简单crc
仅对.text代码段进行校验 本帖最后由 DEATHTOUCH 于 2023-2-4 19:15 编辑程序一运行就调用00007FF662141270计算当前.text段的crc32,然后循环调用检查有没有下断点之类的运行时发生的代码篡改。
所以只要在运行之后随便f2下一个断点就会输出true了,但是如果在运行前下了断点就不会被检测出来。
00007FF66214114C判断crc32的值,第一次运行的结果在r13d,然后和刚刚调用的结果比较,之后就是输出结果。
只要把00007FF662141151的setne dl改成xor dl,dl就可以了。
而且你这个汇编写的效率低了点,crc32在x64可以一次取8个字节的。
关于crc32指令的介绍本人去年写过一篇。
补充一下,代码有重定位,但是最后两位的偏移是固定的,1270,1151这几个是不变的。 搞不定,等待高人
下访问断点找到crc32所在函数,函数第一行直接改ret 取巧的办法直接搜索字符串改掉.text或者另一种办法把00007FF62DCA1151处代码取反条件,其他方式待发现 DEATHTOUCH 发表于 2023-2-4 19:10
程序一运行就调用00007FF662141270计算当前.text段的crc32,然后循环调用检查有没有下断点之类的运行时发生 ...
还有啥优化的 mochongli 发表于 2023-2-5 03:49
还有啥优化的
在x64的情况下可以直接用crc32 r14, rax
这样可以一次处理8个字节,然后结果在r14d
其他没什么了。
DEATHTOUCH 发表于 2023-2-5 19:28
在x64的情况下可以直接用crc32 r14, rax
这样可以一次处理8个字节,然后结果在r14d
其他没什么了。
一样的,64位寄存器要比32位慢。 mochongli 发表于 2023-2-8 16:20
一样的,64位寄存器要比32位慢。
你确定吗?给你个exe看看,跑一下看看时间差,
关键代码在1000016F0和100001740,你可以用IDA F5一下看看,
源码也可以给你参考:
program fastcrc32c;
{$mode objfpc}
{$AsmMode Intel}
uses
SysUtils;
const
bufsize = 1024*1024*1024; // 1GiB
function crc32_1(crc:DWord; buf:Pointer; len:PtrInt):DWord;assembler;nostackframe;
asm
@start:
xor rax, rax
mov eax, ecx
xor eax, $FFFFFFFF
@check:
cmp r8, 0
jle @out
@loop:
cmp r8, 8
jl @loop2
mov rcx,
crc32 rax, rcx // 一次处理8字节
add rdx, 8
sub r8, 8
jmp @loop
@loop2:
cmp r8, 0
je @out
mov cl,
crc32 eax, cl
inc rdx
dec r8
jmp @loop2
@out:
xor eax, $FFFFFFFF
end;
function crc32_2(crc:DWord; buf:Pointer; len:PtrInt):DWord;assembler;nostackframe;
asm
@start:
xor rax, rax
mov eax, ecx
xor eax, $FFFFFFFF
@check:
cmp r8, 0
jle @out
@loop:
cmp r8, 4
jl @loop2
mov ecx,
crc32 eax, ecx // 一次处理4字节
add rdx, 4
sub r8, 4
jmp @loop
@loop2:
cmp r8, 0
je @out
mov cl,
crc32 eax, cl
inc rdx
dec r8
jmp @loop2
@out:
xor eax, $FFFFFFFF
end;
var
buf:Pointer;
t:QWord;
c:DWord;
begin
GetMem(buf,bufsize);
FillChar(buf^,bufsize,1); // 相当于用memset置1
t:=GetTickCount64;
c:=crc32_1($ffffffff,buf,bufsize);
t:=GetTickCount64-t;
Writeln('Result: ',c,', ',t,' ms');
t:=GetTickCount64;
c:=crc32_2($ffffffff,buf,bufsize);
t:=GetTickCount64-t;
Writeln('Result: ',c,', ',t,' ms');
Freemem(buf);
Readln;
end.
需要使用64位fpc编译器编译
@DEATHTOUCH
页:
[1]
2