精易论坛

标题: 易语言程序检测代码 [打印本页]

---

作者: 莉繁    时间: 2023-2-23 12:56
标题: 易语言程序检测代码
1：类名检测：易语言默认的进程类名为：WTWindow
我们可以用枚举进程，并获取类名来检测
代码：

  

子程序名	返回值类型	公开	备 注
检测_易语言程序_类名检测	逻辑型

变量名	类 型	静态	数组	备 注
id	整数型		0
pn	文本型		0
i	整数型
返回逻辑	逻辑型

进程_枚举 (pn, id)
计次循环首 (取数组成员数 (id), i)
如果真 (取窗口类名 (进程_名取句柄 (pn [i])) ＝ “WTWindow”)
信息框 (“发现易语言程序！”, 0, , )
返回逻辑 ＝ 真

计次循环尾 ()
返回 (返回逻辑)

i支持库列表	支持库注释
eAPI	应用接口支持库

.版本 2<br /> .支持库 eAPI<br /> <br /> .子程序 检测_易语言程序_类名检测, 逻辑型<br /> .局部变量 id, 整数型, , "0"<br /> .局部变量 pn, 文本型, , "0"<br /> .局部变量 i, 整数型<br /> .局部变量 返回逻辑, 逻辑型<br /> <br /> 进程_枚举 (pn, id)<br /> .计次循环首 (取数组成员数 (id), i)<br />     .如果真 (取窗口类名 (进程_名取句柄 (pn <i>)) ＝ “WTWindow”)<br />         信息框 (“发现易语言程序！”, 0, , )<br />         返回逻辑 ＝ 真<br />     .如果真结束<br /> <br /> .计次循环尾 ()<br /> 返回 (返回逻辑)

2：401000代码处检测
易语言编译后程序的401000地址的代码是"xor eax,eax"
我们就用这个检测
代码：

  

子程序名	返回值类型	公开	备 注
检测_易语言程序_401000检测	逻辑型

变量名	类 型	静态	数组	备 注
id	整数型		0
pn	文本型		0
i	整数型
返回逻辑	逻辑型

进程_枚举 (pn, id)
计次循环首 (取数组成员数 (id), i)
如果真 (读内存字节集 (id [i], 401000, ) ＝ 还原字节集_ (“33 C0”))
信息框 (“发现易语言程序！”, 0, , )
返回逻辑 ＝ 真

计次循环尾 ()
返回 (返回逻辑)

.版本 2<br /> <br /> .子程序 检测_易语言程序_401000检测, 逻辑型<br /> .局部变量 id, 整数型, , "0"<br /> .局部变量 pn, 文本型, , "0"<br /> .局部变量 i, 整数型<br /> .局部变量 返回逻辑, 逻辑型<br /> <br /> 进程_枚举 (pn, id)<br /> .计次循环首 (取数组成员数 (id), i)<br />     .如果真 (读内存字节集 (id <i>, 401000, ) ＝ 还原字节集_ (“33 C0”))<br />         信息框 (“发现易语言程序！”, 0, , )<br />         返回逻辑 ＝ 真<br />     .如果真结束<br /> <br /> .计次循环尾 ()<br /> 返回 (返回逻辑)

我目前就只有这2个思路


防检测：
1：对于类名检测
我们可以在窗口属性处修改类名
2：对于401000检测
可以用黑月编译器的指定编译模式
只要401000地址位置不是xor eax,eax就行
或是加壳什么的

预防方式还是比较多的

---

作者: 莉繁    时间: 2023-2-23 12:58
第2中方式模块：模块可以随便，我只是调用读字节集而已

---

作者: 蛀牙    时间: 2023-2-23 13:24
不负责任的检测办法好多正规软件运行报错

---

作者: maozaiba    时间: 2023-2-23 14:08
用VMP加壳传到360沙箱云还是能被检查到易语言相关的文本，比如易官网的域名
想要一键去除易语言特征的工具

---

作者: bysy    时间: 2023-2-23 17:33

  

bin ＝ 读入文件 (“xxx.exe”)
bin2 ＝ 到字节集 (“name=” ＋ #引号 ＋ “E.App”)
如果真 (寻找字节集 (bin, bin2, ) ≠ -1)
调试输出 (“发现易语言程序”)

i支持库列表	支持库注释
spec	特殊功能支持库

.版本 2<br /> .支持库 spec<br /> <br /> bin ＝ 读入文件 (“xxx.exe”)<br /> bin2 ＝ 到字节集 (“name=” ＋ #引号 ＋ “E.App”)<br /> .如果真 (寻找字节集 (bin, bin2, ) ≠ -1)<br />     调试输出 (“发现易语言程序”)

---

作者: 莉繁    时间: 2023-2-23 18:29
发生什么事了？

---

作者: 本森Bin    时间: 2023-2-23 23:09
这类研究支持！想要一键去除易语言特征的工具

---

作者: shuaier    时间: 2023-2-24 08:22
看看，学学，支持楼主

---

作者: shj0205    时间: 2023-2-24 08:34
感谢分享!

---

作者: 一指温柔    时间: 2023-2-24 08:42
感谢分享!

---

作者: 396384183    时间: 2023-2-24 08:54
感谢分享!

---

作者: jysoft2022    时间: 2023-2-24 11:28
感谢分享

---

作者: renjianhong48we    时间: 2023-2-24 15:23
感谢分享

---

作者: a2372    时间: 2023-2-24 18:32
感谢分享!

---

作者: hjh2112    时间: 2023-2-24 20:54
请问401000是什么地址，要是检测其它的编译地址呢，

---

作者: a019872140    时间: 2023-2-25 09:04
66666666666666666666

---

作者: 一指温柔    时间: 2023-2-25 09:11
感谢分享!

---

作者: 初学易语言    时间: 2023-2-25 19:49
学习了大神

---

作者: 林深不见鹿    时间: 2023-2-26 03:14
感谢分享

---

作者: shabi001    时间: 2023-2-26 14:50
搜索特征码  易语言有自己的特征码 目前已稳定检测1年多 除了有个华硕的系统管理软件报 暂时没遇到其他的误报即时加壳的软件特征码也存在
而且还能让自己编写的易语言程序正常运行而不被报

---

作者: 灵感吖    时间: 2023-2-27 17:57
支持一下，学习看看~~~

---

作者: mimae    时间: 2023-2-28 22:13
感谢分享，谢谢

---

作者: 无泪殇    时间: 2023-2-28 23:00
666666666666666666

---

作者: 小轩鹤轩    时间: 2023-3-30 20:18

shabi001 发表于 2023-2-26 14:50
搜索特征码  易语言有自己的特征码 目前已稳定检测1年多 除了有个华硕的系统管理软件报 暂时没遇到其他的误 ...

大佬可以给下搜索的特征码吗

---

作者: 小子轩    时间: 2023-4-4 11:11
666666666666

---

作者: Akari    时间: 2023-10-12 23:01
感谢分享，很给力！~

---

欢迎光临 精易论坛 (https://125.confly.eu.org/)

Powered by Discuz! X3.4