2. 程式人生 > 實用技巧 >C/C++ 使用 CRC32 檢測記憶體映像完整性

C/C++ 使用 CRC32 檢測記憶體映像完整性

阿新 發佈:2020-09-12

前面的那一篇文章中所使用的技術只能有效抵抗解密者直接修改硬碟檔案,當我們使用動態補丁的時候,那麼記憶體中同樣不存在校驗效果,也就無法抵禦對方動態修改機器碼了,為了防止解密者直接對記憶體打補丁,我們需要在硬碟校驗的基礎上,增加記憶體校驗,防止動態補丁的運用。

僅對.text程式碼段進行校驗:

通常程式中至少包括了程式碼段,資料段,而資料段中所儲存的資料是經常會發生變動的,例如我們的全域性變數,靜態變數等都會預設儲存在資料段,而程式碼段則不會發生變化,我們在檢驗時只需要注重.text記憶體段中的資料完整性即可,針對記憶體的校驗同樣可以抵禦偵錯程式的CC斷點,該斷點原理就是在下端處寫入int3指令,同樣可以檢測得到。

校驗思路如下
1.首先從記憶體得到PE的程式碼節的RVA和節大小
2.根據得到的RVA和節大小計算出crc32或是RC4值
3.讀取自身儲存的原始CRC32值,與校驗結果進行比較

1.先來實現第一步,讀取記憶體映像的起始地址與大小,我們可以這樣做。

#include <stdio.h>
#include <windows.h>

int main(int argc, char *argv[])
{
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNtHeader = NULL;
	PIMAGE_SECTION_HEADER pSecHeader = NULL;
	DWORD ImageBase;

	// 獲取基地址
	ImageBase = (DWORD)GetModuleHandle(NULL);

	// 定位到PE頭結構
	pDosHeader = (PIMAGE_DOS_HEADER)ImageBase;

	// 定位到NT頭
	pNtHeader = (PIMAGE_NT_HEADERS32)((DWORD)pDosHeader + pDosHeader->e_lfanew);

	// 定位第一個區塊地址,因為預設的話第一個就是.text節
	pSecHeader = IMAGE_FIRST_SECTION(pNtHeader);

	// 取出節內偏移與節表長度
	DWORD va_base = ImageBase + pSecHeader->VirtualAddress;   // 定位程式碼節va基地址
	DWORD sec_len = pSecHeader->Misc.VirtualSize;             // 獲取程式碼節長度
	
	printf("映象基址(.text): %x --> 映象大小: %x \n", va_base, sec_len);

	system("pause");
	return 0;
}

2.第二部就是計算校驗和,然後計算該節的CRC32值,並存入全域性變數,也就是程式開啟後自動初始化計算一次記憶體crc32值並放入全域性變數中,然後開一個執行緒,每三秒檢測一次記憶體變化,如果變化則終止執行或彈窗提示,你也可以提前計算處校驗和並寫入PE空缺位置。

#include <stdio.h>
#include <windows.h>

DWORD CRC32(BYTE* ptr, DWORD Size)
{
	DWORD crcTable[256], crcTmp1;

	// 動態生成CRC-32表
	for (int i = 0; i<256; i++)
	{
		crcTmp1 = i;
		for (int j = 8; j>0; j--)
		{
			if (crcTmp1 & 1) crcTmp1 = (crcTmp1 >> 1) ^ 0xEDB88320L;
			else crcTmp1 >>= 1;
		}
		crcTable[i] = crcTmp1;
	}
	// 計算CRC32值
	DWORD crcTmp2 = 0xFFFFFFFF;
	while (Size--)
	{
		crcTmp2 = ((crcTmp2 >> 8) & 0x00FFFFFF) ^ crcTable[(crcTmp2 ^ (*ptr)) & 0xFF];
		ptr++;
	}
	return (crcTmp2 ^ 0xFFFFFFFF);
}

// 檢查記憶體中CRC32特徵值
DWORD CheckMemory()
{
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNtHeader = NULL;
	PIMAGE_SECTION_HEADER pSecHeader = NULL;
	DWORD ImageBase;

	// 獲取基地址
	ImageBase = (DWORD)GetModuleHandle(NULL);

	// 定位到PE頭結構
	pDosHeader = (PIMAGE_DOS_HEADER)ImageBase;
	pNtHeader = (PIMAGE_NT_HEADERS32)((DWORD)pDosHeader + pDosHeader->e_lfanew);

	// 定位第一個區塊地址,因為預設的話第一個就是.text節
	pSecHeader = IMAGE_FIRST_SECTION(pNtHeader);
	DWORD va_base = ImageBase + pSecHeader->VirtualAddress;   // 定位程式碼節va基地址
	DWORD sec_len = pSecHeader->Misc.VirtualSize;             // 獲取程式碼節長度
	//printf("映象基址(.text): %x --> 映象大小: %x \n", va_base, sec_len);

	DWORD CheckCRC32 = CRC32((BYTE*)(va_base), sec_len);
	// printf(".text節CRC32 = %x \n", CheckCRC32);
	return CheckCRC32;
}

int main(int argc,char *argv[])
{
	// 用於儲存初始化時 .text 節中的CRC32值
	DWORD OriginalCRC32 = 0;

	// 初始化時,給全域性變數賦值,記錄下初始的CRC32值
	OriginalCRC32 = CheckMemory();

	while (1)
	{
		Sleep(3000);
		DWORD NewCRC32 = CheckMemory();
		if (OriginalCRC32 == NewCRC32)
			printf("程式沒有被打補丁. \n");
		else
			printf("程式被打補丁 \n");
	}

	system("pause");
	return 0;
}

上方程式碼是保護了整個程式,在實際應用中,為了提高效率,有時我們只需要保護其中一個片段程式碼就好,這樣可以提高效率,所有我們對上面程式碼稍作修改即可實現針對特定片段的記憶體校驗。

#include <stdio.h>
#include <windows.h>

DWORD CRC32(BYTE* ptr, DWORD Size)
{
	DWORD crcTable[256], crcTmp1;

	// 動態生成CRC-32表
	for (int i = 0; i<256; i++)
	{
		crcTmp1 = i;
		for (int j = 8; j>0; j--)
		{
			if (crcTmp1 & 1) crcTmp1 = (crcTmp1 >> 1) ^ 0xEDB88320L;
			else crcTmp1 >>= 1;
		}
		crcTable[i] = crcTmp1;
	}
	// 計算CRC32值
	DWORD crcTmp2 = 0xFFFFFFFF;
	while (Size--)
	{
		crcTmp2 = ((crcTmp2 >> 8) & 0x00FFFFFF) ^ crcTable[(crcTmp2 ^ (*ptr)) & 0xFF];
		ptr++;
	}
	return (crcTmp2 ^ 0xFFFFFFFF);
}

// 檢查記憶體中CRC32特徵值
DWORD CheckMemory(DWORD va_base, DWORD sec_len)
{
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNtHeader = NULL;
	PIMAGE_SECTION_HEADER pSecHeader = NULL;
	DWORD ImageBase;
	ImageBase = (DWORD)GetModuleHandle(NULL);
	pDosHeader = (PIMAGE_DOS_HEADER)ImageBase;
	pNtHeader = (PIMAGE_NT_HEADERS32)((DWORD)pDosHeader + pDosHeader->e_lfanew);

	// 以下三條語句可用於確定位置
	// pSecHeader = IMAGE_FIRST_SECTION(pNtHeader);
	// DWORD va_base1 = ImageBase + pSecHeader->VirtualAddress;   // 定位程式碼節va基地址
	// DWORD sec_len1 = pSecHeader->Misc.VirtualSize;             // 獲取程式碼節長度
	// printf("映象基址(.text): %x --> 映象大小: %x \n", va_base1, sec_len1);

	DWORD CheckCRC32 = CRC32((BYTE*)(va_base), sec_len);
	return CheckCRC32;
}

int main(int argc, char *argv[])
{
	// 用於儲存初始化時 .text 節中的CRC32值
	DWORD OriginalCRC32 = 0;

	DWORD begin_addr, end_addr, size;
	// 獲取到兩個位置的偏移地址
	__asm mov begin_addr, offset begin;
	__asm mov end_addr, offset end;

	// 計算出 兩者記憶體差值
	size = end_addr - begin_addr;

	// 校驗指定記憶體位置
	OriginalCRC32 = CheckMemory(begin_addr, size);

	while (1)
	{
	begin: // 標記為需要保護的區域
		printf("hello lyshark \n");
		printf("hello lyshark \n");
		printf("hello lyshark \n");
	end:   // 保護區域宣告結束

		if (OriginalCRC32 == CheckMemory(begin_addr, size))
			printf("此區域沒有被破解 \n");
		else
			printf("此區域已被修改\n");

		Sleep(3000);
	}
	system("pause");
	return 0;
}

通過使用磁碟校驗結合記憶體校驗兩種方式綜合保護,可以極大的提高軟體的安全性,繞過方式則是找到哪兒跟全域性變數將其修正為正確的值即可,同樣的也可以更暴力一些直接將判斷條件改掉均可。

相關推薦

C/C++ 使用 CRC32 檢測記憶體完整性

前面的那一篇文章中所使用的技術只能有效抵抗解密者直接修改硬碟檔案,當我們使用動態補丁的時候,那麼記憶體中同樣不存在校驗效果,也就無法抵禦對方動態修改機器碼了,為了防止解密者直接對記憶體打補丁,我們需要

C/C++ 使用 CRC32 對磁碟檔案完整性檢測

當軟體被開發出來時,為了增加軟體的安全性,防止被破解,通常情況下都會對自身記憶體或磁碟檔案進行完整性檢查,以防止解密者修改程式,我們可以將exe與dll檔案同時做校驗,來達到相互認證的目的,解密者想要破解則

C/C++記憶體洩漏及檢測

轉載:https://www.cnblogs.com/skynet/archive/2011/02/20/1959162.html 1、記憶體洩漏簡介及後果

使用Valgrind工具進行C/C++記憶體洩漏檢測

Valgrind memcheck是用於構建動態分析工具的探測框架。它包括一個工具集,每個工具執行某種型別的除錯、分析或類似的任務,以幫助完善你的程式。Valgrind的架構是模組化的,所以可以容易地建立新的工具而又不會擾亂

c/c++動態檢測記憶體錯誤利器 - ASan(轉)

https://www.extutorial.com/blog/391954 c/c++動態檢測記憶體錯誤利器 - ASan 由Existence提交於週四, 04/15/2021 - 21:44

C/C++中的記憶體管理小結

前言 我們最初熟知的記憶體開闢方式: int val = 20: 在棧空間上開闢4個位元組

C/C++程式語言製作《遊戲記憶體外掛》

通過C/C++程式語言編寫一個簡單的外掛,通過 API 函式修改遊戲資料,從而實現作弊功能

技術乾貨丨通過wrap malloc定位C/C++的記憶體洩漏問題

摘要:用C/C++開發的程式執行效率很高,但卻經常受到記憶體洩漏的困擾。本文提供一種通過wrap malloc查詢memory leak的思路。

C++面向物件基礎--記憶體分割槽模型

C++程式在執行時,將記憶體大方向劃分為4個區域: 程式碼區:存放函式體的二進位制程式碼,由作業系統進行管理的全域性區:存放全域性變數和靜態變數以及常量棧區:由編譯器自動分配釋放, 存放函式的引數值,區域性變

C++製作《遊戲記憶體外掛》詳解

通過C/C++程式語言編寫一個簡單的外掛,通過 API 函式修改遊戲資料,從而實現作弊功能

VS Code C/C++環境配置教程(無法開啟原始檔“xxxxxx.h” 或者 檢測到 #include 錯誤,請更新includePath) (POSIX API)

一、問題描述與分析 編輯C/C++程式,我推薦使用C/C++,VS Code相對於別的編譯器來說有很多的優勢。但是如果第一次使用的話,會覺得其不好用。因為如果不配置好的話,操作會比較麻煩。

C語言 實現一個記憶體拷貝函式

#include <iostream> #include <cstring> using namespace std; void *Memory_Copy(void *to,const void *from,size_t length)//把b拷貝到a 拷貝sizeof(b)個

[C/C++知識點] 記憶體對齊機制

一、引言首先看一個例子,現在有一個結構體如下: typedef struct { char a;// a佔1個位元組

C++】 類的記憶體對齊、虛擬函式表

本文分為以下幾個部分內容: 什麼是記憶體對齊,為什麼要記憶體對齊 C++的空類,以及沒有虛擬函式和非靜態變數的類

《0bug-C/C++商用工程之道》節選01--記憶體棧-1

7.2 記憶體池的核心邏輯—記憶體棧 在記憶體池中,首先要有一個記憶體塊管理的核心模組,來負責所有記憶體塊的申請、分發、回收和釋放工作,經過設計,筆者是使用“棧”來完成的這個模組,因此,筆者將其

用 Span 對 C# 程序中三大記憶體區域進行統一訪問 ,太厲害了!

一:背景 1. 講故事 前段時間寫了幾篇 C# 漫文,評論留言中有很多朋友多次提到 Span,週末抽空看了下,確實是一個非常

CC++的互相呼叫!就大學宿舍一樣,我用你的,你用我的!

    注意,本文的前提是,c程式碼採用gcc等c語言編譯器編譯c程式碼,採用g++等c++編譯器編譯c++程式碼,如果cc++程式碼統一使用g++編譯,大部分情況是可以實現兩者程式碼相互呼叫的。

C/C++的記憶體對齊

所謂記憶體對齊,是為了讓記憶體存取更有效率而採用的一種編譯階段優化記憶體存取的手段。

C語言中的記憶體管理

技術標籤:# C++ malloc 理論 在執行時分配記憶體的最簡單標準庫函式叫做malloc。

C++】vector的記憶體處理

技術標籤:c++演算法資料結構python人工智慧 先上結論,對vector的記憶體處理需要兩步: