12558网页游戏私服论坛

 找回密码
 立即注册
游戏开服表 申请开服
游戏名称 游戏描述 开服状态 游戏福利 运营商 游戏链接
攻城掠地-仿官 全新玩法,觉醒武将,觉醒技能 每周新区 经典复古版本,长久稳定 进入游戏
巅峰新版攻 攻城掠地公益服 攻城掠地SF 新兵种、新武将(兵种) 进入游戏
攻城掠地公 散人玩家的天堂 新开 进入游戏
改版攻城掠 上线即可国战PK 稳定新区 全新改版,功能强大 进入游戏
少年江山 高福利高爆率 刚开一秒 江湖水落潜蛟龙 进入游戏
太古封魔录 开服送10亿钻石 福利多多 不用充钱也可升级 进入游戏
神魔之道 签到送元宝 稳定开新区 送豪华签到奖励 进入游戏
神奇三国 统帅三军,招揽名将 免费玩新区 激情国战,征战四方 进入游戏
龙符 三日豪礼领到爽 天天开新区 助你征战无双 进入游戏
王者之师 免费领豪华奖励 免费玩新区 6元送6888元宝 进入游戏
三国霸业 战车-珍宝-觉醒-攻城掠地SF-全新玩法 免费玩新区 攻城掠地私服 进入游戏
手游私服盒子 各类免费游戏 0.1折送海量资源 各类手游私服 进入游戏
皇家MU2 《奇迹 2:传奇》韩国网禅公司《奇迹》正统续作。 3D锁视角Mmrpg 暗黑3+传奇+流放之路+奇迹 进入游戏
查看: 349|回复: 0

CRC检测的实现与对抗

[复制链接]

3782

主题

3782

帖子

214748万

积分

超级版主

Rank: 8Rank: 8

积分
2147483647
发表于 2020-7-22 10:18:47 | 显示全部楼层 |阅读模式
一直听说CRC可以校验代码是否被修改,近来研究了一下。
CRC的优点是代码量小,容易理解,在动态校验上应用比较广泛。
代码量确实是小,没弊端,但是看网上的资料我理解起来,还真有点费劲,下面详细讲一下。
1.CRC算法原理
数据发送过程:
多项式转化为二进制数,这个2进制数作为除数。
CRC校验码的位数=上面计算除数的位数-1
校验码的位数是多少,就把需要校验的数据左移多少位,得到的就是被除数
被除数 模二除 除数 = 商+余数
余数就是我们需要的CRC校验码
数据吸收过程:0
多项式转化为二进制数,这个2进制数作为除数。
吸收到的数据和CRC码拼接起来,作为被除数
除数确定了,被除数也确定了,接下来再次使用“模2除法”校验
结果为0,则担当的数据正确,结果不为0吸收的数据不正确
还是不懂,很好,再翻译一遍
多项式就是一个指定的数值,用我们需要校验的数据模二除这个多项式的数值,得到的余数就是CRC校验码。
这样好理解很多了吧,模二除法想了解的话可以网上搜一下,大家动动手,我就懒一下了。2.CRC算法实现

首先生成CRC校验码,我们这里按字节计算CRC,不考虑网上的按位计算(都64位系统了,不差一张表的内存)
先写个函数生成一张字节CRC校验码的表,由于每个字节从00-FF有256个组合,所以每个字节有256种不同的校验码。
[C] 纯文本查看 复制代码VOID GenerateByteCrc(){    unsigned int crc = 0;    int i=0,j=0;    for (j = 0; j < 256; j++)                       //一个byte有256种不同的值,计算全部可能值的crc码    {                             crc = j;        for (i = 0; i < 8; i = i++)                 //这个for循环生成crc码        {               if (crc & 1)                crc = (crc >> 1) ^ 0xEDB88320;             //根据多项式生成的除数            else                crc >>= 1;        }        crc_byte[j] = crc;                          //对应整型数值的crc码保存在该数组中    }    crc_byte_being = 1;        //通过这个值判定是否生成了这个表}
有了校验表,就可以对数据进行校验,再写一个校验的函数:
[C] 纯文本查看 复制代码DWORD GenerateDataCrc(char* data, int len)    //data是校验数据的起始地址,len是校验数据的长度{    unsigned int crc = 0xFFFFFFFF;    unsigned int i;    for (i = 0; i < len; i++)    {        crc = crc_byte[(crc ^ data) & 0xFF] ^ (crc >> 8);    }    crc = ~crc;    printf(&quot;当前代码段数据CRC校验码为0x%x &quot;, crc);    return crc;}
起始看懂原理,再看这份实现的代码也有点晦涩,代码是借鉴加密与解密书中简化的代码,如果纯按照原理来实现的话,代码另有有点繁琐的。
至此功能根本实现,写一个程序使用CRC校验自身是否被修改。
[C] 纯文本查看 复制代码int main(){    char* data=0x00401000;        //这里是该程序代码段的起始地址    int len = 0x0e6c;        //这里是该程序代码段的长度     if (!crc_byte_being)        GenerateByteCrc();    DWORD OriginalCrcCode = GenerateDataCrc(data, len);     while (1)    {        DWORD CurrentCrcCode = GenerateDataCrc(data, len);        if (OriginalCrcCode != CurrentCrcCode)        {            printf(&quot;\n------程序已经被修改,准备退出-----\n&quot;);            getchar();            return 0;        }        printf(&quot;程序正常运行\n&quot;);        Sleep(2000);    }    return 0;}
看一下代码段的虚拟地址偏移和巨细,虚拟地址偏移加上映像基址就是data的值,巨细就是len的值。


程序正常实行如下:


3.过掉CRC检测
使用OD打开程序,F9跑起来:



我们可以在代码段随便修改一条指令,看到效果:程序已经检测到代码被修改。




好,现在我们试着过掉检测,由于CRC会不停的读取要验证的代码,所以我们可以使用CE查看是哪些代码在读取我们的程序。CE附加进程后,先手动添加一条代码段的地址,这里我就添加了代码段的起始地址,然后查看什么访问了该地址。



在OD中看一下这个地址,CE也可以看,不过用OD更直观。
这段代码就是我们计算CRC的代码,esi中保存了末了计算出的CRC码,传给eax作为函数的返回值。



在这个函数中下个软件断点,由于软件断点会修改当前地址的指令为int 3,所以程序正常实行肯定会退出,我们单步跟着程序走,找到判定的代码



很快遇到一个跳转, 这个就很明显了,nop掉就可以了,固然绕过的方法另有很多,就不一一枚举了。
4.CRC校验改进
经过上述过程,发现CRC检测程序很容易被发现,被发现就会被干掉。
如果创建一个线程专门用来CRC检测呢,通过内存访问断点还是会被定位到检测代码。
如果双层CRC嵌套检测呢,两处代码还是会访问被检测的地址,所以还是会被定位。
如果通过另一个进程来检测被保护进程呢?果断写份代码试一试。
[C] 纯文本查看 复制代码int main(){SIZE_T* Real_len;char* process_name = &quot;CRC-verify.exe&quot;;char* buff; VirtualAlloc(&buff, 0x0e6c, MEM_RESERVE, PAGE_READWRITE);int Pid = ProcesstoPid(process_name);printf(&quot;%d\n&quot;, Pid);HANDLE hprocess = OpenProcess(PROCESS_ALL_ACCESS, NULL, (DWORD)Pid);if (!hprocess)        //进程被od打开时,这里OpenProcess会返回0{printf(&quot;进程打开失败&quot;);return 0;}ReadProcessMemory(hprocess, 0x00401000, &buff, 0x0e6c, &Real_len);if (!crc_byte_being)GenerateByteCrc();DWORD OriginalCrcCode = GenerateDataCrc(&buff, 0x0e6c); while (1){ReadProcessMemory(hprocess, 0x00401000, &buff, 0x0e6c, &Real_len);DWORD CurrentCrcCode = GenerateDataCrc(&buff, 0x0e6c);if (OriginalCrcCode != CurrentCrcCode){printf(&quot;\n------程序已经被修改,准备退出-----\n&quot;);return 0;}printf(&quot;程序正常运行\n&quot;);Sleep(2000);}CloseHandle(hprocess);return 0;}
先运行前面校验自身的程序,再运行后面这个跨进程校验的程序,然后使用CE附加被保护的程序,再次查找一下是什么访问了内存地址。


发现只能看到自身校验的代码,随便修改一处代码段中的内容,再查看跨进程校验的程序。



这个程序也发当代码段被修改了,说明思路没问题。
这样我们可以接纳自身CRC校验全部代码,通过保护进程来校验CRC校验的代码的方案来达到检测的目的。
固然这种方式通过遍历进程句柄表查找哪些进程打开了被保护进程,也可以过掉,但是相比于CRC自校验来说,门槛一下就提高了。
今天就写到这里吧,新人第一次发帖,有不敷的地方还望大佬们指正。
参考资料:
《加密与解密第四版》   段刚
网络游戏安全之实战某游戏厂商FPS游戏CRC检测的对抗与防护   https://bbs.pediy.com/thread-253552.htm
怎样通俗的理解CRC校验并用C语言实现   https://zhuanlan.zhihu.com/p/77408094
来源:http://www.12558.net
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
楼主热帖
回复

使用道具 举报

*滑块验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|12558网页游戏私服论坛 |网站地图

GMT+8, 2024-11-25 10:03 , Processed in 0.093750 second(s), 32 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表