1、VB 共享软件防破解设计技术初探(三)作者:爱琴海SCG 2008/09/10 (转载请保留该信息)第一篇我粗略的讲了以下几个内容:1、 文件完整性,防止被非法修改2、 运行时的校验,防止被 LOADER3、 反调试,防止动态跟踪和挂接4、 防静态反汇编分析5、 注册码系统(算法部分,核心内容)6、 加壳防脱壳7、 隐蔽性设计8、 另辟蹊径第二篇我详细得讲解了以下内容:1、设计思想:水桶原理2、完整性校验,包括 VB-CRC32 注射器和主体的编写;文件修改时间自校验;文件大小自校验等3、防 LOADER 设计,包括查找标题,经典时值,还有重点的 “金蝉脱壳”反LOADER上节课我忘讲了种常见
2、的反 LOADER 的方法:释放程序法(借鸡生蛋)这里赶紧补上:释放程序法(借鸡生蛋)原理:讲需要保护的程序作为自定义资源添加到新的 VB 程序里,新程序一运行就自动释放内部包含的程序到特定位置,然后通过 SHELL 调用,自身则结束运行,怀疑就是“借鸡生蛋” ,也是常用的木马病毒免杀技术。打开 VB6.0 新建工程,然后单击“外接程序”“外接程序管理器”“VB 6 资源编辑器” ,在右下角选项里选择“加载/卸载” ,然后单击“确定”这时,在 VB6.0 主程序窗口上方的工具条最后,就会出现一个跟注册表编辑程序挺像的绿色图标,单击它。如图:选择自定义添加图标,然后在出现的窗口里,选择你要保护的
3、 EXE 程序。如图:添加完资源后,按下“保存”按钮这样,资源就被添加为代号为 101 的数据,同理,就绪添加,就从 102 开始,一直增长上去,你也可以自己修改代号,方便记忆。下面我们来写一个自动释放子体的过程 SUB我是代码启示线Private Sub Shifang()On Error GoTo TakeErrorDim Lujing As StringLujing = “C:WINDOWSsystem32缓存.exe“定义缓存路径If Dir(Lujing) = “ Then检测子体是否已经存在不是的话就直接释放一个即可Dim Shuzu() As Byte定义一个数组储存数据Shuz
4、u() = LoadResData(101, “CUSTOM“)加载数据,101 代号指的就是我们添加的 EXE 子体Open Lujing For Binary As #1定义一个缓存路径Put #1, , Shuzu()开始写入Close #1关闭通道ElseKill Lujing发现已经存在就删除它,然后就重新创建;目的是为了防止有人故意同名替换定义一个数组储存数据Shuzu() = LoadResData(101, “CUSTOM“)加载数据,101 代号指的就是我们添加的 EXE 子体Open Lujing For Binary As #1定义一个缓存路径Put #1, , Shuz
5、u()开始写入Close #1关闭通道End IfShell Lujing, vbNormalFocus释放好后就 SHELL 使其运行 ,接下去就结束掉自己EndTakeError:一般发生错误是因为子体正在运行, 无法删除或者覆盖,或者是因为 OD 的 HIDEOD 插件引起 SHELL 错误MsgBox “请检查我是否正在运行?或者,是因为调试器?请检查“, , “发现问题了“EndEnd Sub我是代码终止线调用的话,在 FORM 的 LOAD 事件里,或者其他启动事件里即可,如下:Private Sub Form_Load()ShifangEnd Sub看看效果吧!正常运行,跟运行一
6、个程序感觉上没有什么差别如果加载 OD 调试器的话,如果 OD 刚好加载 HIDEOD 插件的话,就会提示错误,发现调试器:如图:如果关闭 HIDEOD 插件,就会自动借鸡生蛋,使调试器无法加载正确的子体程序如图:需要注意一点,只要够小心的人,一定会发现真正的程序所在,所以子体程序最好加上自删除代码,也就是检测到 UNLOAD 事件后,自动删除自己,或者调用批处理,隐藏删除自己。我碰到过的一些用 VB 写的外挂也就是用这种技术来逃避调试器的。这种技术就讲解到这里,我们开始新的篇章喽第三篇我将具体介绍 1、VB 反调试反跟踪 2、防静态反汇编分析设计加密解密不久,能力有限,见识短浅,请各位高手见
7、谅,有错误和不足之处敬请原谅,并请你阐述你自己的见解,共同完成VB 共享软件防破解设计技术初探系列文章,您的参与和支持是我的荣幸和骄傲。这篇开篇前我把自己想到的 VB 程序防破解设计图展示下,看看大家想到了什么?自由发挥我心中总有个声音:你设计的只是针对技术层面,无法真的长久的保证你的软件不被破解实际生活中,我们需要八卦一样的“阴阳鱼” ,一切造化的根本。 (我在故弄玄虚吧?)一个是阳刚的“法律”保障,一个是怀柔的“道义”安抚。在这里引述一篇文章里的片段,具体作者是谁,大家自己查原文是如何让你的共享软件在国内赚到每月超过万元引用从这里开始四、面对盗版不惊慌当用户找到了你的软件,下载安装并试用之
8、后,发现使用简单,符合自己的需求,很想要,如果你是用户,显然,你就会去找盗版,如何找?两条途径吗第一:到搜索引擎中去搜索某某软件后面加一个破解,注册机之类的。结果呢?人家找到了,也就不会买了。另外,还会去盗版碟市场去找,看看有没有破解版的碟。呵呵,第一种情况好对付,你不是在搜索引擎中找吗?作为作者,你也可以用你的正版软件冒充盗版软件到处去发布呀,比如:你可以发布某某软件的破解版,让你的假破解版充斥了整个搜索引擎的结果。当用户下载了 10 个假破解之后,也自然会想到,这个软件没有破解版了。哦,对了,如果有真破解出现在搜索结果的前几位,也不用着急,首先,打电话给你所在地的公证处,花 300 元,把
9、你所找到的页面做个公证。(我保证你这 300 元能够赚回来),然后,想办法找到这个网站的站长,不要管这个网站是个人的还是企业的。联系这个站长,把公证书的复印件,你软件版权的复印件传真给他,限定他在 7 日内与你进行协商解决。过期,你将在你所在地的人民法院起诉(诉讼费 50 元),什么?诉状不会写?找我呀,100 元,帮你写一份。如何计算赔偿金额?哦,很简单,一般下载站都有提供下载数统计的,用下载量乘以你的软件的价格就是他该赔的金额,(呵呵,算起来很吓人的)。如果你很忙,找个律师是值得的。第二、如果在盗版碟市场出现了你的软件,那我告诉你,是喜也是忧,喜的是,你的软件很有名吗,忧的是,只有升级,做
10、更好的软件了。辛苦你了。为了避免这种情况的出现,在你的软件中,加上网上认证的加密办法是可行的。加密点千万不要搞在一个地方,另外,为了防止跟踪破解,一个简单的办法,就是认证通过之后,不要弹出对话框之类的,默默的就让用户开始用吧。千万不要弹出什么:恭喜您,您注册成功了,恭喜您,您登陆成功了的对话框。人家找你的加密点,一跟踪这个对话框就行了。呵呵,这只是防破解的小技巧。其他的防破解方法,你可以查阅相关资料。一句话,与破解做斗争,不该妥协。哪怕花费比所得还要高,你也要与破解盗版做斗争,如同抗日一样,和平时期,也要抗日。要用抗日的精神来抵抗破解盗版。什么?你的软件也是用的盗版 VC 写的?这也没关系,那
11、是另外一回事情,微软没找你麻烦,那是微软的事。并不妨碍你找破解者的麻烦。总不能因为唐朝的时候咋们侵略过别国,就不抵抗日本侵略了吧?引用到此结束文中作者告诉我们的是:1、 定时关注互联网搜索引擎关于你的软件破解信息2、 到盗版碟市场看看有没有你的软件破解注册版3、 冒充破解版在网上大量发布,覆盖大部分搜索出来的破解信息资源4、 利用法律武器,作公证、取证,警告发布破解信息的站点或者论坛或者其他发布者5、 聘请律师,委托代办,发律师信,甚至对簿公堂。6、 发现破解版大量存在,那么只能更新软件,加强加密强度。(如硬件加密狗,反正羊毛出在羊身上)7、 隐藏注册结果信息,让用户用着吧,让破解者徘徊迷路吧
12、8、 要用抗日的精神来抵抗破解盗版相信作者能靠共享软件月入万金,在这里由衷的恭喜他发财。这个讲的就是我要说的法律武器,阳刚十足,捍卫自己的利益。但有时,刚性太强,反而容易折断,高碳钢硬度很大,但是脆;低碳钢硬度比较小,但是柔韧。这里重点聊聊怀柔“道义” ,你的软件的质量,软件的功能要对得起你收的注册费,这个就是道义;你的售后服务,服务的态度和服务水平要对得起你的承诺,这个就是道义;你对未注册版的限制要合理,不要给用户带来很不良好的体验和心理感觉,这个就是道义;不能强迫用户注册,动不动就跳到注册网页去了,这个就是道义;你对某些支持过你,给你提好意见的用户,免费送注册码,这个也是道义;定期给某些特
13、定用户群发放免费注册码,或者在特定的时候发布特定的纪念版免费回馈社会,这个也是道义;你的防破解设计里不应该有刺激破解者的语言和指令,如关机、格盘、删除系统文件、摧毁数据等,这个更是道义了。有这样的软件,它在收取少量的注册费后,将部分收入以公开名义捐赠给四川灾区,这样的软件在道义上他是高尚的,在道义上便已经让很多有良知的高手罢手了。破解者破解了它,发布了它,他将遭到道义上的谴责和唾弃。道德经讲“道可道非常道” ,这“道”便是一切,道义也是“道”的范畴。你的软件连道义都没有,先不说会不会激怒破解者和一些不搞破解的逆向分析师来破解你的软件(无他,只因不爽)单单说有没有用户用你的破解版都还是个问题呢。
14、比如说:江民炸弹引用从此开始简介1997 年 6 月 24 日王江民先生在其主页上发布了 kv300l+版,内含逻辑炸弹。凡是在 mk300v4 制作的仿真盘(盗版盘)上执行 kv300l+的用户硬盘数据均被破坏,同时硬盘被锁,软硬盘皆不能启动。Kv300 逻辑炸弹可以造成电脑软硬盘都不能启动的现象,当时在电脑界引起轰动。这是用常规原理不能解释的现象。kv300 逻辑炸弹表现1先破坏文件分配表,然后修改分区表造成硬盘被锁。 2不做任何备份 3没有任何提示 4在特定条件下激发(盗版盘) 5王江民始终没有公开提供恢复程序; 6如果用一般常用的修复磁盘工具,如 NORTON,会造成不可逆转的损失;
15、7对其的恢复类似于 cih 破坏数据的恢复,因为需要重建分区表。 8在 win95 环境下执行同样会造成文件分配表被破坏,数据损失。处理1997 年 7 月 23 日,国内 5 家反病毒软件公司(以下简称五厂商)在北京联合举行新闻发布会,一起谴责国内另一家著名的反病毒软件公司北京江民新技术有限责任公司(以下简称江民公司) 。在发布会上,五厂商向多家新闻机构发放了一份“联合声明” ,称江民公司 6 月下旬发布的 KV300L+ +版反病毒软件(网络下载版) (以下简称 KV300,本文无特殊说明,所指的均是这一特定下载版本)中含有“逻辑炸弹” , “在特定条件下对计算机实施破坏,其结果与某些计算
16、机病毒的破坏作用相似” 7 月 24 日,江民公司对五厂商的“联合声明”做出了强烈反应,认为这时“不正当的侵权行为”,并多次在各专业计算机所刊上登载“严正声明” ,江民公司对此的解释是:江民公司并未在 KV300 中安放任何破坏性程序。五厂商所称的“逻辑炸弹”,其实是江民公司为打击日益猖獗的盗版软件行为而在软件中编制的“ 逻辑锁”,这一“逻辑锁” 首先不可能对任何购买正版产品的用户造成任何影和损失,其次对部分盗版用户也只是起到暂时锁住机器的作用。江民公司特别强调,KV300 中的“逻辑锁” 与病毒没有关系,因为病毒是具有自我复制和传染性的破坏性程序,而“逻辑锁”却不会对用户数据造成任何伤害 1
17、997 年 9 月 8 日,公安部门认定 kv300L+事件违反计算机安全保护条例之 23 条,属于故意输入有害数据,危害计算机信息 系统安全的行为,对其做出罚款 3000 元的决定关于 KV300 逻辑锁 的看法王江民口口声声说 KV300 L+ 里面没有逻辑炸弹, 只有所谓 主动式逻辑锁. 似乎这样讲就不需要承担责任了!的确, 在中国有关计算机安全和保护软件消费者的法律还不健全, 王江民的类似行为暂时还无法受到法律的制裁. 但我们需要进行这方面的讨论. 以了解我们消费者的权利和可以采取的措施.从道义上和法律意义上讲, 王江民的这种做法已经侵犯了公民的权利. 王江民认为盗版应视同小偷, 可以
18、用锁把他锁起来. 但是, 我们应该清楚, 中国法律只付予了警察等执法机关有执法的权利, 你王江民有什么权利执法? 你用逻辑锁把你的软件锁起来, 是你的权利. 但王江民没有权利锁别人的门! 即使, 经过国家有关部门的批准, 王江民有这样的执法权. 王江民也必须经过广告等形式公之于众.从计算机安全角度讲. 王江民至今没能确认正版用户不会受到意外损害, 他也没有通过适当渠道告知正版用户避免意外损害的方法, 他只是说明受到损害时由他解锁. 这使 KV300 的正版用户会因此存在资料失密和损失的危险. 对此, 如何赔偿?由于, KV 300 内含有可能危害消费者权利和计算机安全的逻辑锁 . 在目前, 国
19、家没有相关法律的情况下. 我们消费者有权利相互告知并通知 KV300 的潜在用户, 选择其他的产品, 放弃 KV 300.引用到此结束就像坛子里很多人讲的一样“先别急着想着防破解,要把软件功能和质量放在第一位”呵呵,还好,扯得不是很远,可以把大家的思路引向更广阔的防破解设计上去,我很荣幸。回到技术层面,下面我们开始讲解:1、VB 反调试反跟踪 2、防静态反汇编分析第三章 第一讲备注:这一讲将是比较长的,请准备好开水茶叶或者咖啡。VB 的反调试设计这里要讲解的 VB 反调试有以下几种:1、 检测父进程反 RING3 调试器2、 FindWindow 检测敏感窗口3、 EnumChildWindo
20、ws 枚举所有窗体,检测敏感字符4、 检测进程名字来排雷5、 利用 IsDebuggerPresent 检测调试器6、 加密字符串,错误提示诱导陷阱7、 利用 SEH 进行反跟踪8、 加 VM 或者 P-CODE 编译9、 直接反汇编修改代码(破解者用的招数,我们也可以用来防守)10、 隐蔽性设计11、 步长、时值反调试(包含启动时间检测)12、 检测内存分配大小反调试13、 窗口置顶反调试14、 检测按键,一般是 F2(断点) 、F7(单步步进) 、F8(逐过程步过) 、F9(运行)15、 检测前台窗口反调试16、 SeDebugPrivilege 检测调试器17、 关键部分算法的时候锁定鼠
21、标干扰调试分析18、 GetStartupInfo 反调试其实方法很多很多,建议大家购买加密与解密第三版里面有些很好的方法,奈何能力有限,经验不足,我还在琢磨中与君共勉第一、 检测父进程反 RING3 调试器简要介绍下原理:一般用户都是在 WINDOWS 桌面下打开我们写的程序,而不是在什么调试器下的,也就是说,调用我们程序的是 explorer.exe 程序,而不是 A.exe 也不是B.exe,它们都对应有个 ID,我们只需要检测其父亲 ID 跟 explorer.exe 的 ID 是否一致,就说明是否正常打开还是被调试了。提示,OD 的 HIDEOD 插件里,如果挑上“Process32
22、NEXT”的话,此方法无效。请打开 VB6.0 新建工程在窗体通用里,复制以下 API 和其他参数声明我是代码启始线Private Declare Function CreateToolhelp32Snapshot Lib “kernel32“ (ByVal dwFlags As Long, ByVal th32ProcessID As Long) As LongPrivate Declare Function Process32First Lib “kernel32“ (ByVal hSnapShot As Long, lppe As PROCESSENTRY32) As LongPriva
23、te Declare Function Process32Next Lib “kernel32“ (ByVal hSnapShot As Long, lppe As PROCESSENTRY32) As LongPrivate Declare Function CloseHandle Lib “kernel32“ (ByVal hObject As Long) As LongPrivate Declare Function OpenProcess Lib “kernel32“ (ByVal dwDesiredAccess As Long, ByVal blnheritHandle As Lon
24、g, ByVal dwAppProcessId As Long) As LongPrivate Declare Function TerminateProcess Lib “kernel32“ (ByVal hProcess As Long, ByVal uExitCode As Long) As LongConst MAX_PATH As Integer = 260Const TH32CS_SNAPPROCESS As Long = 2&Private Type PROCESSENTRY32dwSize As LongcntUsage As Longth32ProcessID As Long
25、th32DefaultHeapID As Longth32ModuleID As LongcntThreads As Longth32ParentProcessID As LongpcPriClassBase As LongdwFlags As LongszExeFile As String * 1024End Type我是代码终止线然后我们在窗体里写个 SUB 过程,以后直接调用即可。我是代码起始线Private Sub Fujincheng()这个过程是检测父进程的父进程是否是 EXPLORE 的父进程Dim Process As PROCESSENTRY32Dim hSnapShot A
26、s LongDim XNN As LongDim flag As BooleanDim mName As StringDim i As IntegerDim pid As Long, explorer As Long 注意这 2 个变量就用来存放 2 个 IDhSnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0&) 建立进程快照搜索 explorer.exe 进程,并获得其 IDIf hSnapShot ThenProcess.dwSize = 1060If (Process32First(hSnapShot, Process)
27、Then 遍历第一个进程,获得 PROCESSENTRY32结构Doi = InStr(1, Process.szExeFile, Chr(0) 获得映像名称mName = LCase(Left(Process.szExeFile, i - 1) 并转换成小写If mName = “explorer.exe“ Then 是不是 explorer.exeexplorer = Process.th32ProcessIDElseIf mName = LCase(App.EXEName & “.exe“) Then 是不是自己pid = Process.th32ParentProcessID 获得父进
28、程 IDElseflag = FalseEnd IfLoop Until (Process32Next(hSnapShot, Process) explorer Then MsgBox “发现父进程调试“, , “警告 “: TerminateProcess Openit, 0如果发现父进程不对,就结束掉父进程,对使用 HIDEOD 中的 Process32NEXT 的 OD 无效End Sub我是代码终止线我们设计的代码先找出 explorer.exe 进程的 ID 号,然后找出本程序的父进程,两者对比,发现不一样就说明很有可能被调试,那么就用 OpenProcess 打开该进程,用Term
29、inateProcess 结束掉该可以进程。使用方法如下:Private Sub Form_Load()FujinchengEnd Sub效果如图:说明该方法对待通用 RING3 级调试器应该都是有效果的第二、 FindWindow 检测敏感窗口原理简介:一般程序都有标题栏,也就是程序最上面的那一栏,该栏显示的就是FindWindow 可以查到的字符。我们以此来检测黑名单即可简单检测到调试,继而作出响应。请打开 VB6.0 新建工程在窗体通用里,复制以下 API 声明Private Declare Function FINDWINDOW Lib “user32“ Alias “FindWind
30、owA“ (ByVal lpClassName As String, ByVal lpWindowName As String) As Long然后在窗体代码处,我们写一个过程即可实现调用:我是代码起始线Private Sub GuanbiFindwindow(Mingzi As String)winHwnd = FINDWINDOW(vbNullString, Mingzi)获得窗口句柄If winHwnd 0 ThenAppActivate Mingzi激活窗体为活动SendKeys “%f4“, TrueALT F4 结束掉SendKeys “%y“, TrueElseEnd IfEnd
31、 Sub我是代码终止线如何调用?请看:Private Sub Form_Load()GuanbiFindwindow (“计算器“)关闭计算器是为了方便大家验证GuanbiFindwindow (“Numega SmartCheck“)这样调用即可,不要放到按钮事件,如果不小心激活了我们自己的窗体,那就结束不掉调试进程了End Sub实验效果表明,可以结束掉我们规定好的窗口,效果不错。第三、 EnumChildWindows 枚举所有窗体,检测敏感字符简要原理:可以用 EnumChildWindows 来枚举窗体,检测到所有相关敏感字眼,即可判断为调试,继而作出响应。为什么要用这个呢?你有没有
32、发现 OD 调试器版本真的很多,尤其是修改版的,基本上,高手都喜欢收藏些特别点的调试器,标题栏都不一样,如果用FINDWINDOW 来查找的话,还不郁闷死啊?但是你又发现了没?基本 OD 打开后,或者开始调试后,标题栏里总有 “CPU”这三个字符,而 SMARTCHECK 大都包含 smart 字样?所以我们可以用 EnumChildWindows 来枚举所有窗口标题栏来检测它们中有没有包含 CPU 三个字,如果有,宁可错杀,也不放过。请打开 VB6.0 新建工程 添加个 TIMER1 定时 500 建立个模块在模块中添加:我是代码起始线Declare Function GetDesktopW
33、indow Lib “user32“ () As LongDeclare Function EnumChildWindows Lib “user32“ (ByVal hWndParent As Long, ByVal lpEnumFunc As Long, ByVal lParam As Long) As LongDeclare Function GetWindowText Lib “user32“ Alias “GetWindowTextA“ (ByVal hwnd As Long, ByVal lpString As String, ByVal cch As Long) As LongDe
34、clare Function GetWindowTextLength Lib “user32“ Alias “GetWindowTextLengthA“ (ByVal hwnd As Long) As LongFunction EnumChildProc(ByVal hwnd As Long, ByVal lParam As Long) As Long针对 EnumChildProc 写的自动处理函数Dim sSave As StringsSave = Space$(GetWindowTextLength(hwnd) + 1)GetWindowText hwnd, sSave, Len(sSa
35、ve)sSave = Left$(sSave, Len(sSave) - 1)sSave = Trim(sSave)If JianCPU(sSave) = True Then MsgBox “发现调试器,请关闭“, , “警告“EnumChildProc = 1End FunctionFunction JianCPU(abcdef As String) As Boolean检测字符集里有没有 cpu 或者 smart 字样,返回 TRUE 表示包含JianCPU = FalseDim nnn As LongFor nnn = 1 To Len(abcdef) - 2If LCase(Mid(a
36、bcdef, nnn, 3) = “cpu“ ThenJianCPU = TrueExit ForEnd IfNext nnnFor nnn = 1 To Len(abcdef) - 4If LCase(Mid(abcdef, nnn, 5) = “smart“ ThenJianCPU = TrueExit ForEnd IfNext nnnEnd FunctionPublic Sub MeiJu()具体整合成为反调试利器On Error Resume NextEnumChildWindows GetDesktopWindow, AddressOf EnumChildProc, ByVal 0
37、&End Sub我是代码终止线然后在窗体代码中,怎样调用呢?如下:Private Sub Form_Load()具体使用MeiJuEnd SubPrivate Sub Timer1_Timer()具体使用MeiJuEnd Sub即可,怎么样简单吧?为什么要搞个定时器呢?那当然,因为我们要时刻检测全部窗体的敏感字符,我认为有些网吧封锁迅雷和“破解”关键字眼,凡是发现有包含的,就直接关闭窗口,也应该是采用类似的技巧的吧?看效果吧:第四、 检测进程名字来排雷不好意思,凌晨 3 点多,有些打盹了。尽量把这些提到的讲完,没有提到的请大家专研解决。简要原理:同样是检测进程,只是比较黑名单而已,不是很简单吗
38、?打开 VB6.0 新建工程在通用部分复制以下变量声明和参数:我是代码起始线Private Declare Function CreateToolhelp32Snapshot Lib “kernel32“ (ByVal dwFlags As Long, ByVal th32ProcessID As Long) As LongPrivate Declare Function Process32First Lib “kernel32“ (ByVal hSnapshot As Long, lppe As PROCESSENTRY32) As LongPrivate Declare Function
39、Process32Next Lib “kernel32“ (ByVal hSnapshot As Long, lppe As PROCESSENTRY32) As LongPrivate Declare Function CloseHandle Lib “kernel32“ (ByVal hObject As Long) As LongPrivate Type PROCESSENTRY32dwSize As LongcntUsage As Longth32ProcessID As Longth32DefaultHeapID As Longth32ModuleID As LongcntThrea
40、ds As Longth32ParentProcessID As LongpcPriClassBase As LongdwFlags As LongszExeFile As String * 1024End TypeConst TH32CS_SNAPHEAPLIST = &H1Const TH32CS_SNAPPROCESS = &H2Const TH32CS_SNAPTHREAD = &H4Const TH32CS_SNAPMODULE = &H8Const TH32CS_SNAPALL = (TH32CS_SNAPHEAPLIST Or TH32CS_SNAPPROCESS Or TH32
41、CS_SNAPTHREAD Or TH32CS_SNAPMODULE)Const TH32CS_INHERIT = &H80000000我是代码终止线然后写个函数:我是代码起始线Private Function Jincheng(namex As String) As Boolean编写个函数方便调用,namex 是要检测的程序名,小写,返回 TRUE 表示发现Dim my As PROCESSENTRY32Dim l As LongDim l1 As LongDim mName As StringDim i As Integerl = CreateToolhelp32Snapshot(TH3
42、2CS_SNAPPROCESS, 0)If l Thenmy.dwSize = 1060If (Process32First(l, my) Then 遍历第一个进程Doi = InStr(1, my.szExeFile, Chr(0)mName = LCase(Left(my.szExeFile, i - 1)If mName = namex ThenJincheng = TrueExit FunctionElseJincheng = FalseEnd IfLoop Until (Process32Next(l, my) 1) 遍历所有进程知道返回值为 FalseEnd Ifl1 = Clos
43、eHandle(l)End IfEnd Function我是代码终止线怎样调用?请看:我是代码起始线Private Sub Form_Load()If Jincheng(“ollydbg.exe“) = True Then MsgBox “发现 OLLYDBG 调试器,请关闭“, , “进程检测“如此调用即可End Sub我是代码终止线效果如图:第五、 利用 IsDebuggerPresent 检测调试器这个算很老的东西了,拿出来给初学者看看打开 VB6.0 新建工程在通用部分写:我是代码起始线Private Declare Function IsDebuggerPresent Lib “ke
44、rnel32“ () As Long我是代码终止线调用:Private Sub Form_Load()If IsDebuggerPresent Then MsgBox “发现调试器了,好累啊“, , “ 凌晨 3:36“End Sub效果见图:(对 SMARTCHECK 还有效果,对 OD 基本无效了)第六、 加密字符串,错误提示诱导陷阱原理:破解者在破解 VB 软件的时候,有的高手会查找宽字的十六进制码,然后在 OD 中直接搜索如“注册成功”对应的编码,然后上下翻找,爆破什么的都来了,噩梦啊。所以为了反调试,你最好不要提示注册成功之类的,如果有什么字符容易泄露你的算法信息,那你必须把它隐藏,
45、可以用 Chrw 线转成数字形式,然后用的时候直接 Ascw 转回字符即可实现隐藏,但是还是可以被人找到,最好的办法是实现动态解码。我只简单的举个例子:字母 F 的 ASCII 码(十进制)为 70,我用 ASC(70)比直接用 F好,但是 ASC(70)也容易被查到,我建议是通过动态计算得出:A = 34 B =36 C = Chr(A+B)这样就安全多了,但是设计 Chr 和 Chrw 的函数已经被人所知,也容易被人断点。但是我们还是要尽最大努力去阻止破解者。我们随便设计一个实验下:Private Function ZiFujiemi(anum As Long, bnum As Long)
46、 As String字符解密函数,用这个函数之前可以用相反的逆算来得到加密后的形式ZiFujiemi = ChrW(anum Xor bnum)End FunctionPrivate Sub Command1_Click()MsgBox ZiFujiemi(64, 22)大写字母 V 的 ASCII 为 86,可拆成 64 XOR 22,我的意思你能明白就好了End Sub可见只要是计算的,都比原字符要保险,中间进行转换即可。加密后,用 VBExplorer 就分析不出我们的原始字符串了。那错误陷阱呢?恰恰相反,我们要设计一个捕捉 CRACKER 虫的全套,比方说引诱破解者进入你设计好的,可以
47、注册成功,但是是假成功,而且尽量不给真正的提示,那如何提高陷阱的捕捉率呢?可以主动设置好字符串提示,如:“注册码错误” , “注册码正确” , “恭喜你” , “已注册” ,“未注册”等等。讲破解着的眼球吸引过来,进入一个貌似算法的,而且算法也挺逼真的地方,注册完后也在标题栏或者什么地方显示个“已注册”字样,其实功能未解禁,_打开 VB6.0 新建工程 添加一个名为“注册”的按钮,该按钮就是用来迷惑破解者的。编写以下一个 SUB我是代码起始线Private Sub Jiazhuce()这是一个假注册陷阱Dim aJia As StringDim bJia As StringDim cJia As StringDim dJia As DoubleDim
