反动态跟踪及抗静态分析.doc

反动态跟踪及抗静态分析 墼嚣黧 刘耀和刘群 ————一——_, 反动态跟踪是软件加密的一种关键技术.它是阻止 解密者破译的一种董妻手曩.只要突破了反跟踪模块, 那么这个软件所加的密就基本解决了.因此反跟踪模块 的好坏直接反映了加密软件的水平,也是评价加密软件 的一十最重要指标.通常反跟踪模块内必定包含多种抗 静态分析的方法,所谓抗静态分析主要是指抗反汇编能 力.防止破译者用DEBUG实用程序中的u命夸或其 它反汇编工具将程序清单打印出来进行分析. 目前反跟踪方法很多,其基本思想是直接破坏DE BUG实用程序所需的操作系缱或软硬件界面资源,总 的效果是使跟踪调试程序无法正常运行.通常在破坏性 修改前.先保留系统的原始状态信息,然后进行修改,虽 后在适当的时候再恢复系统资源,使系统正常运行= 反跟踪技术有很多方法,下面仅就几点来谈谈自己 的一些体会.起到抛砖引玉的作用 1.隐蔽转移为r让用户发现程序的走向,应采用 多种不同的隐式调用.如加法溢出INTO和除法溢出. 当加法溢出或被零除时,处理机会自动产生溢出中断, 控制转向溢出处理程序,而这时溢出处理程序已被加密 程序所取代.在中断处理返回时,要恢复的标志寄存器, 如在程序中把将要恢复的标志寄存器中单步标志置位, 那么程序在返回时.并非返回调用程序,而是转入单步 中断处理程序,而这时的单步中断处理程序也被加密程 序所取代. 2.太循环,多出口为了使跟踪者难以找到程序的 入口和出口.应适当采用大循环,多出口技术,即一大段 程序故意多次循环.在这些循环中,出口有许多个,并且 许多出口的转向由程序动态设置,这样跟踪者就事先无 法决定程序走向,无法正确设置断点 3.分段分块加密加密程序中某些代码段,对包含 在其中的任何代码都不允许作任何改动,否则,随后的 程序就不可能得到正确的结果.如果用DEBUG去跟踪 它.设置断点的地方也会在返回之前被暂时改变,从而 得不到正确的结果. 4.防止用中断处理程序侵人反跟踪代码由于大 多数读密钶盘的程序是用INT13H来实现的,那么解 密者就可将自己的程序挂在原INT13H前,从而侵入 n 踅 ll,一ll_参譬 反跟踪代码达到解密的目的.为了防止用中断处理程序 侵入反跟踪代码,可用如下指令代替(其中0F000H: 0EC59H为ROMBIOS中INT13H的入口地址,由于 微机设计者考虑到系缱的兼容性.软盘驱动程序的入口 地址大都一样):PUSHF CALLOFO00H:0EC59H 目前反跟踪技术的发展趋势是越来越趋向于保护 程序,防止破密者对程序代码的修改,如LOCK89,SS- LOCK等,都采用将本段代码作累加和的方法来与预定 的值比较或不进行比较而是直接作为操作数用到程序 译码中.如该累加和不对则译出的程序码就发生错误使 得程序无法运行.但仅用求累加和的方法是不够的,还 应求累减差或其它运算,使解密密钥的形成更为复杂. 近几年,国内出现了加密盒和加密卡,这些方法帮 可有效地保证在一段时间内软件不被扩散.现在较大规 模的软件都采用了硬卡,一般来讲.带硬卡的软件是不 太容易被破密的虽然最终可以破译,但需要较长的时 同,对一般个人来说不易办到.因为如要破译某十软件 就必须手头有一份该软件,而个人对带硬卡的软件是不 易弄到的S而某些软件需要硬件支持才能运行,所以 用硬件保护软件是十分好的方法但也十分麻烦,整十 加密过程都要靠软件开放者自己来完成,硬件也要自己 来设计.这样会延长软件的生产周期,使软件的造价更 高.无论用加密卡还是加密盒其目的与软盘加密一样, 使非法用户无法获得密钥,从而使非法用户复制的软件 无法运行但无论密钥怎样制作,其反跟踪模块是关键. 笔者在没有原始密盘的情况下,将激光加密软件PRO. LOK,LOCK89,SSLOCK顺利解密,这其中的奥秘就突 破了反跟踪模块,获得了解密后的原代码.故现在的加 密软件还应在反跟踪代码的封闭性上多下功夫,使解密 者无机可乘.孝 Tel:027—700564FAX:027—703396 熬98瑟要i誉臻雾嚣嚣§;溉i蠢篡i蠢蕊.毒雾斜毒斌善善一1993.tl一蠢 —T, 莲_叠,誊ll㈡一-一～一__I..…∥ 一.一一豌.一一一一一一一一一勘一一一赫一一一一一一|_一蕊.一一一瓣一.一强lIl_旒?≯一阿咀_.一.一『l一一一…一鏊一一一一动一.一～一一一鼹一.