“巧用指令队列技术实现反跟踪”

反跟踪技术包括反静态分析和反动态跟踪两个方面。反动态跟踪能够有效阻止解密者利用跟踪工具软件跟踪加密程序的运行,使解密者不能识破程序关键所在,从而保证软件不会被破解。实现这个目标一般有两个途经:一是加密程序运行时破坏跟踪,使跟踪陷入“机关”,造成死机;二是在加密程序中设置多个无用分支,跟踪者使用单步或设置断点运行时,就会误入分支程序而耗费大量精力,不得不放弃跟踪。     

实用反跟踪技术(二)——阶梯式加密法

反跟踪技术主要分为两类技术:反静态分析和反动态跟踪。反静态分析的方法主要是用密文写程序,并在执行中解密。在各种密文变明文的方法中,阶梯式加密法是非常常用的,如KV300,KILL就均用了阶梯式加密法,该加密法不仅有很好的反静态分析的能力,而且还有一定的反动态跟踪的作用。以下     

最新反动态跟踪三技

反动态跟踪技术大致可分为两类.一类是针对现有的跟踪工具设计反跟踪方法,另一类是根据解密者的心理和能力产生的反跟踪方法.从理论上讲,任何软件的加密都是不彻底,但反动态跟踪技术的“奇”与“妙”,使跟踪者几乎不可能解读程序,或者所化的时间和精力大到得不偿失的地步,那么,反动态跟踪技术对软件的加密就是非常成功的.在此笔者介绍三种最新的反动态跟踪技术,以下这些程序片断是从用某著名软件加密系统处理后的软件产品中采集到的样品,但它们相对是完整的.     

反动态跟踪三技

在软件的加密技术中，反动态跟踪技术较为常用，而反跟踪方法及技巧运用如何，对软件的加密效果有着很大的影响，为此，介绍三种新的反动态跟踪方法，并给出示例程序片断。     

磁盘加密的反跟踪技术

磁盘加密的方法和种类虽然花样繁多,层出不穷,但都离不开软件的支持和配合。而加密的思路和解密的算法都存在于被加密的文件中,解密者只要进行跟踪,就能弄清加密者的思路,找到解密的算法,从而将加密软件解密。许多加密软件之所以被解开,都是解密者对加密软件进行跟踪的结果。解密的方法有两种:静态分析和动态跟踪,因而保护加密的思想也     

一个反动态跟踪程序的破译方法

反动态跟踪是软件加密的一种技术。它是阻止技术人员破译软件的一个手段。一般来说,只要突破了加密软件的反动态跟踪程序,那么这个软件所加的密就基本解决了。本文介绍一个在IBM PC机上实现的反动态跟踪程序(简称为X)的破译方法,以期对希望获得这方面知识的人有所帮助。     

实用反跟踪技术（三）：分块执行加密法

分块执行加密法是把程序分成一个个单独的程序块,并加上一些反跟踪块,解密文块,干扰块等等,把块的入口地址按正确的顺序编成一个执行地址表,然后用一块固定的主程序去按一定顺序读出入口地址并执行,执行后再转回主程序去执行下一程序块。这种加密法使程序不是顺序安排的,所以难以对其进行静态分析,又由于有反跟踪块和干扰块的大量存在,使进行动态跟踪也比较困难。总的来说,如果构造得好的话,分块执行加密的效果是比较理想的,如金山的剑侠情缘就使用了这种方法。     

破译加密程序实例

加密技术可分为数据加密、文件加密,磁盘加密及硬件加密。数据加密是通过算法将明文转换成密文,使程序不可读,待执行时,由程序内部自身解密成可处理文件。文件加密出发点是首先保证程序不可复制,其次在程序内加入各种反跟踪措施。这包括改变中断入口、限时法、检测跟踪、堆栈技巧的应用、控制时序等手法、磁     

增强动态调试程序DEBUG的跟踪能力

众所周知,DEBUG调试程序是一个功能很强的工具软件,主要用途是调试汇编程序,配备完整了的跟踪命令集,DEBUG在提供一个可控制的测试环境的同时提供了一个可控制的跟踪环境,为监视和控制程序的运行提供了充分的支持,是对一般加密软件进行分析解密的主要工具。因此也就出现了各种针对动态调试DEBUG而采取的一系列反动态跟踪技术措施。 反跟踪手段总是利用和围绕动态调试程序DEBUG的弱点和特性进行的。因此我们     

数据加密方法的新思考

在分析常用加密算法的基础上,介绍了用函数加异或运算的方法实现数据加密与解密的过程,重点阐述了函数加异或运算加密与解密的理论根据、函数构建原则以及播撒密钥的方式,并给出了利用这种方法实现数据加密与解密的实例程序。     

增强动态调试程序DEBUG的跟踪能力

众所周知,DEBUG调试程序是一个功能很强的工具软件,主要用途是调试汇编程序,配备完整了的跟踪命令集,DEBUG在提供一个可控制的测试环境的同时提供了一个可控制的跟踪环境,为监视和控制程序的运行提供了充分的支持,是对一般加密软件进行分析解密的主要工具。因此也就出现了各种针对动态调试DEBUG而采取的一系列反动态跟踪技术措施。     

激光加密的原理及破译方法

激光加密是目前较流行的一种加密技术,本文论述激光加密的一般原理及算法,分析了PROLOK程序的反解密措施,并以被PROLOK加密处理的一个应用软件作为破译对象,阐明了激光加密程序的解密方法。     

实用反跟踪技术（五）：自我检测

在反跟踪技术中,有一些技术可以使程序感知到自己已被跟踪或修改,于是可以采取相应的对策。这种使程序感知到自己已被跟踪或修改的技术称为自我检测技术。自我检测技术做为反跟踪的重要手段,和其它方法相结合,可以取得极好的加密效果。所以,在各种加密的商用软件中广泛的被使用。     

INT OSH 时钟中断的两个用途——加密与解密

INT 08H时钟中断属于硬中断,每1/18.5秒发生一次,其执行的任务由BIOS程序控制,同样亦可由用户自编程控制.现简单介绍INT 08H在软件加密、解密方面的用途.一、软件加密通过修改INT 08H中断,使之指向待加密程序中的某一段,实现有效地反跟踪.若在加密程序中用新的INT08H中断产生下一个跳转地址,或一段程序或下一段程序解密的密钥,跟踪工具就难以正确跟踪.     

对Kill61、63等彻底解密

Kill是当前国内广泛使用的杀毒软件,使用时非常方便。但它的高版本却被加密,不能随意复制、安装,使得Kill在本单位的使用受到限制。目前发行的Kill都由Prolock加密,它采用的是激光加密原理,通过激光破坏介质,写入不可复制的指纹,以达到反复制的目的。为防止用户对加密软件进行跟踪,它用了约12K的代码进行反跟踪。在反跟踪时它采用了多种技术,(修改破坏单步断点中断,屏蔽外部中断,大循环、多分枝隐蔽,代码动态生成等),使得解密跟踪很难进行。尽管如此,它还是存在着致命弱点。     

加密通信协议的一种逆向分析方法

研究未知通信协议逆向解析技术在网络安全中具有重要意义,现有方法局限于分析明文的通信协议。基于此,提出一种基于动态污点分析的加密通信协议逆向分析方法,以动态二进制插桩平台Pin为支撑,跟踪记录程序的指令轨迹,采用数据流分析构建指令级和函数级的污点传播流图,再根据解密过程的特征定位数据包解密后的明文,最后解析协议明文的格式。实验表明,该方法能够准确定位加密协议数据解密后的明文,还原加密协议原有的格式。     

对超粒度混杂技术的改进：基于瘦虚拟机的指令集交替技术

超粒度混杂技术对于小型解密程序效率低下,为此提出了基于瘦虚拟机的指令集交替技术。该技术使用一个自动机来记录程序加密和解密的方法,并且使用瘦虚拟机来完成对加密过的程序解释执行。测试结果表时,该技术在保证加密强度的条件下,对效率有较大的提高。     

反跟踪中自我检测技术面面观

加密技术一直是商业软件潜心研究的技术,而其中反跟踪技术是最体现编程技巧的。在反跟踪技术中,有一些技术可以使程序感知到自己已被跟踪或修改,于是可以采取相应的对策。这种使程序感知到自己已被跟踪或修改的技术就称为自我检测技术。自我检测技术作为反跟踪的重要手段,和其它方法相结合,可以取得极好的加密效果。笔者通过对商用软件的分析和自己的研究,取得一些经验,供大家交流。     

软磁盘额外磁道接缝加密系统

本文作者采用了新颖实用的“额外磁道接缝技术”制作磁盘指纹，再加上一系列的反动态、反静态跟踪技术，编制并实现了软磁盘加密程序Ｎｅｗｌｏｃｋ，使得软磁盘加密变得既可靠又方便。     

反跟踪程序设计的几点技巧

软件跟踪是指利用程序调试工具,跟踪软件的运行,窃取软件的设计技术,取消防拷贝和加密功能,从而实现对软件的动态破译。反跟踪则是从程序设计的角度来防止他人进行软件跟踪,它是软件安全不可少的一个重要技术。我们知道,在ＰＣ机的ＤＯＳ系统中,配有ＤＥＢＵＧ等动态调试?..