ZProtect文件校验

貌似过ZProtect的文件校验比较简单，下面以1.4.4.0 Pro为例(1.4.9.0 Preview2也可以)。

加了ZProtect壳的程序如果被修改，运行将提示“当前程序文件已经被破坏，请重新安装软件！”，然后退出程序，这个就是ZProtect的文件校验。

1、目标文件名为Notepad.zp.exe，OD打开之，bp MapViewOfFile在MapViewOfFile下个断点，F9运行，中断后F2取消断点，然后Atl + F9返回。

2、现在eax指向的内存里就是Notepad.zp.exe文件自身的内容，hr eax在eax指向的内存下硬件访问断点，F9运行，中断在下面：

1. 00953C37     56                   push    esi
   
2. 00953C38     57                   push    edi
   
3. 00953C39     8DA424 00000000      lea     esp, dword ptr [esp]
   
4. 00953C40     0FB63A               movzx   edi, byte ptr [edx]
   
5. 00953C43     8BF0                 mov     esi, eax    ; ★ 中断在这里
   
6. 00953C45     81E6 FF000000        and     esi, 0FF
   
7. 00953C4B     33F7                 xor     esi, edi
   
8. 00953C4D     C1E8 08              shr     eax, 8
   
9. 00953C50     3304B5 AC989600      xor     eax, dword ptr [esi*4+9698AC]
   
10. 00953C57     83E9 01              sub     ecx, 1
    
11. 00953C5A     83C2 01              add     edx, 1
    
12. 00953C5D     85C9                 test    ecx, ecx
    
13. 00953C5F   ^ 75 DF                jnz     short 00953C40
    
14. 00953C61     5F                   pop     edi
    
15. 00953C62     5E                   pop     esi
    
16. 00953C63     F7D0                 not     eax
    
17. 00953C65     C3                   ret

复制代码

这里就是计算校验码的地方，这里会被调用两次，得到两个值，最后xor两个值得到最终的文件校验码。
删除硬件断点，然后在00953C65处按F4，然后F8。

3、反复按F7，直到出现cmp指令，大致过程如下(已去除花指令)：

1. 0096F592     8B4C24 24            mov     ecx, dword ptr [esp+24]
   
2. 00970BF1     8B5424 10            mov     edx, dword ptr [esp+10]
   
3. 0097294B     33C8                 xor     ecx, eax    ; ★ 前面计算得的两个值xor得到最终的校验码
   
4. 0096C9A9     3B4A 40              cmp     ecx, dword ptr [edx+40]
   
5. ; ★ ecx=文件现在的校验码，dword ptr [edx+40]=文件原始的校验码

复制代码

dword ptr [edx+40]指向的内存是文件里的固定地址，可以直接修改的，将dword ptr [edx+40]内存里的值改为ecx的值，然后复制到可执行文件就可以了。