授权的验证包括三部分,如图2所示。  加密模块会调用授权模块的一些功能。加密模块中加密 算法的密钥的存储和读取是由授权模块来完成的。授权模块 是在反逆向模块之后工作的,在反逆向模块的保护下,授权 模块受到的威胁会降低。 2.3 加壳模块 加壳是把原来的PE结构的各部分数据加密或者是转储, 然后用外壳程序来引导原来程序的执行。针对PE结构的处理 包括输入表的转储加密、重定位表的加密、代码段和数据段 的加密和压缩,以及资源块的处理,然后将外壳代码注入到 这个PE结构上,最后会修正PE文件的文件头信息,使得PE 文件头的信息正确,同时使PE头中的程序入口点指向外壳代 码,使外壳代码能够首先运行,还原并引导原来的PE结构执 行,PE文件加密数据表如图3所示。 加密模块主要完成对PE结构的处理,用来保护代码段、 数据段、输入表等的保密性,使得反汇编软件(特别是静态反 汇编)在分析代码和数据的时候,由于代码和数据已经加密 而无法进行分析工作。  3 系统实现 系统分为反逆向、授权、加密三个模块,在被保护程序 加密的时候,程序处理原来的PE结构,针对PE结构进行加 密,然后由授权者输入授权信息,存储到USB Key,授权验 证和反逆向的代码都应该放在外壳代码的开始,保护程序处 理时应该刷新授权信息。反逆向模块的功能是防止程序被调 试,被抓取映像文件,被修改等等。反调试的功能实现建立 在Windows平台下程序调试的原理之上,主要是通过检测调 试标志,或者是设置进程线程的相关信息使得程序不被调试 器附加等方法来实现的。反逆向功能的实现也是建立在进程 和线程的结构信息之上,使得Dump(抓取映像文件)的技术 需要的地址和大小的参数不准确,或者是改变内存访问的属 性来阻止Dump技术。自校验的技术用来保证程序的完整性, 同时也使得对程序的修改能够被程序发现。软件的逆向技术 和反逆向技术是相互矛盾又相互促进发展的,逆向技术是利 用了系统和平台的调试技术、底层技术来实现的,而反逆向 技术一方面是对逆向技术的对抗,另一方面也是对Windows 平台下强大技术的更广泛的应用。 3.1 反逆向模块的实现 反逆向模块的主要手段就是提高软件逆向的门槛和难度, 因此该模块是反逆向技术的叠加。针对Windows平台下逆向技 术的特点和Windows系统提供的强大机制,可以通过检测调试 器、主动破坏调试机制和进程管理的方法来实现反逆向的目的。 3.1.1 反调试 反调试可以通过检测调试的标志或者是程序在被调试期 间相关信息的变化,这些信息主要存储在进程和线程的结构 中,此时如果这两个结构中存在调试相关的信息,则确认正 在被调试,可进行相应的惩罚,但最好的方法还是程序直接 退出。另外,可以利用Windows的进程管理的功能来发现系 统中是否存在调试器,如果系统中存在调试器,虽然不能准 确的确定调试目标是本程序,但是默默退出也是保护程序的 好方法。最后还可以利用调试器的原理,加以阻断调试器和 调试目标的联系。 1)调试标志检测的方法 调试中的程序进程和线程结构信息会发生相应的变化, 这种变化的信息以及这两个结构记录的和程序相关的信息, 可以作为反调试的重要技术突破口。 PEB(Process Environment Block)存放进程的相关信息。 TEB(Thread Environment Block)记录了和当前进程相关的信 息。与程序运行的相关信息都存储在进程和线程的结构中。 在Windows系统,x86平台上,寄存器FS始终是指向TEB结 构的。而PEB结构是通过线程的TEB结构中的指针来找到的。 PEB的获取可以通过Windows的API函数 [4] ZwQueryInform ationProcess来获得,函数原型如下: NTSTATUS WINAPI ZwQueryInformationProcess( __in HANDLE ProcessHandle, __in PROCESSINFOCLASS ProcessInformationClass, |
