简单去除exe自校验方式

 

一、      自校验定义：

这些程序会检查自己有没有被修改，如果发现被修改的话，便会离开或进行其它动作。基本的校检方法包括 checksum, 检查大小, 检查跳转代码，等等。

对于我们而言，如果脱壳后的程序运行起来跟脱壳前的程序运行起来不一样，基本上就可以断定为程序增加了自校验机制

 

二、      自校验示例：

三、如何去除自校验：

1.   先进行OD脱壳

注：脱壳完毕后停留在脱壳界面，不要把OD关闭

2.   再开启一个OD，打开脱壳后的程序

3.   两个程序同时下断点  bp CreateFileA然后分别点击运行（F9）

注：在win7环境下无法OD无法使用这个命令进行断点，只要Ctrl+G, 输入"kernel32.CreateFileA",我们就可以定位到kernel32的CreateFileA了

 

4.   两个OD都点击【Alt+F9】执行到用户代码

5.   两边同时单步（F8）往下走，查看两个程序是否有不一样的跳转（比如一个实现了一个没实现）

 

6.   接下来我们要做的就是把脱壳后的文件的跳转让它不实现就可以了

①          最简单的方法就是直接把脱壳后的程序那里的跳转给NOP掉

 

②观察跳转的上一行汇编代码cmpeax,dword prt ss:[ebp-8]，这是汇编代码，意思是eax和dwort进行比较，如果不相等就跳转，相等就不跳转，不懂可以百度，把它改成cmp eax,eax就可以了

③或者把jnz改成je或jz也可以，具体的意思可以去百度一下

7.   然后保存退出OD

8.   再次执行脱壳后的文件，OK，成功了