第三章軟件安全技術(shù)

第三章軟件安全技術(shù)第一頁(yè)，共二十六頁(yè)，編輯于2023年，星期四第三章計(jì)算機(jī)軟件安全技術(shù)第二頁(yè)，共二十六頁(yè)，編輯于2023年，星期四Contents軟件安全概述1常用的軟件保護(hù)技術(shù)2反跟蹤技術(shù)3軟件加殼與脫殼4第三頁(yè)，共二十六頁(yè)，編輯于2023年，星期四3.1軟件安全技術(shù)概述

計(jì)算機(jī)軟件安全主要是指保證所有計(jì)算機(jī)程序和文檔資料免遭破壞、非法拷貝、非法使用而采用的技術(shù)和方法，其內(nèi)容包括如下五個(gè)方面：（1）軟件的自身安全（2）軟件的存儲(chǔ)安全（3）軟件的通信安全（4）軟件的使用安全（5）軟件的運(yùn)行安全第四頁(yè)，共二十六頁(yè)，編輯于2023年，星期四

影響計(jì)算機(jī)軟件安全的因素很多，要確保其安全，必須采取兩方面的措施：一是非技術(shù)性措施，如制定有關(guān)法律、法規(guī)，加強(qiáng)各方面的管理等。二是技術(shù)性措施，如采用軟件安全的各種防拷貝加密技術(shù)、防靜態(tài)分析、防動(dòng)態(tài)跟蹤技術(shù)等。第五頁(yè)，共二十六頁(yè)，編輯于2023年，星期四3.2軟件分析技術(shù)

在進(jìn)行軟件的破解、解密工作中，一個(gè)首要的問(wèn)題是對(duì)軟件進(jìn)行分析。這些軟件都是機(jī)器代碼程序，對(duì)于它們分析必須使用靜態(tài)或動(dòng)態(tài)調(diào)試工具，分析跟蹤其匯編代碼。3.2.1靜態(tài)分析技術(shù)所謂靜態(tài)分析即從反匯編出來(lái)的程序清單上分析，從提示信息入手進(jìn)行分析。如果我們對(duì)靜態(tài)反匯編出來(lái)的程序清單進(jìn)行閱讀，就可以從中找到有用的提示信息，了解軟件的編程思路，以便順利破解。常用的靜態(tài)分析工具有W32DASM、IDA和HIEW等。W32DASM可以方便的反匯編程序，它能靜態(tài)分析程序流程，也可動(dòng)態(tài)分析程序。在其新版本中，還加強(qiáng)了對(duì)中文字符串的提取，W32DASM的界面如下圖所示：第六頁(yè)，共二十六頁(yè)，編輯于2023年，星期四第七頁(yè)，共二十六頁(yè)，編輯于2023年，星期四3.2軟件分析技術(shù)3.2.2動(dòng)態(tài)分析技術(shù)所謂動(dòng)態(tài)分析是指利用動(dòng)態(tài)分析工具一步一步地單步執(zhí)行軟件。為了有效地進(jìn)行動(dòng)態(tài)跟蹤分析，需要進(jìn)行以下兩個(gè)步驟：第一步，對(duì)軟件進(jìn)行粗跟蹤。第二步，對(duì)關(guān)鍵部分進(jìn)行細(xì)跟蹤。常用的動(dòng)態(tài)分析工具有Soft-ICE和Trw2000。Trw2000完全兼容Soft-ICE的各條指令，并且專(zhuān)門(mén)針對(duì)軟件破解進(jìn)行了優(yōu)化，在Windows9x下跟蹤調(diào)試功能更強(qiáng)?？梢栽O(shè)置各種斷點(diǎn)，并且斷點(diǎn)種類(lèi)更多。它可以像一些脫殼工具一樣完成對(duì)加密外殼的去除，自動(dòng)生成EXE文件。它還有在DOS下的版本，名為T(mén)R。下圖為T(mén)rw2000界面：第八頁(yè)，共二十六頁(yè)，編輯于2023年，星期四第九頁(yè)，共二十六頁(yè)，編輯于2023年，星期四3.3常用的軟件保護(hù)技術(shù)

常見(jiàn)的軟件保護(hù)技術(shù)有序列號(hào)方式、時(shí)間限制、警告窗口、KeyFile保護(hù)、功能限制、CD—check等，下面對(duì)它們分別做出簡(jiǎn)要介紹。3.3.1序列號(hào)方式3.3.2時(shí)間限制3.3.3Nag窗口3.3.4KeyFile保護(hù)3.3.5功能限制的程序3.3.6CD-check

第十頁(yè)，共二十六頁(yè)，編輯于2023年，星期四*3.4反跟蹤技術(shù)

反跟蹤技術(shù)是磁盤(pán)加密技術(shù)中最能顯示技術(shù)水平的部分。一個(gè)有效的反跟蹤技術(shù)應(yīng)該具有以下三個(gè)特征：(1)重要程序段是不可跳越和修改的。(2)不通過(guò)加密系統(tǒng)的譯碼算法,密碼不可破譯。(3)加密系統(tǒng)是不可動(dòng)態(tài)跟蹤執(zhí)行的。

第十一頁(yè)，共二十六頁(yè)，編輯于2023年，星期四*3.4反跟蹤技術(shù)

下面我們以DOS中功能強(qiáng)大的動(dòng)態(tài)跟蹤調(diào)試軟件DEBUG為例，對(duì)常用的反跟蹤技術(shù)作出說(shuō)明。：3.4.1抑制跟蹤中斷3.4.2封鎖鍵盤(pán)輸入3.4.3設(shè)置顯示器的顯示性能3.4.4檢測(cè)跟蹤法3.4.5破壞中斷向量表3.4.6設(shè)置堆棧指針?lè)ǖ谑?yè)，共二十六頁(yè)，編輯于2023年，星期四3.4.7對(duì)程序分塊加密執(zhí)行3.4.8對(duì)程序段進(jìn)行校驗(yàn)3.4.9迷惑、拖垮解密者3.4.10指令流隊(duì)列法3.4.11逆指令流法3.4.12混合編程法3.4.13自編軟中斷13技術(shù)

第十三頁(yè)，共二十六頁(yè)，編輯于2023年，星期四3.5軟件加殼與脫殼3.5.1加殼

計(jì)算機(jī)軟件中的“殼”是一段專(zhuān)門(mén)負(fù)責(zé)保護(hù)軟件不被非法修改或反編譯的程序。它們一般都是先于程序運(yùn)行，拿到控制權(quán)，然后完成它們保護(hù)軟件的任務(wù)。就像動(dòng)植物的殼一般都是在身體外面一樣理所當(dāng)然。由于這段程序和自然界的殼在功能上有很多相同的地方，基于命名的規(guī)則，大家就把這樣的程序稱(chēng)為“殼”了。給軟件加殼的目的主要有兩點(diǎn)：第一就是達(dá)到壓縮EXE文件的目的，以節(jié)約存儲(chǔ)空間，方便網(wǎng)絡(luò)傳輸。第二就是加密保密的目的，有一些版權(quán)信息需要保護(hù)起來(lái)，不能讓別人隨意更改，如作者的姓名、軟件名稱(chēng)等。能夠完成對(duì)可執(zhí)行文件壓縮和對(duì)信息加密的軟件，我們稱(chēng)之為加殼軟件。第十四頁(yè)，共二十六頁(yè)，編輯于2023年，星期四3.5軟件加殼與脫殼

加殼軟件與一般的Winzip等壓縮軟件是有區(qū)別的。加殼后的文件能直接運(yùn)行，還是一個(gè)可執(zhí)行文件，它們的壓縮是在內(nèi)存中完成的。而Winzip等軟件只能把文件解壓到硬盤(pán)中，只是將壓縮后的文件還原成源文件。加殼與沒(méi)有加殼軟件的運(yùn)行情況如圖所示：

第十五頁(yè)，共二十六頁(yè)，編輯于2023年，星期四常見(jiàn)的加殼軟件有ASPack、UPX、PECompact等。第十六頁(yè)，共二十六頁(yè)，編輯于2023年，星期四3.5軟件加殼與脫殼3.5.2脫殼

“脫殼”顧名思義，就是把在軟件外面起保護(hù)作用的“殼”程序去掉。脫殼有兩種方法：一種是自動(dòng)脫殼，另一種是手動(dòng)脫殼。（1）自動(dòng)脫殼自動(dòng)脫殼就是用相應(yīng)的脫殼程序?qū)用艿某绦蜻M(jìn)行脫殼的方法。一般每種壓縮工具的殼，都會(huì)有相應(yīng)的脫殼工具，因此只要找到較新版本的脫殼工具，一般的殼都可輕易脫去。首先，我們要知道軟件使用的是哪種加殼軟件進(jìn)行加密的，這就得用到偵測(cè)文件類(lèi)型的工具。常用的偵測(cè)文件類(lèi)型工具有Language2000、FileInfo、GetTyp、TYP等。

第十七頁(yè)，共二十六頁(yè)，編輯于2023年，星期四3.5軟件加殼與脫殼下圖為L(zhǎng)anguage2000中文版的界面：第十八頁(yè)，共二十六頁(yè)，編輯于2023年，星期四用偵冊(cè)文件類(lèi)型工具查出軟件使用的加殼工具后，再用相應(yīng)的脫殼工具即可實(shí)現(xiàn)自動(dòng)脫殼。常用的脫殼工具有：UnAspack、AspackDie1.4、UnPEPack、ProcDump32等。第十九頁(yè)，共二十六頁(yè)，編輯于2023年，星期四3.5軟件加殼與脫殼（2）手動(dòng)脫殼手動(dòng)脫殼是指不借助自動(dòng)脫殼工具，而是用動(dòng)態(tài)調(diào)試工具SOFTICE或TRW2000來(lái)脫殼。手動(dòng)脫殼一般難度較大，使用的工具有調(diào)試器（SoftICE、TRW2000等），內(nèi)存抓取工具（Procdump等），十六進(jìn)制工具（Hiew、UltraEdit、HexWorkshop等），PE編輯工具（Procdump、Peditor等）。手動(dòng)脫殼的一般步驟為：第一步，確定殼的種類(lèi)。第二步，入口點(diǎn)（EntryPoint）的確定。第三步，dump取內(nèi)存已還原文件。第四步，修正剛dump取的文件。

第二十頁(yè)，共二十六頁(yè)，編輯于2023年，星期四3.6軟件安全保護(hù)建議

本節(jié)給出的關(guān)于軟件保護(hù)的一般性建議，是無(wú)數(shù)人經(jīng)驗(yàn)的總結(jié)。在設(shè)計(jì)軟件保護(hù)方式時(shí)遵守這些準(zhǔn)則，將會(huì)提高軟件的保護(hù)強(qiáng)度。第二十一頁(yè)，共二十六頁(yè)，編輯于2023年，星期四3.6軟件安全保護(hù)建議（1）軟件最終發(fā)行之前一定要將可執(zhí)行程序進(jìn)行加殼/壓縮，使得解密者無(wú)法直接修改程序。（2）增加對(duì)軟件自身的完整性檢查。（3）不要采用一目了然的名字來(lái)命名函數(shù)和文件（4）盡可能少地給用戶(hù)提示信息。（5）將注冊(cè)碼、安裝時(shí)間記錄在多個(gè)不同的地方。第二十二頁(yè)，共二十六頁(yè)，編輯于2023年，星期四3.6軟件安全保護(hù)建議（6）檢查注冊(cè)信息和時(shí)間的代碼越分散越好。（7）通過(guò)讀取關(guān)鍵的系統(tǒng)文件的修改時(shí)間來(lái)得到系統(tǒng)時(shí)間的信息。（8）如果有可能的話(huà)，可以采用聯(lián)網(wǎng)檢查注冊(cè)碼的方法，且數(shù)據(jù)在網(wǎng)上傳輸時(shí)要加密。（9）除了加殼/壓縮之外，還需要自己編程在軟件中嵌入反跟蹤的代碼，以增加安全性。第二十三頁(yè)，共二十六頁(yè)，編輯于2023年，星期四3.6軟件安全保護(hù)建議（10）在檢查注冊(cè)信息的時(shí)候插入大量無(wú)用的運(yùn)算以誤導(dǎo)解密者，并在檢查出錯(cuò)誤的注冊(cè)信息之后加入延時(shí)。（11）給軟件保護(hù)加入一定的隨機(jī)性。（12）如果采用注冊(cè)碼的保護(hù)方式，最好是一機(jī)一碼，即注冊(cè)碼與機(jī)器特征相關(guān)。（13）如果試用版軟件沒(méi)有某項(xiàng)功能，則不要僅僅使相關(guān)的菜單變灰，而是徹底刪除相關(guān)的代碼，使得編譯后的程序中根本沒(méi)有相關(guān)的功能代碼。第二十四頁(yè)，共二十六頁(yè)，編輯于2023年，星期四（14）如果軟件中包含驅(qū)動(dòng)程序，則最好將保護(hù)判斷加