软件加壳技术的研究与实现.docxVIP

软件加壳技术的研究与实现 　　摘要 　　从软件保护角度出发，研究对可执行文件进行加密与压缩操作，仅在载入内存后才对其进行解密操作，能够很好地保护软件信息。提供多种软件保护方案，兼顾用户体验与其实用性、安全性。既对软件进行加密保护措施，又不影响其使用。 　　关键词 　　软件保护;加壳技术;软件水印 　　中图分类号：g633.6文献标识码：a 　　doi：10.19694/j.cnki.issn2095-2457.2020.04.83 　　0引言 　　随着应用软件提供的服务越来越普及，各种恶意软件往往附加在正常软件上恶意传播，危害信息安全;另一方面，为了保护软件不随意被他人“借鉴”，必须对软件中的核心算法和机密数据进行保护。那么研究软件加壳技术实现反调试、反附加等功能，从而增加破解难度，阻碍逆向分析，实现软件保护是相当有必要的。 　　就目前的破解技术来看，单一的软件保护技术已经无法抵挡破解技术的攻击，因此我们需要进行多种技术的糅合。目前最常用的保护技术是加壳，有加密壳和压缩壳等，但最常用的还是两者结合起来。此外，还有代码虚拟技术，通过构造一个虚拟机，产生一些模拟代码来模拟被保护代码的执行，产生出与保护代码相同的结果，这样就很大程度上阻止了源代码的泄露。这种代码虚拟技术几乎是目前最好的保护技术，但其复杂程度与开发难度相当高。 　　1软件加壳系统的总体设计 　　软件加壳系统主要包括三个部分，即shell部分、加壳部分和水印部分。下面将具体介绍他们的结构与相关技术。 　　1.1shell部分设计 　　shell需要先于源程序获取控制权，shell可以修改源可执行文件的组织结构，从而能更早控制该程序，对加密后的原程序进行解密，且不影响源程序代码的正常运行。shell的作用是模拟操作系统装载pe文件，在这个过程中，额外添加解密、解压缩等步骤的过程。所以在运行被保护程序时，实际是先运行了shell部分的程序代码。 　　shell部分获取了程序控制权后，需要将加密后的部分依次解密、解压缩，确保其在内存中可以被操作系统识别并执行，在shell部分处理完毕后，再将程序控制权转给源程序，继续执行源程序部分的代码。 　　1.2加壳部分设计 　　加壳部分主要对pe文件进行操作，对各区段结构内容进行压缩混淆，增加静态分析难度。加壳确保被保护软件在计算机上存储时是加密状态的，虽然加壳不能完全防止静态分析，但是可以对其进行混淆。静态分析加壳后的程序时，不能直接获取被保护软件的总体结构与具体函数等信息。这样就可以提高被保护程序的安全性。 　　但是加壳后的程序需要先进行解密与解压操作，才可正常使用。因此采用的加密与压缩算法就需要根据实际情况来选择，有的软件需求强度高一些的算法，这样就会使运行时等候时间变长;有的软件对启动速度有要求，就可以选择加密流程较为简单的算法，即起到了一定的保护作用，又不影响程序的正常启动。在本程序中，也提供了多种加密与压缩算法可供选择。 　　进行加壳操作时，需要先判断其是否是pe文件。若是，就使用pe解析器对其进行解析，方便后续操作。程序中的一些特殊数据，如tls（threadlocalstorage）、数字证书信息等，在运行的时候是不会被加载进入内存的，因此在加壳时，需要隔离这部分数据，使后续加密压缩时不影响数据。接下来需要对iat进行处理，首先需要破坏源程序的iat和重定位表，将其换一个形式存储。由于修复iat和重定位表是脱壳时的重要步骤，因此对于iat和重定位表，破坏得越彻底，脱壳难度就越大。对于源程序的各个区段，对其进行加密压缩操作，可以选择不同的加密算法和壓缩算法。随后需要对资源段中的数据进行处理，将如图标版本信息等特殊数据隔离，其他资源段的数据进行压缩。待各区段处理完毕后，将所有区段进行融合，进行统一处理，这样就减少了区块间隙的个数，进一步缩小文件体积。最后，将shell引导段写入pe文件，以保shell代码在源程序之前运行。 　　1.3水印部分总体设计 　　水印部分采用动态水印技术。动态水印技术主要分为执行状态水印、数据结构水印和复活节彩蛋水印。 　　执行状态水印对内存地址走向进行编码生成水印，有时也会根据指令执行顺序来生成水印，通过控制地址和操作码顺序的统计特性来执行水印检测。实施起来较为困难。数据结构水印通过输入特定信息激发程序将水印信息隐藏在诸如堆、栈或者全局变量域的程序状态中当所有信息都输入完成之后，通过检测程序变量的当前值来进行水印提取。但是这种水印无法承受迷乱变换的攻击。复活节彩蛋水印不需要检测，通过可以显示版权信息的输入产生输出。但水印隐蔽性较差，