| 五、一個簡單的例子 這里我們一起看一下經(jīng)BITSHELL加密后的程序的情況。
采用一個極簡單的例子,用DEBUG生成一個 TEST.COM文件: C:/>DEBUG
-A
876B:0100 MOV AL,0
876B:1012 MOV DX,260
876B:0105 OUT DX,AL
876B:0106 INT 20
8760:0108
-RCX
CX 0000
:8
-N TEST.COM
-W
Writing 00008 bytes
-Q 用BITSHELL對TEST.COM進行加密: C:/>BITSHELL TEST.COM
BITSHELL(tm)Version 2.01
Copyrighe(c) 1989-1995 by Yellow Rose SoftWare Workgroup Scheme 6 (CodeKey shift repeated) 9K
Total encryption size is 9K Encryption completed successfully. 再用DEBUG來看一下加密后的TEST.COM: C:/DEBUT TEST.COM
-R
AX=0000 BX=0000 CX=4CBC DX=0000 SP=00C0 BP=0000 SI=0000 DI=0000
DS=877C ES=877C SS=878C CS=878C IP=021C NV UP EI PL NZ NA PO NC
878C:021C FA CLI
-U
878C:021C FA CLI
878C:021D 8CCC MOV SP,CS
878C:021F 8ED4 MOV SS,SP
878C:0221 BC4D25 MOV SP,254D
878C:0224 9C PUSHF
878C:0225 51 PUSH CX
878C:0226 52 PUSH DX
878C:0227 56 PUSH SI
878C:0228 57 PUSH DI
878C:0229 55 PUSH BP
878C:022A 0E PUSH CS
878C:022B 1F POP DS
878C:022C 2E CS:
878C:022D 8C061000 MOV[0010],ES
878C:0231 2E CS:
878C:0232 C606480080 MOV BYTE PTR [0048],80
878C:0237 0E PUSH CS
878C:0238 07 POP ES
878C:0239 BEAD24 MOV SI,24AD
-U
...... ......
-Q
可以看到經(jīng)加密后TEST.COM文件變長了很多,這是因為在程序外面加了一層外殼。同時,您也發(fā)現(xiàn)了加密后的程序沒法反編譯;如果您再跟蹤一下,您又會發(fā)現(xiàn)加密后的程序已經(jīng)無法跟蹤了。如果您手頭有Turbo Debugger或Soft-ICE等等,它們也是無效的。 看起來,這是一個比較好的加密工具,尤其是它提供的函數(shù)可以嵌入源代碼中,跟軟件狗配合起來,達到內(nèi)外結(jié)合的加密效果,大家不妨一試。 |||||
================================================== 雖然加密方法那么多,但是道高一尺,魔高一丈,隨著加密技術(shù)的發(fā)展,解密技術(shù)也進一步蓬勃發(fā)展起來,目前可用于解密的工具有SOURCE、DEBUG、SYMDEB、TURBO DEBUG、SOFT-ICE、TRW2000等等。這些工具的功能一個比一個強,更何況還有那么多“專業(yè)”解密高手,似乎任何加密技術(shù)到了他們手里都會迎刃而解。說來說去,您可能會想,你仍然沒有最終解決軟件的加密問題嗎。是的,本來嗎,加密和解密就是一對矛盾的統(tǒng)一體,某一階段的優(yōu) 只能看是哪一方先亮出了新招,誰都不敢說他的加密方法別人破譯不了,或者說他能破譯任何加密方法。如此看來,我們所做的工作只在于盡量減少被解密的可能性,以贏得時間進行下一步的開發(fā)。 軟件解密就是要想辦法把加密代碼攻破,具體到軟件狗上,即是找到檢查程序,然后干掉它。因此,如果我們在應(yīng)用程序的不同地方多做幾次檢查,就可以讓解密者浪費更多的時間。這對I/O速率很快的軟件狗來說是很方便的,不像軟盤加密那樣檢查起來既費時又不方便。 一個好的程序員會把程序設(shè)計得簡單易懂,具有結(jié)構(gòu)化,但這也給解密者帶來了方便,所以程序不要寫得太規(guī)則,另外還要加上一些“廢話”,以干擾解密者。 另外一種不破壞程序結(jié)構(gòu)化,也不需要寫“廢話”就可以有效干擾解密者,提高解密難度和復(fù)雜性的方法是,把子程序全部用宏改寫。這樣匯編出的程序是一串串很難看出結(jié)構(gòu)的指令,進出堆棧的數(shù)據(jù)和各種傳遞的參數(shù)以及積存器暫存數(shù)的存取相距很遠,嵌套很深,分析起來很傷腦筋。第三代軟件狗的存取程序就是全部用這種方法寫的。 很多軟件加密技術(shù)的研制者對Soft-ICE很頭疼,因為它的解密功能太強了,但是您只要在程序中調(diào)用一下INT 7,就能防止它的跟蹤,您不妨試試看。 在用解密工具跟蹤程序時,執(zhí)行時間顯然要比平常的長,另外一般都用鍵盤來操作,用顯示器或打印機作輸出,所以采用執(zhí)行時間檢查或者在關(guān)鍵程序部分禁止鍵盤中斷,以及禁止顯示器或打印機輸出(修改INT 10H 或INT 17H 中斷)等都是較好的方法。例如在第三代軟件狗編程中用到的方法:
...... ......
...... ......
;................MACRO.....................
;. 計時反跟蹤 .
;..........................................
;-----------------------------------------[+]
;保存時間
;-----------------------------------------[+]
TimeSave macro
ifndef debug-Time
push ds
push cs:[_const_word_0_]
pop ds ;ds=0000H
push ds:[046ch] ;把時鐘記數(shù)值
pop cs:start_time ;保存到start_time
pop ds
endif
endm
;
;-----------------------------------------[+]
;檢查程序執(zhí)行時間,超過5秒則主機被掛起
;-----------------------------------------[+]
TimeTest macro
ifndef debug_Time
push es
push ax
push cs:{_const_word_0_]
pop es ;es=0000H
mov ax,es:[46ch] ;得到新的時間記數(shù)值
sub ax,cs:start_time;
cmp ax,18*5 ;執(zhí)行時間超過5秒嗎?
ja $+4 ;是,則主機被掛起
pop ax
pop es
endif
endm
;
;..................MACRO...................
;. 鍵盤反跟蹤 .
;..........................................
;
;-----------------------------------------[+]
;禁止鍵盤中斷
;-----------------------------------------[+]
KbdOff macro
ifndef debug-Kbd
mov cs:_tmpB_,al ;保存al
mov al,02h ;禁止鍵盤中斷
out 21h,al
mov al,cs:_tmpB_ ;恢復(fù)al
endif
endm
;
;-----------------------------------------[+]
;
;檢查鍵盤中斷,若被開放則主機被掛起
;-----------------------------------------[+]
KbdTest_jmp macro
ifndef debug_Kbd
push ax
in al,21h
test al,02h ;鍵盤中斷被開放?
jz $+3 ;是是,則掛起
pop ax
endif
endm
;
...... ......
...... ......
另外,如果我們把關(guān)鍵部分的程序加以編碼,運行時再譯碼出來,這也增加了解密的難度,因為解密者必須懂得編碼、譯碼規(guī)則才能修改可執(zhí)行文件,而這些規(guī)則加密者一般是不會泄露的。
多種軟件加密方法的綜合,以及幾種加密技術(shù)交叉使用,足以讓許多解密者知難而退。因為必須了解所有的加密技術(shù)原理才有可能解密,這就增加了難度,畢竟能夠精通各種加密方法的人不多。例如有就把軟件狗加密技術(shù)和磁盤加密技術(shù)結(jié)合起來做。 | 
