反動態(tài)跟蹤及抗靜態(tài)分析

1、反動態(tài)跟蹤及抗靜態(tài)分析墼囂黧劉耀和劉群一_,反動態(tài)跟蹤是軟件加密的一種關鍵技術.它是阻止解密者破譯的一種董妻手曩.只要突破了反跟蹤模塊,那么這個軟件所加的密就基本解決了.因此反跟蹤模塊的好壞直接反映了加密軟件的水平,也是評價加密軟件的一十最重要指標.通常反跟蹤模塊內必定包含多種抗靜態(tài)分析的方法,所謂抗靜態(tài)分析主要是指抗反匯編能力.防止破譯者用DEBUG實用程序中的u命夸或其它反匯編工具將程序清單打印出來進行分析.目前反跟蹤方法很多,其基本思想是直接破壞DEBUG實用程序所需的操作系繾或軟硬件界面資源,總的效果是使跟蹤調試程序無法正常運行.通常在破壞性修改前.先保留系統(tǒng)的原始狀態(tài)信息,然后進行修

2、改,雖后在適當?shù)臅r候再恢復系統(tǒng)資源,使系統(tǒng)正常運行=反跟蹤技術有很多方法,下面僅就幾點來談談自己的一些體會.起到拋磚引玉的作用1.隱蔽轉移為r讓用戶發(fā)現(xiàn)程序的走向,應采用多種不同的隱式調用.如加法溢出INTO和除法溢出.當加法溢出或被零除時,處理機會自動產生溢出中斷,控制轉向溢出處理程序,而這時溢出處理程序已被加密程序所取代.在中斷處理返回時,要恢復的標志寄存器,如在程序中把將要恢復的標志寄存器中單步標志置位,那么程序在返回時.并非返回調用程序,而是轉入單步中斷處理程序,而這時的單步中斷處理程序也被加密程序所取代.2.太循環(huán),多出口為了使跟蹤者難以找到程序的入口和出口.應適當采用大循環(huán),多出口

3、技術,即一大段程序故意多次循環(huán).在這些循環(huán)中,出口有許多個,并且許多出口的轉向由程序動態(tài)設置,這樣跟蹤者就事先無法決定程序走向,無法正確設置斷點3.分段分塊加密加密程序中某些代碼段,對包含在其中的任何代碼都不允許作任何改動,否則,隨后的程序就不可能得到正確的結果.如果用DEBUG去跟蹤它.設置斷點的地方也會在返回之前被暫時改變,從而得不到正確的結果.4.防止用中斷處理程序侵人反跟蹤代碼由于大多數(shù)讀密鈳盤的程序是用INT13H來實現(xiàn)的,那么解密者就可將自己的程序掛在原INT13H前,從而侵入n踅ll,一ll_參譬反跟蹤代碼達到解密的目的.為了防止用中斷處理程序侵入反跟蹤代碼,可用如下指令代替(其

4、中0F000H:0EC59H為ROMBIOS中INT13H的入口地址,由于微機設計者考慮到系繾的兼容性.軟盤驅動程序的入口地址大都一樣):PUSHFCALLOFO00H:0EC59H目前反跟蹤技術的發(fā)展趨勢是越來越趨向于保護程序,防止破密者對程序代碼的修改,如LOCK89,SS-LOCK等,都采用將本段代碼作累加和的方法來與預定的值比較或不進行比較而是直接作為操作數(shù)用到程序譯碼中.如該累加和不對則譯出的程序碼就發(fā)生錯誤使得程序無法運行.但僅用求累加和的方法是不夠的,還應求累減差或其它運算,使解密密鑰的形成更為復雜.近幾年,國內出現(xiàn)了加密盒和加密卡,這些方法幫可有效地保證在一段時間內軟件不被擴散

5、.現(xiàn)在較大規(guī)模的軟件都采用了硬卡,一般來講.帶硬卡的軟件是不太容易被破密的雖然最終可以破譯,但需要較長的時同,對一般個人來說不易辦到.因為如要破譯某十軟件就必須手頭有一份該軟件,而個人對帶硬卡的軟件是不易弄到的S而某些軟件需要硬件支持才能運行,所以用硬件保護軟件是十分好的方法但也十分麻煩,整十加密過程都要靠軟件開放者自己來完成,硬件也要自己來設計.這樣會延長軟件的生產周期,使軟件的造價更高.無論用加密卡還是加密盒其目的與軟盤加密一樣,使非法用戶無法獲得密鑰,從而使非法用戶復制的軟件無法運行但無論密鑰怎樣制作,其反跟蹤模塊是關鍵.筆者在沒有原始密盤的情況下,將激光加密軟件PRO.LOK,LOCK89,SSLOCK順利解密,這其中的奧秘就突破了反跟蹤模塊,獲得了解密后的原代碼.故現(xiàn)在的加密軟件還應在反跟蹤代碼的封閉性上多下功夫,使解密者無機可乘.孝Tel:027700564FAX:027703396熬98瑟要i譽臻霧囂囂;溉i蠢篡i蠢蕊.毒霧斜毒斌善善一1993.tl一蠢T,蓮