Helicon Focus

[salehjg]

چند وقت پیش روی Helicon Focus وژن 3 کار میکردم تا اون برچسب مسخره خودشو به روی عکس های خروجی نچسبونه که یه چیز جالب برخوردم:

وقتی که با olly dbgr یا هر چیز دیگه ، اونو دستکاری(حتی خیلی کو چولو) می کردی ،برنامه تشخیص می داد و کل تصویر رو می چرخوند. ..... بعد چند روز یه فکر به سرم زد که مشکلم حل شد:

فایل اصلی که دست نخورده بود با همان نام اصلی جاش موند و فایل کرک شده با یه اسم دیگه بغلش کپی کردم.

حالا سوال من:
برنامه چطور تشخیص می داد؟(این هلیکن فوکوس رو با دلفی نوشتن و با upx پک کرده بودن) / چطور می تونم همین ایده رو خودم پیاده کنم رو برنامه ی خودم؟

[Di Di]

احتمالا برنامه نویس خواسته چیزی مثل CRC Check داخل برنامه اش به کار ببره که بسیار ناشیانه این کار رو

انجام داده.

زمانی که برنامه رو اجرا می کنید احتمالا برنامه فایل اجرایی اصلی رو توسط یک ترید یا فایل دیگه ای که ممکنه

در شاخه Temp ساخته می شه، CRC Check کنه اما برنامه نویس برای یافتن نام فایل اجرائی از اسم پیش فرض

برنامه استفاده کرده، در حقیقت زمانی که شما برنامه کرک شده رو اجرا می کنید، اون برنامه دوم که قصد محافظت

از برنامه اصلی رو داره اجرا می شه و فقط به دنبال فایلی با همان نام پیش فرض می گرده!


نکته : CRC Check به مکانیزم هایی گفته می شه که بخش یا تمام فایل رو از نظر تغییر حتی یک بایتی هم چک

می کنند و چنانچه تغییری در فایل صورت گرفته باشه برنامه متوجه اون خواهد شد.

شاید بتونید با استفاده از پلاگین های PEID ، عدد CRC یا CRC32 فایل کرک شده رو به عدد فایل اصلی تغییر بدید

و مشکلتون حل بشه.