硬盘文件,当我们使用动态补丁的时候,那么内存中同样不存在校验效果,也就无法抵御对方动态修改机器码了,为了防止解密者直接对内存打补丁,我们需要在硬盘校验的基础上,增加内存校验,防止动态补丁的运用。

仅对.text代码段进行校验:

通常程序中至少包括了代码段,数据段,而数据段中所存储的数据是经常会发生变动的,例如我们的全局变量,静态变量等都会默认存储在数据段,而代码段则不会发生变化,我们在检验时只需要注重.text内存段中的数据完整性即可,针对内存的校验同样可以抵御调试器的CC断点,该断点原理就是在下端处写入int3指令,同样可以检测得到。

校验思路如下

1.首先从内存得到PE的代码节的RVA和节大小

2.根据得到的RVA和节大小计算出crc32或是RC4值

3.读取自身保存的原始CRC32值,与校验结果进行比较

1.先来实现第一步,读取内存映像的起始地址与大小,我们可以这样做。

#include <stdio.h>

#include <windows.h>

int main(int argc, char *argv[])

{

	PIMAGE_DOS_HEADER pDosHeader = NULL;

	PIMAGE_NT_HEADERS pNtHeader = NULL;

	PIMAGE_SECTION_HEADER pSecHeader = NULL;

	DWORD ImageBase;

	// 获取基地址

	ImageBase = (DWORD)GetModuleHandle(NULL);

	// 定位到PE头结构

	pDosHeader = (PIMAGE_DOS_HEADER)ImageBase;

	// 定位到NT头

	pNtHeader = (PIMAGE_NT_HEADERS32)((DWORD)pDosHeader + pDosHeader->e_lfanew);

	// 定位第一个区块地址,因为默认的话第一个就是.text节

	pSecHeader = IMAGE_FIRST_SECTION(pNtHeader);

	// 取出节内偏移与节表长度

	DWORD va_base = ImageBase + pSecHeader->VirtualAddress;   // 定位代码节va基地址

	DWORD sec_len = pSecHeader->Misc.VirtualSize;             // 获取代码节长度

	printf("镜像基址(.text): %x --> 镜像大小: %x \n", va_base, sec_len);

	system("pause");

	return 0;

}

2.第二部就是计算校验和,然后计算该节的CRC32值,并存入全局变量,也就是程序打开后自动初始化计算一次内存crc32值并放入全局变量中,然后开一个线程,每三秒检测一次内存变化,如果变化则终止执行或弹窗提示,你也可以提前计算处校验和并写入PE空缺位置。

#include <stdio.h>

#include <windows.h>

DWORD CRC32(BYTE* ptr, DWORD Size)

{

	DWORD crcTable[256], crcTmp1;

	// 动态生成CRC-32表

	for (int i = 0; i<256; i++)

	{

		crcTmp1 = i;

		for (int j = 8; j>0; j--)

		{

			if (crcTmp1 & 1) crcTmp1 = (crcTmp1 >> 1) ^ 0xEDB88320L;

			else crcTmp1 >>= 1;

		}

		crcTable[i] = crcTmp1;

	}

	// 计算CRC32值

	DWORD crcTmp2 = 0xFFFFFFFF;

	while (Size--)

	{

		crcTmp2 = ((crcTmp2 >> 8) & 0x00FFFFFF) ^ crcTable[(crcTmp2 ^ (*ptr)) & 0xFF];

		ptr++;

	}

	return (crcTmp2 ^ 0xFFFFFFFF);

}

// 检查内存中CRC32特征值

DWORD CheckMemory()

{

	PIMAGE_DOS_HEADER pDosHeader = NULL;

	PIMAGE_NT_HEADERS pNtHeader = NULL;

	PIMAGE_SECTION_HEADER pSecHeader = NULL;

	DWORD ImageBase;

	// 获取基地址

	ImageBase = (DWORD)GetModuleHandle(NULL);

	// 定位到PE头结构

	pDosHeader = (PIMAGE_DOS_HEADER)ImageBase;

	pNtHeader = (PIMAGE_NT_HEADERS32)((DWORD)pDosHeader + pDosHeader->e_lfanew);

	pSecHeader = IMAGE_FIRST_SECTION(pNtHeader);

	DWORD va_base = ImageBase + pSecHeader->VirtualAddress;   // 定位代码节va基地址

	DWORD sec_len = pSecHeader->Misc.VirtualSize;             // 获取代码节长度

	DWORD CheckCRC32 = CRC32((BYTE*)(va_base), sec_len);

	// printf(".text节CRC32 = %x \n", CheckCRC32);

	return CheckCRC32;

}

int main(int argc,char *argv[])

{

	DWORD OriginalCRC32 = 0;

	OriginalCRC32 = CheckMemory();

	while (1)

	{

		Sleep(3000);

		DWORD NewCRC32 = CheckMemory();

		if (OriginalCRC32 == NewCRC32)

			printf("程序没有被打补丁. \n");

		else

			printf("程序被打补丁 \n");

	}

	system("pause");

	return 0;

}

上方代码是保护了整个程序,在实际应用中,为了提高效率,有时我们只需要保护其中一个片段代码就好,这样可以提高效率,所有我们对上面代码稍作修改即可实现针对特定片段的内存校验。

#include <stdio.h>

#include <windows.h>

DWORD CRC32(BYTE* ptr, DWORD Size)

{

	DWORD crcTable[256], crcTmp1;

	// 动态生成CRC-32表

	for (int i = 0; i<256; i++)

	{

		crcTmp1 = i;

		for (int j = 8; j>0; j--)

		{

			if (crcTmp1 & 1) crcTmp1 = (crcTmp1 >> 1) ^ 0xEDB88320L;

			else crcTmp1 >>= 1;

		}

		crcTable[i] = crcTmp1;

	}

	// 计算CRC32值

	DWORD crcTmp2 = 0xFFFFFFFF;

	while (Size--)

	{

		crcTmp2 = ((crcTmp2 >> 8) & 0x00FFFFFF) ^ crcTable[(crcTmp2 ^ (*ptr)) & 0xFF];

		ptr++;

	}

	return (crcTmp2 ^ 0xFFFFFFFF);

}

// 检查内存中CRC32特征值

DWORD CheckMemory(DWORD va_base, DWORD sec_len)

{

	PIMAGE_DOS_HEADER pDosHeader = NULL;

	PIMAGE_NT_HEADERS pNtHeader = NULL;

	PIMAGE_SECTION_HEADER pSecHeader = NULL;

	DWORD ImageBase;

	ImageBase = (DWORD)GetModuleHandle(NULL);

	pDosHeader = (PIMAGE_DOS_HEADER)ImageBase;

	pNtHeader = (PIMAGE_NT_HEADERS32)((DWORD)pDosHeader + pDosHeader->e_lfanew);

	DWORD CheckCRC32 = CRC32((BYTE*)(va_base), sec_len);

	return CheckCRC32;

}

int main(int argc, char *argv[])

{

	// 用于保存初始化时 .text 节中的CRC32值

	DWORD OriginalCRC32 = 0;

	DWORD begin_addr, end_addr, size;

	// 获取到两个位置的偏移地址

	__asm mov begin_addr, offset begin;

	__asm mov end_addr, offset end;

	// 计算出 两者内存差值

	size = end_addr - begin_addr;

	// 校验指定内存位置

	OriginalCRC32 = CheckMemory(begin_addr, size);

	while (1)

	{

	begin: // 标记为需要保护的区域

		printf("hello lyshark \n");

		printf("hello lyshark \n");

		printf("hello lyshark \n");

	end:   // 保护区域声明结束

		if (OriginalCRC32 == CheckMemory(begin_addr, size))

			printf("此区域没有被破解 \n");

		else

			printf("此区域已被修改\n");

		Sleep(3000);

	}

	system("pause");

	return 0;

}

通过使用磁盘校验结合内存校验两种方式综合保护,可以极大的提高软件的安全性,绕过方式则是找到哪儿跟全局变量将其修正为正确的值即可,同样的也可以更暴力一些直接将判断条件改掉均可。

C/C++ 使用CRC检测内存映像完整性的更多相关文章

  1. Android性能优化之利用LeakCanary检测内存泄漏及解决办法

    前言: 最近公司C轮融资成功了,移动团队准备扩大一下,需要招聘Android开发工程师,陆陆续续面试了几位Android应聘者,面试过程中聊到性能优化中如何避免内存泄漏问题时,很少有人全面的回答上来. ...

  2. 使用新版Android Studio检测内存泄露和性能

    内存泄露,是Android开发者最头疼的事.可能一处小小的内存泄露,都可能是毁于千里之堤的蚁穴.  怎么才能检测内存泄露呢?网上教程非常多,不过很多都是使用Eclipse检测的, 其实1.3版本以后的 ...

  3. Android DDMS检测内存泄露

    Android DDMS检测内存泄露 DDMS是Android开发包中自带工具,可以测试app性能,用于发现内存问题. 1.环境搭建 参考之前发的Android测试环境搭建相关文章,这里不再复述: 2 ...

  4. 检测内存泄露:Instruments中的Leaks

    前言 如果要检测内存泄露,我们会使用Xcode7自带的Instruments中的Leaks工具来检测. 现在的开发环境是ARC,所以很少会出现内存泄漏的情况. 不过我们一定要养好码代码的规范性. 例如 ...

  5. 使用Visual Leak Detector检测内存泄漏[转]

      1.初识Visual Leak Detector 灵活自由是C/C++语言的一大特色,而这也为C/C++程序员出了一个难题.当程序越来越复杂时,内存的管理也会变得越加复杂,稍有不慎就会出现内存问题 ...

  6. monkey检测内存泄漏

    monkey中检查内存泄漏,实际上是对一个操作多次操作后看内存情况,内存泄漏具体的原理可百度,现在我们梳理检测内存泄漏的方法: 测试前你需要安装: 1.MAT分析工具 2.使用工具事实监控内存指标,现 ...

  7. VS2005 检测内存泄漏的方法(转载)

    一.非MFC程序可以用以下方法检测内存泄露: 1.程序开始包含如下定义: #ifdef _DEBUG #define DEBUG_CLIENTBLOCK new( _CLIENT_BLOCK, __F ...

  8. Qt应用中检测内存泄露——VLD

    本文简要描述一下在Qt应用中使用VLD来检测内存泄露.本次测试环境:QtCreator2.3 + Qt4.7.4-vs2008 + VS2008 Express. 1.下载并安装:VLD-2.2: h ...

  9. Qt creator 搭配 valgrind 检测内存泄漏

    继上次重载operator new检测内存泄漏失败之后,妥协了.决定不管是否是准确指明哪一行代码出现内存泄漏,只要告诉我是否有泄漏就行了,这样就没有new替换的问题.在开发中,总是一个个小功能的开发. ...

  10. 重载operator new实现检测内存泄漏是否可行

    行与不行,就凭我这水平,说出来未免显示太过自大.不还,我还想根据自己的代码来讨论这个问题. 重载operator new来检测内存只的办法,那就是在new的时候记录指针地址及文件名.行号,在delet ...

随机推荐

  1. 干掉大小流切换 I 帧!阿里云 RTC QoS 及视频编码联合优化之切流编码

    如果要在两条分辨率不同的视频流之间切换,尽管这两条流的画面内容基本一样,但是由于两条流的参考帧不同,分辨率不同,目前所有的视频编码标准都无法做到利用帧间预测编码得到编解码匹配的结果,而帧内预测编码即 ...

  2. AtCoder ARC 115 E - LEQ and NEQ (延迟标记线段树 or 笛卡尔积 + DP维护)

    问题链接:Here 长度为 \(N\) 的数列 \(A_1,-,A_N\) .回答满足以下条件的长度 \(N\) 的数列 \(X_1,-,X_N\) 的个数除以 \(998244353\) 的余数. ...

  3. 【每日一题】10.树(DFS 序)

    补题链接:Here DFS序列 (非树形DP),这道题成功被骗... 贴一下学姐讲解: 这个题表面上看起来像是个 树上dp,但是你会发现,当xy同色的时候要求x到y的路径上所有点颜色一样这个事情非常难 ...

  4. 你想怎么使用 Serverless 函数计算?(评测赢好礼 )

    随着云计算发展,云原生热度攀升,Serverless 架构崭露头角且发展势头迅猛.不仅被更多开发者所关注,市场占有率也逐年提高.阿里云函数计算(Function Compute)是一个事件驱动的全托管 ...

  5. vue+spingboot 实现服务器端文件下载功能

    vue3 和springboot配合如何实现服务器端文件的下载. 先看springboot的后台代码: @PostMapping("/download") @ResponseBod ...

  6. Invalid options object. Sass Loader has been initialized using an options obj

    https://blog.csdn.net/liwan09/article/details/106981239

  7. kafka Linux环境搭建安装及命令创建队列生产消费消息

    本文为博主原创,未经允许不得转载: 1. 安装JDK 由于Kafka是用Scala语言开发的,运行在JVM上,因此在安装Kafka之前需要先安装JDK. yum install java‐1.8.0‐ ...

  8. spring cloud 通过feign请求设置请求头

    本文为博主原创,转载请注明出处: spring cloud 服务组件之间通过feign 的方式请求,会携带很少的基础类型的消息头参数,比如Content-Type等,但不会携带自定义或指定的请求头参数 ...

  9. Python定位错误:段错误 (核心已转储)

    技术背景 在各种编程语言中都有可能会遇到这样一个报错:"段错误 (核心已转储)".显然是编写代码的过程中有哪里出现了问题,但是这个报错除了这几个字以外没有任何的信息,我们甚至不知道 ...

  10. 03-点亮LED灯

    1.FPGA设计流程 1.设计规划 对项目需求了解,划分子功能模块,子功能模块的输入输出信号及通信关系 2.波形绘制 了解子模块的功能,画出框图,搞清楚如何通过输入信号得到输出信号,进而绘制波形图 3 ...