PE文件隐型加壳技术研究与实现.docVIP

PE文件隐型加壳技术研究与实现 　　（1.湖南大学 计算机与通信学院,长沙 410082；2.中国科学院 近代物理研究所，兰州 730000） 　　摘 要： 　　通过对PE(portable executable）文件格式的了解，编写PE分析工具对文件内部结构进行分析。详细介绍了对PE可执行文件加壳的全过程，在此过程中巧妙地使用MD5、CRC32等成熟的hash算法及防API断点跟踪等多种反破解技术，并采用自动隐藏加密方案，大大地提高了软件的保护力度。 　　关键词：可移植的可执行文件； 加壳； 哈希算法； 反跟踪 　　中图分类号：TP309+.7 文献标志码：A 　　 文章编号：1001?B3695(2009)01?B0337?B02 　　 　　Research and implementation of PE file stealthy shell technique 　　XU Xiangyang1, XIE Qingchun1,2, LIUYong2, YUDi1, LIUYin1 　　(1.College of Computer Communication， Hunan University， Changsha 410082, China; 2.Institute of Modern Physics， Chinese Academy of Sciences， Lanzhou 730000, China) 　　Abstract:Wrote an analysis tool at the base of understanding the portable executable file format.It presented the whole processes of the encrypting on the PE file in detail.In these processes,used variety anticrack techniques such as MD5, CRC32 algorithms of mature hash as well as antitrack from the interrupt of API functions, and also used some methods of automatic hiding and encrypting.The result is that the protection strength of the software is enhanced. 　　Key words：PE file; shell; hash algorithm; antitrack 　　?オ? 　　众所周知，当今盗版软件问题很严重，侵犯了软件开发者的知识产权，对软件产业的健康发展造成了不利的影响。为了防止软件被非法复制、修改，除了用法律对产权进行保护之外也需要对产品本身从技术上进行保护。软件加壳技术是目前保护知识产权的一种有效方法。有软件加壳就有脱壳，有时候越有名的加密技术反而会更不安全，因为一个软件的加密程度越强，就会引来更多人对它进行研究，使其被破解的机会就越大。所以说软件开发者有必要根据自己需要，建立模型、提出自己的加壳保护方案，以达到软件在生命周期内被保护的目的。本文研究对象就是Win 32平台下的PE文件，笔者综合应用了当今优秀的加壳技术，如比较成熟的密码学算法和多种反破解方法，结合自己提出的独特的隐形加密方案实现，大大提高了软件的保护力度。?? 　　1 PE文件结构?? 　　PE是Win 32环境自身所带的执行文件格式。通过对PE的深刻了解，根据对PE各个部分之间的联系，得到PE文件总体框架结构图[1,2]，如图1所示。PE各个模块的详细解释参见文献[1]。可以将一个PE文件看成一本书，将每个section看成书的内容。这本书有两个目录，第一个目录是块表，有块表就可以找到相应的块；第二个目录则是data directory，这是一个类似于索引的目录，利用它可以很快找到相应的数据。要明确一点：一个块表只可以定位一个相应的块，而几个数据目录可以指向同一个块。?? 　　2 自动隐藏加密方案的设计和实现 ?? 　　加壳是加密的一种，本方案主要是介绍密码型加壳，这种加壳方案一般应用在共享软件的注册、对重要执行文件设置特定权限等领域。在运行带壳的程序时，首先会提示用户输入用户名、口令或者注册码。输入指令正确，外壳程序对内部加密的块表等还原之后定位到原程序并执行。如果破解者强行更改密码检测指令，会导致程序不正确地执行。因为被加密的代码并没有用相应的口令进行解码，块表没有被还原，指令就不能准确地定位。?? 　　本文设计的软件加壳方案主要由三部分