一種獲得檔案大小的巧妙方法(談QuickCHM2.49的自校驗方法) (4千字)

一種獲得檔案大小的巧妙方法(談QuickCHM2.49的自校驗方法)

作者：lzrlzr
時間：2003年2月9日
信箱：lzrlzr_crack@163.com
主檔案QuickCHM.exe大小：1.35MB (1425920 位元組)

QuickCHM 2.49的破解有很多方法，並不太難(已經有很多序號產生器了)，但它的自校驗方法，簡單巧妙，卻令人感到有趣，可見作者的一番用心。
QuickCHM.exe是用ASPACK 2.1壓縮過的程式，軟體脫殼後，執行時程式的主視窗一閃而過，程式自動退出,這是程式的自校驗啟動了。

下面這是我得到的程式自校驗的關鍵部分：

0167:004FC2A2  E80D09FAFF          CALL      0049CBB4
0167:004FC2A7  8B9564FEFFFF        MOV      EDX,[EBP-019C]
0167:004FC2AD  8B45F8              MOV      EAX,[EBP-08]
0167:004FC2B0  E8AF22F2FF          CALL      0041E564
0167:004FC2B5  8B45F8              MOV      EAX,[EBP-08]
0167:004FC2B8  8B10                MOV      EDX,[EAX]
0167:004FC2BA  FF12                CALL      [EDX]==========(1)====這個呼叫返回來的是檔案大小，
0167:004FC2BC  83FA00              CMP      EDX,00                為了知道軟體是如何得到檔案
0167:004FC2BF  7509                JNZ      004FC2CA              大小的，在此跟進
0167:004FC2C1  3D20A10700          CMP      EAX,0007A120==========EAX 中存放的是真正的檔案大小。
0167:004FC2C6  7610                JBE      004FC2D8              7A120H十進位制是500000，檔案大
0167:004FC2C8  EB02                JMP      004FC2CC              小低於或等於/不高於500000時，
0167:004FC2CA  7E0C                JLE      004FC2D8              自校驗透過，如果大於500000時，
0167:004FC2CC  A1405E5000          MOV      EAX,[00505E40]        程式會自動退出。
0167:004FC2D1  8B00                MOV      EAX,[EAX]
0167:004FC2D3  E8B803FAFF          CALL      0049C690


跟進(1)後，來到這裡：

0167:004098DC  55                  PUSH      EBP
0167:004098DD  8BEC                MOV      EBP,ESP
0167:004098DF  83C4F8              ADD      ESP,-08
0167:004098E2  53                  PUSH      EBX
0167:004098E3  56                  PUSH      ESI
0167:004098E4  8BF2                MOV      ESI,EDX
0167:004098E6  8BD8                MOV      EBX,EAX
0167:004098E8  8B4508              MOV      EAX,[EBP+08]
0167:004098EB  8945F8              MOV      [EBP-08],EAX
0167:004098EE  8B450C              MOV      EAX,[EBP+0C]
0167:004098F1  8945FC              MOV      [EBP-04],EAX
0167:004098F4  56                  PUSH      ESI==========ESI的值是 00000002H
0167:004098F5  8D45FC              LEA      EAX,[EBP-04]
0167:004098F8  50                  PUSH      EAX==========EAX的值是 007AF9CC
0167:004098F9  8B45F8              MOV      EAX,[EBP-08]
0167:004098FC  50                  PUSH      EAX==========EAX的值是 00000000
0167:004098FD  53                  PUSH      EBX==========EAX的值是 00000080 (檔案控制程式碼)
0167:004098FE  E82DD9FFFF          CALL      KERNEL32!SetFilePointer  函式共有四個引數。
0167:00409903  8945F8              MOV      [EBP-08],EAX===========EAX 中存放的是真正的檔案大小
0167:00409906  8B45F8              MOV      EAX,[EBP-08]          這裡是15C200H (1425920)
0167:00409909  8B55FC              MOV      EDX,[EBP-04]
0167:0040990C  5E                  POP      ESI
0167:0040990D  5B                  POP      EBX
0167:0040990E  59                  POP      ECX
0167:0040990F  59                  POP      ECX
0167:00409910  5D                  POP      EBP
0167:00409911  C20800              RET      0008


查 api手冊得到：

DWORD SetFilePointer(  //功能：在一個檔案中設定當前的讀寫位置

    HANDLE  hFile,    // Long，系統檔案控制程式碼
    LONG    lDistanceToMove,    // Long，位元組偏移量
    PLONG  lpDistanceToMoveHigh,    // Long，指定一個長整數變數，其中包含了要使用的一個高雙字偏移。可設為零 
    DWORD  dwMoveMethod     // Long，下述常數之一
  );

dwMoveMethod常數:
FILE_BEGIN    = 0  lOffset將新位置設為從檔案起始處開始算的起的一個偏移
FILE_CURRENT  = 1  lOffset將新位置設為從當前位置開始計算的一個偏移
FILE_END      = 2  lOffset將新位置設為從檔案尾開始計算的一個偏移


函式返回值 ：Long，返回一個新位置，它採用從檔案起始處開始算起的一個位元組偏移量。

總結：

看到這裡，相信大家已經明白了這種方法的原理，就是用SetFilePointer函式把檔案指標移到檔案最後，
這時EAX中返回的就是檔案大小，再和一個數去比較，比較結果就是自校驗成功與否的標誌。

在這個軟體中，作者從檔案尾移動0偏移，返回結果就是從檔案起始處開始算起到檔案尾的偏移值，
就是檔案大小。

其實，破解這個軟體是不需要脫殼的，破解它的自校驗也是沒有必要的，但是，這一種方法是我們應該學習的。