| 五、一個(gè)簡(jiǎn)單的例子 這里我們一起看一下經(jīng)BITSHELL加密后的程序的情況。
采用一個(gè)極簡(jiǎn)單的例子,用DEBUG生成一個(gè) TEST.COM文件: C:/>DEBUG
-A
876B:0100 MOV AL,0
876B:1012 MOV DX,260
876B:0105 OUT DX,AL
876B:0106 INT 20
8760:0108
-RCX
CX 0000
:8
-N TEST.COM
-W
Writing 00008 bytes
-Q 用BITSHELL對(duì)TEST.COM進(jìn)行加密: C:/>BITSHELL TEST.COM
BITSHELL(tm)Version 2.01
Copyrighe(c) 1989-1995 by Yellow Rose SoftWare Workgroup Scheme 6 (CodeKey shift repeated) 9K
Total encryption size is 9K Encryption completed successfully. 再用DEBUG來(lái)看一下加密后的TEST.COM: C:/DEBUT TEST.COM
-R
AX=0000 BX=0000 CX=4CBC DX=0000 SP=00C0 BP=0000 SI=0000 DI=0000
DS=877C ES=877C SS=878C CS=878C IP=021C NV UP EI PL NZ NA PO NC
878C:021C FA CLI
-U
878C:021C FA CLI
878C:021D 8CCC MOV SP,CS
878C:021F 8ED4 MOV SS,SP
878C:0221 BC4D25 MOV SP,254D
878C:0224 9C PUSHF
878C:0225 51 PUSH CX
878C:0226 52 PUSH DX
878C:0227 56 PUSH SI
878C:0228 57 PUSH DI
878C:0229 55 PUSH BP
878C:022A 0E PUSH CS
878C:022B 1F POP DS
878C:022C 2E CS:
878C:022D 8C061000 MOV[0010],ES
878C:0231 2E CS:
878C:0232 C606480080 MOV BYTE PTR [0048],80
878C:0237 0E PUSH CS
878C:0238 07 POP ES
878C:0239 BEAD24 MOV SI,24AD
-U
...... ......
-Q
可以看到經(jīng)加密后TEST.COM文件變長(zhǎng)了很多,這是因?yàn)樵诔绦蛲饷婕恿艘粚油鈿ぁM瑫r(shí),您也發(fā)現(xiàn)了加密后的程序沒法反編譯;如果您再跟蹤一下,您又會(huì)發(fā)現(xiàn)加密后的程序已經(jīng)無(wú)法跟蹤了。如果您手頭有Turbo Debugger或Soft-ICE等等,它們也是無(wú)效的。 看起來(lái),這是一個(gè)比較好的加密工具,尤其是它提供的函數(shù)可以嵌入源代碼中,跟軟件狗配合起來(lái),達(dá)到內(nèi)外結(jié)合的加密效果,大家不妨一試。 |||||
================================================== 雖然加密方法那么多,但是道高一尺,魔高一丈,隨著加密技術(shù)的發(fā)展,解密技術(shù)也進(jìn)一步蓬勃發(fā)展起來(lái),目前可用于解密的工具有SOURCE、DEBUG、SYMDEB、TURBO DEBUG、SOFT-ICE、TRW2000等等。這些工具的功能一個(gè)比一個(gè)強(qiáng),更何況還有那么多“專業(yè)”解密高手,似乎任何加密技術(shù)到了他們手里都會(huì)迎刃而解。說(shuō)來(lái)說(shuō)去,您可能會(huì)想,你仍然沒有最終解決軟件的加密問(wèn)題嗎。是的,本來(lái)嗎,加密和解密就是一對(duì)矛盾的統(tǒng)一體,某一階段的優(yōu) 只能看是哪一方先亮出了新招,誰(shuí)都不敢說(shuō)他的加密方法別人破譯不了,或者說(shuō)他能破譯任何加密方法。如此看來(lái),我們所做的工作只在于盡量減少被解密的可能性,以贏得時(shí)間進(jìn)行下一步的開發(fā)。 軟件解密就是要想辦法把加密代碼攻破,具體到軟件狗上,即是找到檢查程序,然后干掉它。因此,如果我們?cè)趹?yīng)用程序的不同地方多做幾次檢查,就可以讓解密者浪費(fèi)更多的時(shí)間。這對(duì)I/O速率很快的軟件狗來(lái)說(shuō)是很方便的,不像軟盤加密那樣檢查起來(lái)既費(fèi)時(shí)又不方便。 一個(gè)好的程序員會(huì)把程序設(shè)計(jì)得簡(jiǎn)單易懂,具有結(jié)構(gòu)化,但這也給解密者帶來(lái)了方便,所以程序不要寫得太規(guī)則,另外還要加上一些“廢話”,以干擾解密者。 另外一種不破壞程序結(jié)構(gòu)化,也不需要寫“廢話”就可以有效干擾解密者,提高解密難度和復(fù)雜性的方法是,把子程序全部用宏改寫。這樣匯編出的程序是一串串很難看出結(jié)構(gòu)的指令,進(jìn)出堆棧的數(shù)據(jù)和各種傳遞的參數(shù)以及積存器暫存數(shù)的存取相距很遠(yuǎn),嵌套很深,分析起來(lái)很傷腦筋。第三代軟件狗的存取程序就是全部用這種方法寫的。 很多軟件加密技術(shù)的研制者對(duì)Soft-ICE很頭疼,因?yàn)樗慕饷芄δ芴珡?qiáng)了,但是您只要在程序中調(diào)用一下INT 7,就能防止它的跟蹤,您不妨試試看。 在用解密工具跟蹤程序時(shí),執(zhí)行時(shí)間顯然要比平常的長(zhǎng),另外一般都用鍵盤來(lái)操作,用顯示器或打印機(jī)作輸出,所以采用執(zhí)行時(shí)間檢查或者在關(guān)鍵程序部分禁止鍵盤中斷,以及禁止顯示器或打印機(jī)輸出(修改INT 10H 或INT 17H 中斷)等都是較好的方法。例如在第三代軟件狗編程中用到的方法:
...... ......
...... ......
;................MACRO.....................
;. 計(jì)時(shí)反跟蹤 .
;..........................................
;-----------------------------------------[+]
;保存時(shí)間
;-----------------------------------------[+]
TimeSave macro
ifndef debug-Time
push ds
push cs:[_const_word_0_]
pop ds ;ds=0000H
push ds:[046ch] ;把時(shí)鐘記數(shù)值
pop cs:start_time ;保存到start_time
pop ds
endif
endm
;
;-----------------------------------------[+]
;檢查程序執(zhí)行時(shí)間,超過(guò)5秒則主機(jī)被掛起
;-----------------------------------------[+]
TimeTest macro
ifndef debug_Time
push es
push ax
push cs:{_const_word_0_]
pop es ;es=0000H
mov ax,es:[46ch] ;得到新的時(shí)間記數(shù)值
sub ax,cs:start_time;
cmp ax,18*5 ;執(zhí)行時(shí)間超過(guò)5秒嗎?
ja $+4 ;是,則主機(jī)被掛起
pop ax
pop es
endif
endm
;
;..................MACRO...................
;. 鍵盤反跟蹤 .
;..........................................
;
;-----------------------------------------[+]
;禁止鍵盤中斷
;-----------------------------------------[+]
KbdOff macro
ifndef debug-Kbd
mov cs:_tmpB_,al ;保存al
mov al,02h ;禁止鍵盤中斷
out 21h,al
mov al,cs:_tmpB_ ;恢復(fù)al
endif
endm
;
;-----------------------------------------[+]
;
;檢查鍵盤中斷,若被開放則主機(jī)被掛起
;-----------------------------------------[+]
KbdTest_jmp macro
ifndef debug_Kbd
push ax
in al,21h
test al,02h ;鍵盤中斷被開放?
jz $+3 ;是是,則掛起
pop ax
endif
endm
;
...... ......
...... ......
另外,如果我們把關(guān)鍵部分的程序加以編碼,運(yùn)行時(shí)再譯碼出來(lái),這也增加了解密的難度,因?yàn)榻饷苷弑仨毝镁幋a、譯碼規(guī)則才能修改可執(zhí)行文件,而這些規(guī)則加密者一般是不會(huì)泄露的。
多種軟件加密方法的綜合,以及幾種加密技術(shù)交叉使用,足以讓許多解密者知難而退。因?yàn)楸仨毩私馑械募用芗夹g(shù)原理才有可能解密,這就增加了難度,畢竟能夠精通各種加密方法的人不多。例如有就把軟件狗加密技術(shù)和磁盤加密技術(shù)結(jié)合起來(lái)做。 | 
