逆向-自校验绕过-2

最新推荐文章于 2026-01-31 08:16:32 发布
原创 最新推荐文章于 2026-01-31 08:16:32 发布 · 568 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

上一种自校验校验的目的是为了防止程序被脱壳

但是程序在未脱壳的前提下也存在被破解的可能

所以这种自校验的目的是校验是否存在使用OD等直接修改程序数据的行为存在

该校验方式被称为重启自校验。

即在运行中先将正确的注册码等数据存储在文件或是注册表项等地方

等到重启时,将上次输入的注册码与正确的注册码进行比对,只有比对成功才能永久解锁。

 

 

 

所以,破解该类型程序的重点在于在程序刚重启时,在判断注册码之前修改部分代码,以达到完全破解的目标

所以我们要对GetStartupInfoA()函数下断点

该函数是初始化函数,会断在程序运行之前,该校验方式就会停到从注册表项中取内容的那一步上

然后F8向下隔不久之后就能够看见关键call,和test 或者是cmp之类的判断内容

至此,修改标志位或读取真注册表项即可得到软件使用权限。

程序自效验去除经典教程集
12-01
程序载入OD   下断bp CreateFileA,F9运行   OD中断,ALT+F9执行到用户代码      下面就是F8单步跟踪了      程序在0048EE23处出现对话框,很明显,在0048EDF9处的跳转就是关键跳了   直接将0048EDF9  /7E 38        jle short dumped_.0048EE33   改成0048EDF9  /7E 38         jmp dumped_.0048EE33   保存下,运行成功   把脱好的程序载入ResScope,发现有非标准资源结构,那就用Fix Resource修正下资源,再次再入ResScope,这次可以修改资源了,但是问题又来了。。。   打开修正好的程序程序只是一闪而过就自动关闭了,看来还有校验,继续操起OD,再次载入程序   下断bp CreateFileA,F9运行   OD中断,ALT+F9执行到用户代码,继续F8单步走      0048EE5F出OD就会跑飞了,显然0048EE5D处的跳转又是关键跳啦,   把0048EE5D  /74 05        je short 1.0048EE64   改成0048EE5D  /74 05        jmp 1.0048EE64   就OK了,保存,运行一切正常   现在程序太大,我们再用CxLrb大侠汉化的Resource Binder V2.6处理一下!   挖塞,程序一下从154M缩小到1.13 MB,这样的结果还是让人满意的   但是一运行,程序又是一闪而过,还有校验,OK,继续   OD载入程序,这次可能会比较卡   下断bp CreateFileA,F9运行   OD中断,ALT+F9执行到用户代码,继续F8单步走      0048EE3F处OD跑飞,也很明显了0048EE3D处就是关键跳啦,   把0048EE3D  . /74 05       je short 2.0048EE44   改成0048EE3D  . /74 05       jmp 2.0048EE44   保存,运行成功,感觉048EE4A处的跳转应该也是个校验吧,只是没用到,程序处理到这里就差不多了,有是不妥之处还望大侠们指点!
易语言程序自身自校验源码
07-24
易语言自校验模块源码.编译成模块后.在易语言中调用. 编译程序后.第一次程序运行时将生成一个带自检验的程序. 如果生成的程序被修改时会被程序检测到.也可以在代码里进行判断.
简单去除exe自校验方式
weixin_30664539的博客
10-20 793
简单去除exe自校验方式 一、 自校验定义: 这些程序会检查自己有没有被修改,如果发现被修改的话,便会离开或进行其它动作。基本的校检方法包括 checksum, 检查大小, 检查跳转代码,等等。 对于我们而言,如果脱壳后的程序运行起来跟脱壳前的程序运行起来不一样,基本上就可以断定为程序增加了自校验机制 二、 自校验示例: ...
X86逆向练习5:破解程序的自效验
weixin_30764137的博客
07-10 714
在软件的破解过程中,经常会遇到程序的自效验问题,什么是自效验?当文件大小发生变化,或者MD5特征变化的时候就会触发自效验暗装,有些暗装是直接退出,而有些则是格盘蓝屏等,所以在调试这样的程序的时候尽量在虚拟机里面进行吧。 这里作者编写了一个文件自效验的例子,并且使用UPX进行了加壳处理,这个CM程序,如果不脱壳的情况下是可以正常执行的,但只要一脱壳程序就废了,这也是大多数程序作者惯用的反破解...
(PYG)学习去除软件自效验
diheqiu3577的博客
05-29 384
一。目标   (1)文件自效验的去除   (2)去除退出函数    (3) 开网页的去除   (4) 多开限制的去除   (5)自删除是如何实现的 二、 实践 (软件名:svcSetup) 1.首先安装软件后进行查壳 查壳后发现是UPX压缩壳 2、载入OD 用ESP定律法进行脱壳,或者使用UPX脱壳机脱壳,这里百度教程一大堆,不在过多赘述...
逆向-自校验绕过-1
VRMEI的博客
04-19 487
对于有些程序,如果脱壳后运行时无效,则应该考虑是否存在程序自校验。 比较常用的自校验技巧是用GetFileSize()函数对文件的前后大小做比较。 因为脱壳后一般文件大小会比脱壳前的大很多。 所以通过GetFileSize API 的对文件大小的取值进行判断,可以判断文件是否被脱壳。 如果被脱壳,则直接退出程序。 即出现无法打开程序的情况。 所以在这种情况下,我们需要对GetFile...
逆向破解——程序去除自校验
weixin_30856725的博客
06-22 1381
逆向破解——程序自校验方法 自校验 意思是这些程序会检查自己有没有被修改,如果发现被修改的话,便会离开或进行其它动作。基本的校检方法包括 checksum, 检查大小, 检查跳转代码,等等。 什么情况下考虑自校验 当一个程序脱壳前可以正常运行,脱壳以后不能运行,修复以后也不行,程序不能运行或者闪退、弹窗提示错误等,我们就要考虑是不是因为程序自校验了。 自校验破解思路 将脱壳前和脱壳后的程序分别...
逆向工程中的自校验机制与绕过技巧
最新发布
weixin_29323551的博客
01-31 720
本文深入探讨逆向工程中的自校验机制与绕过技巧,重点分析静态校验、动态校验和混合校验的原理及实现方法。通过x64dbg等工具实战演示vbsedit的自校验绕过,详细介绍内存补丁技术及其在逆向工程中的应用,为安全研究人员提供实用解决方案。
逆向新手实战:VBSEdit 9自校验绕过与DLL劫持补丁技术解析
weixin_29324877的博客
01-28 596
本文详细解析了VBSEdit 9自校验机制的绕过与DLL劫持补丁技术,适合逆向新手学习。通过x64dbg调试工具分析关键调用点,采用内存补丁和version.dll注入技术实现破解,解决了程序闪退和功能失效问题。文章还提供了常见问题排查与优化建议,帮助读者掌握逆向工程实战技巧。
逆向中如何判断JSVMP,及如何解决?(包括实战案例)
数据知道的博客
03-29 1万+
是一种高级的 JavaScript 代码保护技术,通过将原始代码转换为自定义字节码并在虚拟环境中执行来实现混淆。在逆向工程中,判断目标代码是否采用JSVMP并找到解决方案,需要系统化的分析思路和技术手段。
171002 逆向-Reversing.kr(AutoHotKey)
whklhhhh的博客
10-02 1268
1625-5 王子昂 总结《2017年10月2日》 【连续第367天总结】 A. Reversing.kr-AutoHotKey B.AutoHotKey解压出来一个ReadMe一个exe 这次的ReadMe终于看懂了,要求找到两个md5,解密后以空格连接作为flag 那么这两个md5会以什么形式出现呢……查壳显示UPX,乖乖用工具脱掉后再运行提示“Exe corrupted” 未脱壳的
(8)去除自校验
eldn__的专栏
10-03 3513
今天我们就掌握一下怎么去除自校验,软件是一个网吧注册工具,看了下只要修改一处自校验就可以让程序正常运行,所以拿出来做实例,有些厉害的自校验强度又大而且有多重不同自校验,以前有个一个crackme,居然有10处自校验,够变态的。 一: 实例问题解决之去除自校验(文件大小自校验)(实现未实现的跳) 看操作吧。 当然进行下面的而操作前提是你的先脱壳并修复,运行后没反应。 1. 对比法。
绕过HS保护的CRC校验
02-25
之前写一款游戏辅助研究了下原理 不同版本的HS原理大致相同 编译的时候可能需要更新一下基址
校验EXE文件防止软件被破解
liumyong的专栏
01-25 4484
软件凝聚的开发者的心血,几乎每个好用的共享软件都被破解过,保护软件免遭破解,是每个软件作者的心愿。无论你限制软件的使用次数还是天数,破解者只需要用反编译软件,直接把exe文件中的次数限制修改成无限,或修改跳转指令,使注册码码无效。如何保护自己的软件免遭破解呢?程序运行时自我校验是比较好的办法。一、原理如下:软件开发者要有两个可执行文件,一
程序自校验方法
weixin_43916678的博客
08-05 2009
什么是自校验: 意思是这些程序会检查自己有没有被修改,如果发现被修改的话,便会离开或进行其它动作。基本的校检方法包括 checksum, 检查大小, 检查跳转代码,等等。 什么情况下考虑自校验: 当一个程序脱壳前可以正常运行,脱壳以后不能运行,修复以后也不行,程序不能运行或者闪退、弹窗提示错误等,我们就要考虑是不是因为程序自校验了。 自校验破解思路: 将脱壳前和脱壳后的程序分别单步运行,对比找出...
shark恒破解笔记2-绕过自校验
weixin_30254435的博客
04-17 250
这集讲的是绕过自校验主要是通过文件大小的自校验 首先查壳 有壳 可以用esp定律搞定 OD载入 右键od脱裤壳调试进程 可以看到一些信息包括入口点252F0修正后地址为252F0 loadPE打开修正镜像大小 修正以后再完整转存 然后用REC进行函数的修复,这里RE...
关于程序自校验的一些分析
m0_37120576的博客
05-01 2680
当我们脱完壳后发现,程序提示被非法修改,我们知道它是有自校验的。在平时工作中,我们脱完壳修复完毕而且如果有附加数据加上附加数据之后,如果还是没法将程序跑起来,那么我们在保证没有找错OEP的前提下,就需要考虑程序设置了自校验。对于程序存在的自校验,我们可以打开我们脱壳后的程序和未脱壳的程序进行对比,先将未脱壳的程序操作找到真正的OEP,然后开始同步F8对比,看它们的跳转是怎么进行的。 下面是一个程
签名校验破解过程
JiaoMaGe的博客
11-12 1万+
签名校验破解过程 一、前提说明 我们知道Android中的每个应用都是有一个唯一的签名,如果一个应用没有被签名是不允许安装到设备中的,一般我们在运行debug程序的时候也是有默认的签名文件的,只是IDE帮我们做了签名工作,一般在应用发版的时候会用唯一的签名文件进行签名,那么我们在以往的破解中可以看到,我们有时候需要在反编译应用之后,然后从新签名在打包运行,这个又给了很多二次打包团队谋取利益的一种手...
Android逆向绕过卡密实例
热门推荐
weixin_43811041的博客
01-21 4万+
前言 因为疫情的缘故上学期在学校出校门需要用到请假软件,(虽然还是想吐槽一下,但还是算了吧)随之也就出现了各种假 假条软件,有部分需要收费。秉承能白嫖坚决不掏钱的原则,别问为什么,问就是穷。正好现在放假闲来无事就对其逆向分析,本人也是菜鸡一枚,仅仅来分享下逆向过程跟经验,大佬看看就好,如若能给点方向给点建议,那再好不过。(手动狗头)本篇文章只是来说一说我这个小白的逆向入门之路,仅用来学习交流之用!!!!帮助那些和我类似的小伙伴理解逆向,欢迎有此爱好的小伙伴交流、互相学习。废话不多说,进入正题: (PS:文中
X86逆向教程5:破解程序的自效验
weixin_30265103的博客
07-10 778
在软件的破解过程中,经常会遇到程序的自效验问题,什么是自效验?当文件大小发生变化,或者MD5特征变化的时候就会触发自效验暗装,有些暗装是直接退出,而有些则是格盘蓝屏等,所以在调试这样的程序的时候尽量在虚拟机里面进行吧。 这里作者编写了一个文件自效验的例子,并且使用UPX进行了加壳处理,这个CM程序,如果不脱壳的情况下是可以正常执行的,但只要一脱壳程序就废了,这也是大多数程序作者惯用的反破解手法,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值