第三章软件安爱心全技术.pptVIP

计算机安全技术 王洪涛 fisher1999@yeah.net 第三章 Contents 3.1 软件安全技术概述 3.2 软件分析技术 在进行软件的破解、解密工作中，一个首要的问题是对软件进行分析。这些软件都是机器代码程序，对于它们分析必须使用静态或动态调试工具，分析跟踪其汇编代码。 3.2.1 静态分析技术 所谓静态分析即从反汇编出来的程序清单上分析，从提示信息入手进行分析。如果我们对静态反汇编出来的程序清单进行阅读，就可以从中找到有用的提示信息，了解软件的编程思路，以便顺利破解。 常用的静态分析工具有W32DASM、IDA和HIEW等。W32DASM可以方便的反汇编程序，它能静态分析程序流程，也可动态分析程序。在其新版本中，还加强了对中文字符串的提取， W32DASM的界面如下图所示： 3.2 软件分析技术 3.2.2 动态分析技术 所谓动态分析是指利用动态分析工具一步一步地单步执行软件。为了有效地进行动态跟踪分析，需要进行以下两个步骤： 第一步，对软件进行粗跟踪。第二步，对关键部分进行细跟踪。 常用的动态分析工具有Soft-ICE和Trw2000。 Trw2000完全兼容Soft-ICE的各条指令，并且专门针对软件破解进行了优化，在Windows 9x下跟踪调试功能更强。可以设置各种断点，并且断点种类更多。它可以像一些脱壳工具一样完成对加密外壳的去除，自动生成EXE文件。它还有在DOS下的版本，名为TR。下图为Trw2000界面： 3.3 常用的软件保护技术 常见的软件保护技术有序列号方式、时间限制、警告窗口、Key File保护、功能限制、CD—check等，下面对它们分别做出简要介绍。 3.3.1 序列号方式 3.3.2 时间限制 3.3.3 Nag窗口 　 3.3.4 Key File保护 3.3.5 功能限制的程序 3.3.6 CD-check *3.4 反跟踪技术 反跟踪技术是磁盘加密技术中最能显示技术水平的部分。一个有效的反跟踪技术应该具有以下三个特征： (1)重要程序段是不可跳越和修改的。 (2)不通过加密系统的译码算法,密码不可破译。 (3)加密系统是不可动态跟踪执行的。 *3.4 反跟踪技术 下面我们以DOS中功能强大的动态跟踪调试软件DEBUG为例，对常用的反跟踪技术作出说明。： 3.4.1 抑制跟踪中断 3.4.2 封锁键盘输入 3.4.3 设置显示器的显示性能 3.4.4 检测跟踪法 3.4.5 破坏中断向量表 3.4.6 设置堆栈指针法 3.4.7 对程序分块加密执行 3.4.8 对程序段进行校验 3.4.9 迷惑、拖垮解密者 3.4.10 指令流队列法 3.4.11 逆指令流法 3.4.12 混合编程法 3.4.13 自编软中断13技术 3.5 软件加壳与脱壳 3.5.1 加壳 计算机软件中的“壳”是一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为“壳”了。 给软件加壳的目的主要有两点：第一就是达到压缩EXE文件的目的，以节约存储空间，方便网络传输。第二就是加密保密的目的，有一些版权信息需要保护起来，不能让别人随意更改，如作者的姓名、软件名称等。能够完成对可执行文件压缩和对信息加密的软件，我们称之为加壳软件。 3.5 软件加壳与脱壳 加壳软件与一般的Winzip等压缩软件是有区别的。加壳后的文件能直接运行，还是一个可执行文件，它们的压缩是在内存中完成的。而Winzip等软件只能把文件解压到硬盘中，只是将压缩后的文件还原成源文件。加壳与没有加壳软件的运行情况如图所示： 3.5 软件加壳与脱壳 3.5.2 脱壳 “脱壳”顾名思义，就是把在软件外面起保护作用的“壳”程序去掉。脱壳有两种方法：一种是自动脱壳，另一种是手动脱壳。 （1）自动脱壳 自动脱壳就是用相应的脱壳程序对加密的程序进行脱壳的方法。一般每种压缩工具的壳，都会有相应的脱壳工具，因此只要找到较新版本的脱壳工具，一般的