用C_C++实现SMC动态代码加密技术.docVIP

用C/C++实现SMC动态代码加密技术 摘要：所谓SMC（Self Modifying Code）技术,就是一种将可执行文件中的代码或数据进行加密，防止别人使用逆向工程工具（比如一些常见的反汇编工具）对程序进行静态分析的方法，只有程序运行时才对代码和数据进行解密，从而正常运行程序和访问数据。计算机病毒通常也会采用SMC技术动态修改内存中的可执行代码来达到变形或对代码加密的目的，从而躲过杀毒软件的查杀或者迷惑反病毒工作者对代码进行分析。由于该技术需要直接读写对内存中的机器码，所以多采用汇编语言实现，这使得很多想在自己的程序中使用SMC技术进行软件加密的C/C++程序员望而却步。针对这种现状，本文提出了几种基于C/C++语言的机器指令定位方法，从而用C/C++语言实现了动态代码修改技术。 关键词：SMC 动态代码修改 软件加密 一、什么是SMC技术 所谓SMC（Self Modifying Code）技术,就是一种将可执行文件中的代码或数据进行加密，防止别人使用逆向工程工具（比如一些常见的反汇编工具）对程序进行静态分析的方法，只有程序运行时才对代码和数据进行解密，从而正常运行程序和访问数据。计算机病毒通常也会采用SMC技术动态修改内存中的可执行代码来达到变形或对代码加密的目的，从而躲过杀毒软件的查杀或者迷惑反病毒工作者对代码进行分析。现在，很多加密软件（或者称为“壳”程序）为了防止Cracker（破解者）跟踪自己的代码，也采用了动态代码修改技术对自身代码进行保护。以下的伪代码演示了一种SMC技术的典型应用： proc main: ............ IF .运行条件满足 CALL DecryptProc （Address of MyProc）;对某个函数代码解密 ........ CALL MyProc ;调用这个函数 ........ CALL EncryptProc （Address of MyProc）;再对代码进行加密，防止程序被Dump ...... end main 在自己的软件中使用SMC（代码自修改）技术可以极大地提高软件的安全性，保护私有数据和关键功能代码，对防止软件破解也可以起到很好的作用。但是，SMC技术需要直接读写对内存中的机器码，需要对汇编语言和机器码有相当的了解，具体的实现一般都是采用汇编语言。由于汇编语言晦涩难懂，不容易掌握，这使得很多想在自己的程序中使用SMC技术进行软件加密的C/C++程序员望而却步。难道只能用汇编语言实现SMC技术？其实不然，从理论上讲，只要支持指针变量和内存直接访问，象C/C++这样的高级语言一样可以使用SMC技术。本文就是利用C/C++语言的一些特性，比如函数地址和变量地址直接访问等特性，实现了几种对运行中的代码和数据进行动态加密和解密的方法。首先是利用Windows可执行文件的结构特性，实现了一种对整个代码段进行动态加密解密的方法；接着又利用C/C++语言中函数名称就是函数地址的特性，实现了一种对函数整体进行加密解密的方法；最后采用在代码中插入特征代码序列，通过查找匹配特征代码序列定位代码的方式，实现了一种对任意代码片断进行解密解密的方法。下面就分别介绍这几种方法。 二、对整个代码段使用SMC方式加密解密 在程序中使用SMC最简单的方法就是修改（或加密）整个数据段或代码段，这里首先要讲一下“段”的概念。这个“段”有两层含义，第一层含义是程序在内存中的分布，老的16位操作系统对内存使用分段映射的方式，使用不同的段分别存放代码、数据和堆栈，使用专用的基址寄存器访问这些段，于是就有了代码段、数据段和堆栈段等等区分。随着32位Windows的兴起，一种新的32位平坦（Flat）内存模式被引入Windows内存管理机制，在平坦模式下对段的区分已经没有意义了，但是段的概念依然被保留下来，这些同名的基址寄存器现在被成为“段选择器”，只是它们的作用和普通的寄存器已经没有区别了。段的另一层含义是指保存在磁盘上的Windows可执行文件中的数据结构（就是PE文件中的Section），是Windows在装载这个可执行文件时对代码和数据定位的参考。不过要真正理解段的概念，还需要了解Windows 可执行文件的结构和Windows将可执行文件加载到内存中的方式。 Microsoft为它的32位Windows系统设计了一种全新的可执行文件格式，被成为“Portable Executable”，也就是PE格式，PE格式的可执行文件适用于包括Windows 9X、Windows NT、Windows 2000、Windows XP以及Windows 2003在内的所