易语言程序检测代码

莉繁

1：类名检测：易语言默认的进程类名为：WTWindow
我们可以用枚举进程，并获取类名来检测
代码：

  

子程序名	返回值类型	公开	备 注
检测_易语言程序_类名检测	逻辑型

变量名	类 型	静态	数组	备 注
id	整数型		0
pn	文本型		0
i	整数型
返回逻辑	逻辑型

进程_枚举 (pn, id)
计次循环首 (取数组成员数 (id), i)
如果真 (取窗口类名 (进程_名取句柄 (pn [i])) ＝ “WTWindow”)
信息框 (“发现易语言程序！”, 0, , )
返回逻辑 ＝ 真

计次循环尾 ()
返回 (返回逻辑)

i支持库列表	支持库注释
eAPI	应用接口支持库

.版本 2<br /> .支持库 eAPI<br /> <br /> .子程序 检测_易语言程序_类名检测, 逻辑型<br /> .局部变量 id, 整数型, , "0"<br /> .局部变量 pn, 文本型, , "0"<br /> .局部变量 i, 整数型<br /> .局部变量 返回逻辑, 逻辑型<br /> <br /> 进程_枚举 (pn, id)<br /> .计次循环首 (取数组成员数 (id), i)<br />     .如果真 (取窗口类名 (进程_名取句柄 (pn <i>)) ＝ “WTWindow”)<br />         信息框 (“发现易语言程序！”, 0, , )<br />         返回逻辑 ＝ 真<br />     .如果真结束<br /> <br /> .计次循环尾 ()<br /> 返回 (返回逻辑)

2：401000代码处检测
易语言编译后程序的401000地址的代码是"xor eax,eax"
我们就用这个检测
代码：

  

子程序名	返回值类型	公开	备 注
检测_易语言程序_401000检测	逻辑型

变量名	类 型	静态	数组	备 注
id	整数型		0
pn	文本型		0
i	整数型
返回逻辑	逻辑型

进程_枚举 (pn, id)
计次循环首 (取数组成员数 (id), i)
如果真 (读内存字节集 (id [i], 401000, ) ＝ 还原字节集_ (“33 C0”))
信息框 (“发现易语言程序！”, 0, , )
返回逻辑 ＝ 真

计次循环尾 ()
返回 (返回逻辑)

.版本 2<br /> <br /> .子程序 检测_易语言程序_401000检测, 逻辑型<br /> .局部变量 id, 整数型, , "0"<br /> .局部变量 pn, 文本型, , "0"<br /> .局部变量 i, 整数型<br /> .局部变量 返回逻辑, 逻辑型<br /> <br /> 进程_枚举 (pn, id)<br /> .计次循环首 (取数组成员数 (id), i)<br />     .如果真 (读内存字节集 (id <i>, 401000, ) ＝ 还原字节集_ (“33 C0”))<br />         信息框 (“发现易语言程序！”, 0, , )<br />         返回逻辑 ＝ 真<br />     .如果真结束<br /> <br /> .计次循环尾 ()<br /> 返回 (返回逻辑)

我目前就只有这2个思路


防检测：
1：对于类名检测
我们可以在窗口属性处修改类名
2：对于401000检测
可以用黑月编译器的指定编译模式
只要401000地址位置不是xor eax,eax就行
或是加壳什么的

预防方式还是比较多的

Akari

感谢分享，很给力！~

小子轩

666666666666

小轩鹤轩

shabi001 发表于 2023-2-26 14:50
搜索特征码  易语言有自己的特征码 目前已稳定检测1年多 除了有个华硕的系统管理软件报 暂时没遇到其他的误 ...

大佬可以给下搜索的特征码吗

无泪殇

666666666666666666

mimae

感谢分享，谢谢

灵感吖

支持一下，学习看看~~~

shabi001

搜索特征码  易语言有自己的特征码 目前已稳定检测1年多 除了有个华硕的系统管理软件报 暂时没遇到其他的误报即时加壳的软件特征码也存在
而且还能让自己编写的易语言程序正常运行而不被报

林深不见鹿

感谢分享

初学易语言

学习了大神