反动态跟踪及抗静态分析

1、反动态跟踪及抗静态分析墼嚣黧刘耀和刘群一_,反动态跟踪是软件加密的一种关键技术.它是阻止解密者破译的一种董妻手曩.只要突破了反跟踪模块,那么这个软件所加的密就基本解决了.因此反跟踪模块的好坏直接反映了加密软件的水平,也是评价加密软件的一十最重要指标.通常反跟踪模块内必定包含多种抗静态分析的方法,所谓抗静态分析主要是指抗反汇编能力.防止破译者用DEBUG实用程序中的u命夸或其它反汇编工具将程序清单打印出来进行分析.目前反跟踪方法很多,其基本思想是直接破坏DEBUG实用程序所需的操作系缱或软硬件界面资源,总的效果是使跟踪调试程序无法正常运行.通常在破坏性修改前.先保留系统的原始状态信息,然后进行修

2、改,虽后在适当的时候再恢复系统资源,使系统正常运行=反跟踪技术有很多方法,下面仅就几点来谈谈自己的一些体会.起到抛砖引玉的作用1.隐蔽转移为r让用户发现程序的走向,应采用多种不同的隐式调用.如加法溢出INTO和除法溢出.当加法溢出或被零除时,处理机会自动产生溢出中断,控制转向溢出处理程序,而这时溢出处理程序已被加密程序所取代.在中断处理返回时,要恢复的标志寄存器,如在程序中把将要恢复的标志寄存器中单步标志置位,那么程序在返回时.并非返回调用程序,而是转入单步中断处理程序,而这时的单步中断处理程序也被加密程序所取代.2.太循环,多出口为了使跟踪者难以找到程序的入口和出口.应适当采用大循环,多出口

3、技术,即一大段程序故意多次循环.在这些循环中,出口有许多个,并且许多出口的转向由程序动态设置,这样跟踪者就事先无法决定程序走向,无法正确设置断点3.分段分块加密加密程序中某些代码段,对包含在其中的任何代码都不允许作任何改动,否则,随后的程序就不可能得到正确的结果.如果用DEBUG去跟踪它.设置断点的地方也会在返回之前被暂时改变,从而得不到正确的结果.4.防止用中断处理程序侵人反跟踪代码由于大多数读密钶盘的程序是用INT13H来实现的,那么解密者就可将自己的程序挂在原INT13H前,从而侵入n踅ll,一ll_参譬反跟踪代码达到解密的目的.为了防止用中断处理程序侵入反跟踪代码,可用如下指令代替(其

4、中0F000H:0EC59H为ROMBIOS中INT13H的入口地址,由于微机设计者考虑到系缱的兼容性.软盘驱动程序的入口地址大都一样):PUSHFCALLOFO00H:0EC59H目前反跟踪技术的发展趋势是越来越趋向于保护程序,防止破密者对程序代码的修改,如LOCK89,SS-LOCK等,都采用将本段代码作累加和的方法来与预定的值比较或不进行比较而是直接作为操作数用到程序译码中.如该累加和不对则译出的程序码就发生错误使得程序无法运行.但仅用求累加和的方法是不够的,还应求累减差或其它运算,使解密密钥的形成更为复杂.近几年,国内出现了加密盒和加密卡,这些方法帮可有效地保证在一段时间内软件不被扩散

5、.现在较大规模的软件都采用了硬卡,一般来讲.带硬卡的软件是不太容易被破密的虽然最终可以破译,但需要较长的时同,对一般个人来说不易办到.因为如要破译某十软件就必须手头有一份该软件,而个人对带硬卡的软件是不易弄到的S而某些软件需要硬件支持才能运行,所以用硬件保护软件是十分好的方法但也十分麻烦,整十加密过程都要靠软件开放者自己来完成,硬件也要自己来设计.这样会延长软件的生产周期,使软件的造价更高.无论用加密卡还是加密盒其目的与软盘加密一样,使非法用户无法获得密钥,从而使非法用户复制的软件无法运行但无论密钥怎样制作,其反跟踪模块是关键.笔者在没有原始密盘的情况下,将激光加密软件PRO.LOK,LOCK89,SSLOCK顺利解密,这其中的奥秘就突破了反跟踪模块,获得了解密后的原代码.故现在的加密软件还应在反跟踪代码的封闭性上多下功夫,使解密者无机可乘.孝Tel:027700564FAX:027703396熬98瑟要i誉臻雾嚣嚣;溉i蠢篡i蠢蕊.毒雾斜毒斌善善一1993.tl一蠢T,莲