矛与盾的较量(3)——CRC实践篇

下载本节例子程序 (13.4 KB)

(特别感谢汇编高手 dREAMtHEATER 对我的代码作出了相当好的优化!请参观他的主页

上一节里我们介绍了CRC-32的实现原理,可是原理不能当饭吃吧?下面让我们来看看CRC是怎么应用到文件保护上的……

(由于本文涉及到的源代码比较多,so请各位读者自行下载代码进行分析)

在《原理篇》里面,我们已经知道,通过对一个字符串进行CRC-32转换,最后可以得到一个4个字节长的CRC-32值,而且无论该字符串有多长,最终生成的CRC-32值都肯定是4个字节长。这就给了我们一个启示:是否能够在一个文件的某个地方储存这个CRC-32值,然后在文件运行的时候,再读取这个CRC-32值,进行比较?

答案是肯定的。让我们先来看看PE文件的结构:(什么?你不懂PE文件结构?!那……先去找点资料看看吧,到处都有的哦)

在PE的可选映像头(IMAGE_OPTIONAL_HEADER)里面,有一个保留字段:Win32Version,根据MSDN的资料,它的值一般是0,而且它的长度是4个DWORD。呵呵,你是不是已经想到什么了呢?对了,它的长度和我们要储存的CRC-32正好是相等的,而且它的值是不变的,一般是0(别问我为什么啊,我也不知道)。这就给我们提供了一个储存CRC-32空间的可能,而实际上,有很多Win32病毒也是利用这个Win32Verion保留字段来储存它们的感染标志的。

好了,明确了目标,我们来看看具体应该怎么实现:

1、先写一个第三方的程序,我假设它叫“AddCRC32ToFile.exe”。我们可以利用这个程序,打开一个文件,假设这个文件叫做“CRC32_Test.exe”,然后“AddCRC32ToFile.exe”就会计算出“CRC32_Test.exe”的CRC-32值,并把这个CRC-32值写入“CRC32_Test.exe”的Win32Version处。(其实这步要到最后才做的)

2、写好需要进行保护的程序,在这里我假设它叫做“CRC32_Test.exe”,记住一定要在这个程序里面加入CRC-32的校验模块。这个校验模块的工作过程是这样的:a、先读取自身文件的所有内容,储存在一个字符串中,然后把这个字符串的Win32Version处的4个字节改成4个0,再把字符串进行CRC-32转换,这时我们就得到了一个“原始”文件的CRC-32值;b、读取自身文件的Win32Version处的值,这个值是我们通过“AddCRC32ToFile.exe”写进去的。最后我们把步骤a和b中得到的两个CRC-32值进行比较,如果相等的话,说明文件没有被修改过;反之就说明文件已经被修改了。

很复杂是吧?其实好好想一想,没啥困难的。关键是要按照以下步骤进行:

1、一定要先在“CRC32_Test.exe”里面写好所有的模块,然后才用“AddCRC32ToFile.exe”把“CRC32_Test.exe”的CRC-32值写入“CRC32_Test.exe”的Win32Version处,否则最后得到的结果肯定是不正确的。顺序一定不能搞错!!!

2、今后一旦修改了“CRC32_Test.exe”的内容(比如重新编译了一次),就一定要再用“AddCRC32ToFile.exe”重新把CRC-32值写入“CRC32_Test.exe”中去,否则结果也是会不正确的。

其实方案不止这一种,还有以下的几种是可行的:
1、把CRC-32的值写入一个单独的DLL文件中(或者别的什么乱七八糟的地方,随你的便),然后在运行的时候读取DLL文件中储存好的CRC-32值,进行比较。
2、把CRC-32的值追加到.exe文件的最后,在运行的时候读取这最后的4个字节的内容,进行比较。不过我觉得这样做不太好,呵呵,因为增加了文件的长度。
……

我的方案的缺点分析:
CRC-32的值其实可以由Cracker自行计算得出后,重新写入到Win32Version处。这样的话,我们做的工作岂不是没有意义了?
其实解决的方法还是有的,我们可以在计算CRC-32值之前,对需要进行转换的字符串加点手脚,例如对这个字符串进行移位、xor等操作,或者把自己的生日等信息加入到字符串中,随你的便什么都行,总之不是单纯的文件的内容就行了,然后在最后比较的时候,也用同样的方法反计算出CRC-32值。这样得到的CRC-32就不是由文件的内容计算出来的,相信对Cracker的阻力也会加大不少。

总结:
应用CRC原理到文件的自校验保护中,是一种很灵活的手段,可用的方法有很多种。本文只是抛砖引玉,希望高手能给出更好的解决方法,并请发信到lcother@163.net,我们共同研究,多谢!!!

老罗
2002-9-8