矛与盾的较量（3）——CRC实践篇

下载本节例子程序 (13.4 KB)
（特别感谢汇编高手 dREAMtHEATER 对我的代码作出了相当好的优化！请参观他的主页）

上一节里我们介绍了CRC-32的实现原理，可是原理不能当饭吃吧？下面让我们来看看CRC是怎么应用到文件保护上的……

（由于本文涉及到的源代码比较多，so请各位读者自行下载代码进行分析）

在 《原理篇》里面，我们已经知道，通过对一个字符串进行CRC-32转换，最后可以得到一个4个字节长的CRC-32值，而且无论该字符串有多长，最终生成 的CRC-32值都肯定是4个字节长。这就给了我们一个启示：是否能够在一个文件的某个地方储存这个CRC-32值，然后在文件运行的时候，再读取这个 CRC-32值，进行比较？

答案是肯定的。让我们先来看看PE文件的结构：（什么？你不懂PE文件结构？！那……先去找点资料看看吧，到处都有的哦）

在 PE的可选映像头（IMAGE_OPTIONAL_HEADER）里面，有一个保留字段：Win32Version，根据MSDN的资料，它的值一般是 0，而且它的长度是4个DWORD。呵呵，你是不是已经想到什么了呢？对了，它的长度和我们要储存的CRC-32正好是相等的，而且它的值是不变的，一般 是0（别问我为什么啊，我也不知道）。这就给我们提供了一个储存CRC-32空间的可能，而实际上，有很多Win32病毒也是利用这个 Win32Verion保留字段来储存它们的感染标志的。

好了，明确了目标，我们来看看具体应该怎么实现：

1、先写一个 第三方的程序，我假设它叫“AddCRC32ToFile.exe”。我们可以利用这个程序，打开一个文件，假设这个文件叫做 “CRC32_Test.exe”，然后“AddCRC32ToFile.exe”就会计算出“CRC32_Test.exe”的CRC-32值，并把这 个CRC-32值写入“CRC32_Test.exe”的Win32Version处。（其实这步要到最后才做的）

2、写好需要进行保护 的程序，在这里我假设它叫做“CRC32_Test.exe”，记住一定要在这个程序里面加入CRC-32的校验模块。这个校验模块的工作过程是这样 的：a、先读取自身文件的所有内容，储存在一个字符串中，然后把这个字符串的Win32Version处的4个字节改成4个0，再把字符串进行CRC- 32转换，这时我们就得到了一个“原始”文件的CRC-32值；b、读取自身文件的Win32Version处的值，这个值是我们通过 “AddCRC32ToFile.exe”写进去的。最后我们把步骤a和b中得到的两个CRC-32值进行比较，如果相等的话，说明文件没有被修改过；反 之就说明文件已经被修改了。

很复杂是吧？其实好好想一想，没啥困难的。关键是要按照以下步骤进行：

1、一定要先在 “CRC32_Test.exe”里面写好所有的模块，然后才用“AddCRC32ToFile.exe”把“CRC32_Test.exe”的CRC- 32值写入“CRC32_Test.exe”的Win32Version处，否则最后得到的结果肯定是不正确的。顺序一定不能搞错！！！

2、今后一旦修改了“CRC32_Test.exe”的内容（比如重新编译了一次），就一定要再用“AddCRC32ToFile.exe”重新把CRC-32值写入“CRC32_Test.exe”中去，否则结果也是会不正确的。

其实方案不止这一种，还有以下的几种是可行的：
1、把CRC-32的值写入一个单独的DLL文件中（或者别的什么乱七八糟的地方，随你的便），然后在运行的时候读取DLL文件中储存好的CRC-32值，进行比较。
2、把CRC-32的值追加到.exe文件的最后，在运行的时候读取这最后的4个字节的内容，进行比较。不过我觉得这样做不太好，呵呵，因为增加了文件的长度。
……

我的方案的缺点分析：
CRC-32的值其实可以由Cracker自行计算得出后，重新写入到Win32Version处。这样的话，我们做的工作岂不是没有意义了？
其 实解决的方法还是有的，我们可以在计算CRC-32值之前，对需要进行转换的字符串加点手脚，例如对这个字符串进行移位、xor等操作，或者把自己的生日 等信息加入到字符串中，随你的便什么都行，总之不是单纯的文件的内容就行了，然后在最后比较的时候，也用同样的方法反计算出CRC-32值。这样得到的 CRC-32就不是由文件的内容计算出来的，相信对Cracker的阻力也会加大不少。

总结：
应用CRC原理到文件的自校验保护中，是一种很灵活的手段，可用的方法有很多种。本文只是抛砖引玉，希望高手能给出更好的解决方法，并请发信到lcother@163.net，我们共同研究，多谢！！！