【已解决】如果对编译好的文件自身进行完整性检测

zch11230

比如有的病毒会感染EXE文件 感染后运行程序会先运行病毒 原程序的功能一般不会受影响 经常感觉不出来已经中病毒了 再到别的电脑上运行时又感染新的电脑中毒 请问如何对文件自身做一个检测是否被篡改 暂时能想到的是把文件的MD5写到一个配置文件中 然后程序先计算自己的MD5再与文件中的核对 但这样就需要两个文件了 请问有没有单文件就能做到的方法

问题解决 CRC32校验  http://www.autoitx.com/thread-24758-1-1.html

pusofalse

思路：
1、编译a.exe。
2、运行b.exe，计算出a.exe的MD5，并将MD5写入到a.exe的尾部。
3、a.exe在自校验时，忽略自身尾部的那16个字节（MD5长度为16字节），只使用之前的数据。
4、无论病毒程序在a.exe中的哪个位置加入恶意代码，a.exe在被感染后，MD5总会发生改变。
5、a.exe拿计算好的MD5，与尾部的16字节作比较，如果不同，说明自身被篡改。

zch11230

回复 2# pusofalse

感谢P版这么晚了还回复 刚才在百度site论坛  换了几个关键词 搜到pcbar发表的CRC32自校验 且已经提供了源码 测试成功 简单还好用 我只用UE在文件末加了两个0 再次运行就会提示已经被篡改 原理pcbar讲了 只是没懂的是把CRC32写入EXE中的同时EXE文件已经被修改了 那CRC32不是又变了么。。。

懂了 原来和P版的方法是一个意思 开始没理解到 一步一步的看了代码才知道了 原来计算MD5或CRC32的时候只计算写入校验码之前的数据 这样就可以保证前面部分的校验码不会变 而后面的又可以根据自己需要随便改。



http://www.autoitx.com/thread-24758-1-1.html

pusofalse

当初思考这个问题时脑袋短路了，如果病毒篡改了源程序之后，将篡改后的MD5写入文件尾部，那此法就失效了。