一种基于Windows平台软件的保护方法及装置转让专利
申请号 : CN202011220107.9
文献号 : CN112035803B
文献日 : 2021-03-19
发明人 : 刘加勇 , 刘仟丰
申请人 : 北京华云安信息技术有限公司
摘要 :
本发明的实施例提供了一种基于Windows平台软件的保护方法及装置。所述方法包括对目标程序进行加壳处理,生成加壳后的程序文件;响应于密码输入指令,对所述加壳后的程序文件进行反调试判断,如果当前程序正在被调试,则退出程序;否则,通过执行所述加壳后的程序文件对目标程序进行执行。以此方式,可以有效地对抗破解者对软件目标程序代码的破解,有利于保护软件核心原代码不被破解和外泄。
权利要求 :
1.一种基于Windows平台软件的保护方法,其特征在于,包括:对目标程序进行加壳处理,生成加壳后的程序文件;
响应于密码输入指令,对所述加壳后的程序文件进行反调试判断,如果当前程序正在被调试,则退出程序;否则,通过执行所述加壳后的程序文件对目标程序进行执行;
所述对目标程序进行加壳处理,包括:判断目标程序文件是否为PE文件,如果是,则对目标程序代码段进行压缩;否则结束;
将压缩后的目标程序代码段进行加密处理,得到加密后的目标程序代码段;
将壳程序的代码段复制到所述目标程序代码段的尾部,得到加入壳程序的目标程序;
将所述加入壳程序的目标程序的程序入口点设置到壳程序,并保存目标程序的入口点;
通过配置目标程序中的数据目录表,对导入表进行处理;
将壳程序的重定位表中,每一项数据均修改为基于EXE程序默认加载基址的数据;
所述加密处理,包括:
使用国密SM4算法对压缩后的目标程序代码段进行加密,其中,通过国密SM3算法计算密钥的哈希值,并保存在程序中,所述密钥由加密者输入提供;
所述通过执行所述加壳后的程序文件对目标程序进行执行,包括:通过国密SM3算法计算出输入的密码对应的哈希值,与程序中保存的哈希值进行匹配,如果匹配一致,则将所述密码作为密钥;否则退出程序;
通过国密SM4算法,根据所述密钥对所述加壳后的程序文件中的代码段进行解密,得到解密后的代码段;
将解密后的代码段进行解压,得到解压后的代码段;
获取解压后的代码段中目标程序的重定位表中的地址,对所述重定位表进行修复;
从内存空间中读取目标程序的导入表,对导入表进行修复;
跳转到目标程序的入口点,对目标程序进行执行。
2.根据权利要求1所述的方法,其特征在于,所述通过配置目标程序中的数据目录表,对导入表进行处理,包括:
将目标程序的数据目录表中的导入表虚拟地址偏移项和导入表虚拟地址大小项设置为0,得到修改后的导入表;
设置一内存空间,将修改后的导入表导入所述内存空间,并删除原导入表。
3.根据权利要求1所述的方法,其特征在于,所述对所述加壳后的程序文件进行反调试判断,包括:
检测当前进程环境块偏移为0x2的值是否为零值,如果是,则当前进程处于未被调试;
否则,当前进程正被调试。
4.根据权利要求1所述的方法,其特征在于,对所述壳程序的代码段进行反静态分析处理。
5.一种基于Windows平台软件的保护装置,其特征在于,包括:加壳处理模块,用于对目标程序进行加壳处理,生成加壳后的程序;
反调试模块,用于响应密码输入指令,对所述加壳后的程序进行反调试判断,如果当前程序正在被调试,则退出程序;否则,调用执行模块;
执行模块,用于通过执行所述加壳后的程序对目标程序进行执行;
所述加壳处理模块,包括:
第一判断模块,用于判断目标程序文件是否为PE文件,如果是,则调用压缩模块;否则结束;
压缩模块,用于对目标程序代码段进行压缩;
加密模块,用于将压缩后的目标程序代码段进行加密处理,得到加密后的目标程序代码段;
复制模块,用于将壳程序的代码段复制到所述目标程序代码段的尾部,得到加入壳程序的目标程序;
入口点调整模块,用于将所述加入壳程序的目标程序的程序入口点设置到壳程序,并保存目标程序的入口点;
导入表处理模块,用于通过配置目标程序中的数据目录表,对导入表进行处理;
重定位表处理模块,用于将壳程序的重定位表中,每一项数据均修改为基于EXE程序默认加载基址的数据;
所述加密模块使用国密SM4算法对压缩后的目标程序代码段进行加密,其中,通过国密SM3算法计算密钥的哈希值,并保存在程序中,所述密钥由加密者输入提供;
所述执行模块,包括:
匹配模块,用于通过国密SM3算法计算出输入的密码对应的哈希值,与程序中保存的哈希值进行匹配,如果匹配一致,则将所述密码作为密钥;否则退出程序;
解密模块,用于通过国密SM4算法,根据所述密钥对所述加壳后的程序文件中的代码段进行解密,得到解密后的代码段;
解压模块,用于将解密后的代码段进行解压,得到解压后的代码段;所述解压后的代码段包括目标程序的代码段和壳程序的代码段;
重定位表修复模块,用于获取解压后的代码段中目标程序的重定位表中的地址,对所述重定位表进行修复;
导入表修复模块,用于从内存空间中读取目标程序的导入表,对导入表进行修复;
跳转模块,用于跳转到目标程序的入口点,对目标程序进行执行。
6.一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1 4中任一项所述的方法。
~
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1 4中任一项所述的方法。
~
说明书 :
一种基于Windows平台软件的保护方法及装置
技术领域
[0001] 本发明的实施例一般涉及软件加密领域,并且更具体地,涉及一种基于Windows平台软件的保护方法及装置。
背景技术
[0002] 软件产品的复制相当容易,非法用户在未经许可下对软件进行复制和使用,严重损害了软件开发部门的经济利益和软件版权,对计算机软件的发展造成不利的影响。因而
从技术上采取一定的防范措施就尤显重要。
从技术上采取一定的防范措施就尤显重要。
[0003] 目前,软件保护技术主要包括软件加密和硬件加密两种方法,例如基于软件的加密壳保护和基于硬件的加密锁保护。用硬件保护是一种较为安全的技术,但由于成本过高,
目前主流的还是使用软件壳的形式来保护软件。软件壳主要分为两种:
目前主流的还是使用软件壳的形式来保护软件。软件壳主要分为两种:
[0004] 加密壳,主要用加密算法对程序代码进行加密保护,常见的加密壳有:VMP壳、ASProtecct壳 以及Themida壳等。
[0005] 压缩壳,主要用压缩算法对程序进行压缩,减少程序大小,常见的压缩壳有:UPX壳、NPack壳以及ASPack壳等。
[0006] 市面上虽有大量现成的软件壳,但是这些已经被透彻研究,很容易被破解,甚至出现一些一键脱壳工具,例如:unaspack、unpecompact以及caspr等。同时,在软件保护领域
中,目前尚未有国密在其中的利用,本方法正是将国密SM4算法和国密SM3算法结合使用,使
得软件更加安全可靠,促进国密算法在软件保护领域中的运用。
中,目前尚未有国密在其中的利用,本方法正是将国密SM4算法和国密SM3算法结合使用,使
得软件更加安全可靠,促进国密算法在软件保护领域中的运用。
发明内容
[0007] 根据本发明的实施例,提供了一种基于Windows平台软件的保护方案。
[0008] 在本发明的第一方面,提供了一种基于Windows平台软件的保护方法。该方法包括:
[0009] 对目标程序进行加壳处理,生成加壳后的程序文件;
[0010] 响应于密码输入指令,对所述加壳后的程序文件进行反调试判断,如果当前程序正在被调试,则退出程序;否则,通过执行所述加壳后的程序文件对目标程序进行执行。
[0011] 进一步地,所述通过加壳器对目标程序进行加壳处理,包括:
[0012] 判断目标程序文件是否为PE文件,如果是,则对目标程序代码段进行压缩;否则结束;
[0013] 将压缩后的目标程序代码段进行加密处理,得到加密后的目标程序代码段;
[0014] 将壳程序的代码段复制到所述目标程序代码段的尾部,得到加入壳程序的目标程序;
[0015] 将所述加入壳程序的目标程序的程序入口点设置到壳程序,并保存目标程序的入口点;
[0016] 通过配置目标程序中的数据目录表,对导入表进行处理;
[0017] 将壳程序的重定位表中,每一项数据均修改为基于EXE程序默认加载基址的数据。
[0018] 进一步地,所述加密处理,包括:
[0019] 使用国密SM4算法对压缩后的目标程序代码段进行加密,其中,通过国密SM3算法计算密钥的哈希值,并保存在程序中。
[0020] 进一步地,所述通过配置目标程序中的数据目录表,对导入表进行处理,包括:
[0021] 将目标程序的数据目录表中的导入表虚拟地址偏移项和导入表虚拟地址大小项设置为0,得到修改后的导入表;
[0022] 设置一内存空间,将修改后的导入表导入所述内存空间,并删除原导入表。
[0023] 进一步地,所述对所述加壳后的程序文件进行反调试判断,包括:
[0024] 检测当前进程环境块偏移为0x2的值是否为零值,如果是,则当前进程处于未被调试;否则,当前进程正被调试。
[0025] 进一步地,所述通过执行所述加壳后的程序文件对目标程序进行执行,包括:
[0026] 通过国密SM3算法计算出输入的密码对应的哈希值,与程序中保存的哈希值进行匹配,如果匹配一致,则将所述密码作为密钥;否则退出程序;
[0027] 通过国密SM4算法,根据所述密钥对所述加壳后的程序文件中的代码段进行解密,得到解密后的代码段;
[0028] 将解密后的代码段进行解压,得到解压后的代码段;
[0029] 获取解压后的代码段中目标程序的重定位表中的地址,对所述重定位表进行修复;
[0030] 从内存空间中读取目标程序的导入表,对导入表进行修复;
[0031] 跳转到目标程序的入口点,对目标程序进行执行。
[0032] 进一步地,对所述壳程序的代码段进行反静态分析处理。
[0033] 在本发明的第二方面,提供了一种基于Windows平台软件的保护装置。该装置包括:
[0034] 加壳处理模块,用于对目标程序进行加壳处理,生成加壳后的程序;
[0035] 反调试模块,用于响应密码输入指令,对所述加壳后的程序进行反调试判断,如果当前程序正在被调试,则退出程序;否则,调用执行模块;
[0036] 执行模块,用于通过执行所述加壳后的程序对目标程序进行执行。
[0037] 在本发明的第三方面,提供了一种电子设备。该电子设备包括:存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
[0038] 在本发明的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如根据本发明的第一方面的方法。
[0039] 应当理解,发明内容部分中所描述的内容并非旨在限定本发明的实施例的关键或重要特征,亦非用于限制本发明的范围。本发明的其它特征将通过以下的描述变得容易理
解。
解。
[0040] 本发明能够基于国密算法为原代码进行加壳,并且通过反调试过程,有效地对抗破解者对软件原代码的破解,有利于保护软件核心原代码不被破解和外泄。
附图说明
[0041] 结合附图并参考以下详细说明,本发明各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
[0042] 图1示出了根据本发明的实施例的基于Windows平台软件的保护方法的流程图;
[0043] 图2示出了根据本发明的实施例的加壳处理过程流程图;
[0044] 图3示出了根据本发明的实施例的执行加壳后的程序流程图;
[0045] 图4示出了根据本发明的实施例的基于Windows平台软件的保护装置的方框图;
[0046] 图5示出了根据本发明的实施例的加壳处理模块的方框图;
[0047] 图6示出了根据本发明的实施例的执行模块的方框图;
[0048] 图7示出了能够实施本发明的实施例的示例性电子设备的方框图。
具体实施方式
[0049] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是
本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员
在没有做出创造性劳动前提下所获得的全部其他实施例,都属于本发明保护的范围。
本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员
在没有做出创造性劳动前提下所获得的全部其他实施例,都属于本发明保护的范围。
[0050] 另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另
外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
[0051] 本发明中,能够基于国密算法为原代码进行加壳,并且通过反调试过程,有效地对抗破解者对软件原代码的破解,有利于保护软件核心原代码不被破解和外泄。
[0052] 图1示出了本发明实施例的基于Windows平台软件的保护方法的流程图。
[0053] 该方法包括:
[0054] S101、对目标程序进行加壳处理,生成加壳后的程序文件。
[0055] 所述目标程序即为拟保护的程序文件。所述S101通过加壳器实现。所述对目标程序进行加壳处理,如图2所示,包括:
[0056] S201、判断目标程序文件是否为PE文件,如果是,则对目标程序代码段进行压缩;否则结束。
[0057] 为了整个加壳过程的可行性,需要先判断所述目标程序文件是否为PE文件。所述PE文件为Windows上可执行文件的格式文件。如果所述目标程序文件为PE文件,则对所述目
标程序的代码段进行压缩;如果所述目标程序文件不为PE文件,则结束当前程序。
标程序的代码段进行压缩;如果所述目标程序文件不为PE文件,则结束当前程序。
[0058] 对所述目标程序的代码段进行压缩,是为了让程序的体积不至于过于臃肿,因为当对目标程序加壳后,需要生成目标程序和壳程序加在一起组合成的程序,如此程序的体
积必然变大,故对所述目标程序的代码段进行压缩。
积必然变大,故对所述目标程序的代码段进行压缩。
[0059] S202、将压缩后的目标程序代码段进行加密处理,得到加密后的目标程序代码段。
[0060] 目标程序代码段中存放着目标程序的代码,这是一个十分关键的内容,破解者可以通过程序生成的汇编代码,从而逆向出原来的代码(高级语言写的代码),因此有必要对
目标程序代码段进行加密处理。
目标程序代码段进行加密处理。
[0061] 加密处理过程,包括:
[0062] 使用国密SM4算法对压缩后的目标程序代码段进行加密,其中,通过国密SM3算法计算密钥的哈希值,并保存在程序中。
[0063] 所述国密SM4算法是一种对称加密算法,需要密钥,所述密钥由加密者输入提供;为了保证密钥的存放安全,使用国密SM3算法计算正确密钥的哈希值,并保存在程序中。
[0064] S203、将壳程序的代码段复制到所述目标程序代码段的尾部,得到加入壳程序的目标程序。
[0065] 此时所述目标程序代码段为压缩并加密后的代码段,直接将壳程序的代码段复制到其尾部,生成由目标程序和壳程序共同组成的新程序,即为加入壳程序的目标程序。
[0066] S204、将所述加入壳程序的目标程序的程序入口点设置到壳程序,并保存目标程序的入口点。
[0067] 所述程序入口点为执行程序的起始点。所述目标程序的程序入口点在目标程序,而对于加入壳程序的目标程序,需要先执行壳程序,故将原目标程序的程序入口点修改到
壳程序的程序入口点,如此,加入壳程序的目标程序的执行流程就被改变,从原来先执行目
标程序变为先执行壳程序。
壳程序的程序入口点,如此,加入壳程序的目标程序的执行流程就被改变,从原来先执行目
标程序变为先执行壳程序。
[0068] S205、通过配置目标程序中的数据目录表,对导入表进行处理。
[0069] 首先,将目标程序的数据目录表中的导入表虚拟地址偏移项和导入表虚拟地址大小项设置为0,得到修改后的导入表。
[0070] 所述导入表中存放着程序导入的函数的信息,包括函数的地址和名称,而在程序的数据目录表中的第2项和第13项中存放着导入表的虚拟地址偏移(相对虚拟地址)和虚拟
地址大小。将虚拟地址偏移项和虚拟地址大小项置为0。如此操作,使得系统加载器和破解
者无法找到目标程序的导入表。
地址大小。将虚拟地址偏移项和虚拟地址大小项置为0。如此操作,使得系统加载器和破解
者无法找到目标程序的导入表。
[0071] 然后,设置一内存空间,将修改后的导入表导入所述内存空间,并删除原导入表。
[0072] 通过开辟一块新的内存空间,将原来的导入表拷贝到该内存空间里,导入的时候并将原导入表情况;如此,如果不依赖壳程序修复导入表的话,目标程序就无法执行,为破
解者提高了破解难度。
解者提高了破解难度。
[0073] S206、将壳程序的重定位表中,每一项数据均修改为基于EXE程序默认加载基址的数据。
[0074] 壳程序是一个DLL,即动态链接库;加壳器需要将壳程序的重定位表里的数据,每一项都修改为基于EXE程序默认加载基址的数据。这是因为需要让windows加载器自动修复
壳程序的重定位表,否则壳程序无法正常运行,而windows加载器只会以EXE程序默认加载
基址为标准来修复重定位表的数据,这和DLL(动态链接库)的默认加载基址(0x10000000)
不一样,所以要将壳的重定位表数据修改为以EXE程序默认加载基址为标准的。
壳程序的重定位表,否则壳程序无法正常运行,而windows加载器只会以EXE程序默认加载
基址为标准来修复重定位表的数据,这和DLL(动态链接库)的默认加载基址(0x10000000)
不一样,所以要将壳的重定位表数据修改为以EXE程序默认加载基址为标准的。
[0075] 作为本发明的一种实施例,可以对所述壳程序的代码段进行反静态分析处理。所述反静态分析处理,包括向壳程序的代码段中加入花指令。所述花指令用于通过特殊构造
的指令使得反汇编器出错,使得破解者无法正确地反汇编程序的内容,迷失方向。所述花指
令的数量和形式不限,例如jmp、call等。例如,在壳程序的代码段中两个jcc指令后插入一
个垃圾指令0xE8,0xE8会被反汇编器解析为jmp指令,程序会跳过这个垃圾指令,并不会影
响程序的流程。但是使用主流调试器OllyDbg查看,可以发现垃圾指令0xE8和后面的硬偏码
被解析成新的指令了,这和原来的反汇编不一样,大大造成了程序分析的难度。
的指令使得反汇编器出错,使得破解者无法正确地反汇编程序的内容,迷失方向。所述花指
令的数量和形式不限,例如jmp、call等。例如,在壳程序的代码段中两个jcc指令后插入一
个垃圾指令0xE8,0xE8会被反汇编器解析为jmp指令,程序会跳过这个垃圾指令,并不会影
响程序的流程。但是使用主流调试器OllyDbg查看,可以发现垃圾指令0xE8和后面的硬偏码
被解析成新的指令了,这和原来的反汇编不一样,大大造成了程序分析的难度。
[0076] 作为本实施例中的另外几种反静态分析处理方式,还可以用mov混淆指令或smc自解码等方式进行反静态分析处理。
[0077] S102、响应于密码输入指令,对所述加壳后的程序文件进行反调试判断,如果当前程序正在被调试,则退出程序;否则,通过执行所述加壳后的程序文件对目标程序进行执
行。
行。
[0078] 当需要执行所述加壳后的程序文件时,因为壳程序无法使用壳的导入表,故需要先获取需要的API,例如弹窗用到的MessageBox,用于从动态链接库里获取函数地址的
GetProcAddress。
GetProcAddress。
[0079] 作为本发明的一种实施例,为了能够使用户能够输入密码,在壳的部分生成一个弹窗控件,用户在弹窗中输入密码后,生成密码输入指令,该密码输入指令会触发对所述加
壳后的程序文件的反调试判断。
壳后的程序文件的反调试判断。
[0080] 所述反调试,主要是在破解者调试程序的时候进行处理,通常使用IsDebuggerPresent、NtQueryInformationProcess()等API来检测程序是否处于调试状
态,如果是的话,则做出相应的处理,例如退出程序或关闭电脑等,目的在于切断程序进程。
态,如果是的话,则做出相应的处理,例如退出程序或关闭电脑等,目的在于切断程序进程。
[0081] 当前程序是否正在被调试,通过下述过程进行判断:
[0082] 检测当前进程环境块偏移为0x2的值是否为零值,如果是,则当前进程处于未被调试;否则,当前进程正被调试。
[0083] 作为本发明的一种实施例,使用win32提供的一种API,IsDebuggerPresent()检测当前进程是否正处于被调试状态。通过IsDebuggerPresent()检查进程环境块偏移为0x2
的值,当进程被调试的时候,其进程环境块偏移为0x2的值会为一个非零值,即进程处于被
调试状态;否则为零值,此时进程处于未被调试状态。
的值,当进程被调试的时候,其进程环境块偏移为0x2的值会为一个非零值,即进程处于被
调试状态;否则为零值,此时进程处于未被调试状态。
[0084] 通过反调试过程能够在执行程序前判断当前程序是否处于被调试状态,如果处于被调试状态,则说明当前有破解者正对程序进行破解,需要及时切断程序进程,对程序进行
保护。而如果程序处于未被调试状态,则可以通过执行所述加壳后的程序文件对目标程序
进行执行。
保护。而如果程序处于未被调试状态,则可以通过执行所述加壳后的程序文件对目标程序
进行执行。
[0085] 所述通过执行所述加壳后的程序文件对目标程序进行执行,如图3所示,包括:
[0086] S301、通过国密SM3算法计算出输入的密码对应的哈希值,与程序中保存的哈希值进行匹配,如果匹配一致,则将所述密码作为密钥;否则退出程序。
[0087] 由于在加密处理过程中,通过国密SM3算法计算密钥的哈希值,并保存在程序中,此时针对于输入的密码仍然通过国密SM3算法计算对应的哈希值,与之前保存在程序中的
哈希值进行匹配,如果匹配一致,则将该输入的密码作为密钥继续执行S302,否则返回密码
错误提示,并退出程序。
哈希值进行匹配,如果匹配一致,则将该输入的密码作为密钥继续执行S302,否则返回密码
错误提示,并退出程序。
[0088] S302、通过国密SM4算法,根据所述密钥对所述加壳后的程序文件中的代码段进行解密,得到解密后的代码段。
[0089] S303、将解密后的代码段进行解压,得到解压后的代码段;所述解压后的代码段包括目标程序的代码段和壳程序的代码段。
[0090] S304、获取解压后的代码段中目标程序的重定位表中的地址,对所述重定位表进行修复。
[0091] windows加载器自动修复壳程序的重定位表,而无法自动修复目标程序中的重定位表,故目标程序的代码还不能够正常执行。
[0092] 修复目标程序的重定位表,包括:
[0093] 遍历目标程序的重定位表的所有数据,所述数据为所有要修复的地址。在此地址的基础上需要加上新加载基址,然后去除默认加载基址,得到真正的地址,重新计算并修复
目标程序的重定位表。
目标程序的重定位表。
[0094] S305、从内存空间中读取目标程序的导入表,对导入表进行修复。
[0095] 在寻找目标程序导入表的时候,将导入表指向内存空间中的导入表地址指针,即可修复导入表。
[0096] S306、跳转到目标程序的入口点,对目标程序进行执行。
[0097] 由于保存了目标程序的入口点,故通过jmp指令直接跳转到目标程序的入口点,开始执行目标程序。
[0098] 根据本发明的实施例,能够基于国密算法为原代码进行加壳,并且通过反调试过程,有效地对抗破解者对软件原代码的破解,有利于保护软件核心原代码不被破解和外泄。
[0099] 需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为
依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知
悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本发明
所必须的。
依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知
悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本发明
所必须的。
[0100] 以上是关于方法实施例的介绍,以下通过装置实施例,对本发明所述方案进行进一步说明。
[0101] 如图4所示,装置400包括:
[0102] 加壳处理模块410,用于对目标程序进行加壳处理,生成加壳后的程序。
[0103] 所述加壳处理模块410,如图5所示,包括:
[0104] 第一判断模块411,用于判断目标程序文件是否为PE文件,如果是,则调用压缩模块412;否则结束。
[0105] 为了整个加壳过程的可行性,需要利用第一判断模块411先判断所述目标程序文件是否为PE文件。所述PE文件为Windows上可执行文件的格式文件。如果所述目标程序文件
为PE文件,则对所述目标程序的代码段进行压缩;如果所述目标程序文件不为PE文件,则结
束当前程序。
为PE文件,则对所述目标程序的代码段进行压缩;如果所述目标程序文件不为PE文件,则结
束当前程序。
[0106] 压缩模块412,用于对目标程序代码段进行压缩。
[0107] 通过压缩模块412,对所述目标程序的代码段进行压缩,是为了让程序的体积不至于过于臃肿,因为当对目标程序加壳后,需要生成目标程序和壳程序加在一起组合成的程
序,如此程序的体积必然变大,故对所述目标程序的代码段进行压缩。
序,如此程序的体积必然变大,故对所述目标程序的代码段进行压缩。
[0108] 加密模块413,用于将压缩后的目标程序代码段进行加密处理,得到加密后的目标程序代码段。
[0109] 所述加密模块413使用国密SM4算法对压缩后的目标程序代码段进行加密,其中,通过国密SM3算法计算密钥的哈希值,并保存在程序中。
[0110] 所述国密SM4算法是一种对称加密算法,需要密钥,所述密钥由加密者输入提供;为了保证密钥的存放安全,使用国密SM3算法计算正确密钥的哈希值,并保存在程序中。
[0111] 复制模块414,用于将壳程序的代码段复制到所述目标程序代码段的尾部,得到加入壳程序的目标程序。此时所述目标程序代码段为压缩并加密后的代码段,直接将壳程序
的代码段复制到其尾部,生成由目标程序和壳程序共同组成的新程序,即为加入壳程序的
目标程序。
的代码段复制到其尾部,生成由目标程序和壳程序共同组成的新程序,即为加入壳程序的
目标程序。
[0112] 入口点调整模块415,用于将所述加入壳程序的目标程序的程序入口点设置到壳程序,并保存目标程序的入口点。
[0113] 所述程序入口点为执行程序的起始点。所述目标程序的程序入口点在目标程序,而对于加入壳程序的目标程序,需要先执行壳程序,故通过入口点调整模块415将原目标程
序的程序入口点修改到壳程序的程序入口点,如此,加入壳程序的目标程序的执行流程就
被改变,从原来先执行目标程序变为先执行壳程序。
序的程序入口点修改到壳程序的程序入口点,如此,加入壳程序的目标程序的执行流程就
被改变,从原来先执行目标程序变为先执行壳程序。
[0114] 导入表处理模块416,用于通过配置目标程序中的数据目录表,对导入表进行处理。
[0115] 所述导入表处理模块416,首先将目标程序的数据目录表中的导入表虚拟地址偏移项和导入表虚拟地址大小项设置为0,得到修改后的导入表。
[0116] 所述导入表中存放着程序导入的函数的信息,包括函数的地址和名称,而在程序的数据目录表中的第2项和第13项中存放着导入表的虚拟地址偏移(相对虚拟地址)和虚拟
地址大小。将虚拟地址偏移项和虚拟地址大小项置为0。如此操作,使得系统加载器和破解
者无法找到目标程序的导入表。
地址大小。将虚拟地址偏移项和虚拟地址大小项置为0。如此操作,使得系统加载器和破解
者无法找到目标程序的导入表。
[0117] 然后,设置一内存空间,将修改后的导入表导入所述内存空间,并删除原导入表。
[0118] 通过开辟一块新的内存空间,将原来的导入表拷贝到该内存空间里,导入的时候并将原导入表情况;如此,如果不依赖壳程序修复导入表的话,目标程序就无法执行,为破
解者提高了破解难度。
解者提高了破解难度。
[0119] 重定位表处理模块417,用于将壳程序的重定位表中,每一项数据均修改为基于EXE程序默认加载基址的数据。
[0120] 壳程序是一个DLL,即动态链接库;重定位表处理模块417需要将壳程序的重定位表里的数据,每一项都修改为基于EXE程序默认加载基址的数据。这是因为需要让windows
加载器自动修复壳程序的重定位表,否则壳程序无法正常运行,而windows加载器只会以
EXE程序默认加载基址为标准来修复重定位表的数据,这和DLL(动态链接库)的默认加载基
址(0x10000000)不一样,所以要将壳的重定位表数据修改为以EXE程序默认加载基址为标
准的。
加载器自动修复壳程序的重定位表,否则壳程序无法正常运行,而windows加载器只会以
EXE程序默认加载基址为标准来修复重定位表的数据,这和DLL(动态链接库)的默认加载基
址(0x10000000)不一样,所以要将壳的重定位表数据修改为以EXE程序默认加载基址为标
准的。
[0121] 所述加壳处理模块410,如图5所示,还包括:
[0122] 反静态分析处理模块418,用于对所述壳程序的代码段进行反静态分析处理,包括向壳程序的代码段中加入花指令,用mov混淆指令或smc自解码等方式进行反静态分析处理
等等。
等等。
[0123] 所述花指令用于通过特殊构造的指令使得反汇编器出错,使得破解者无法正确地反汇编程序的内容,迷失方向。所述花指令的数量和形式不限,例如jmp、call等。例如,在壳
程序的代码段中两个jcc指令后插入一个垃圾指令0xE8,0xE8会被反汇编器解析为jmp指
令,程序会跳过这个垃圾指令,并不会影响程序的流程。但是使用主流调试器OllyDbg查看,
可以发现垃圾指令0xE8和后面的硬偏码被解析成新的指令了,这和原来的反汇编不一样,
大大造成了程序分析的难度。
程序的代码段中两个jcc指令后插入一个垃圾指令0xE8,0xE8会被反汇编器解析为jmp指
令,程序会跳过这个垃圾指令,并不会影响程序的流程。但是使用主流调试器OllyDbg查看,
可以发现垃圾指令0xE8和后面的硬偏码被解析成新的指令了,这和原来的反汇编不一样,
大大造成了程序分析的难度。
[0124] 反调试模块420,用于响应密码输入指令,对所述加壳后的程序进行反调试判断,如果当前程序正在被调试,则退出程序;否则,调用执行模块。
[0125] 当需要执行所述加壳后的程序文件时,因为壳程序无法使用壳的导入表,故需要先获取需要的API,例如弹窗用到的MessageBox,用于从动态链接库里获取函数地址的
GetProcAddress。
GetProcAddress。
[0126] 作为本发明的一种实施例,为了能够使用户能够输入密码,在壳的部分生成一个弹窗控件,用户在弹窗中输入密码后,生成密码输入指令,该密码输入消息会调用反调试模
块421,对所述加壳后的程序文件进行反调试判断。
块421,对所述加壳后的程序文件进行反调试判断。
[0127] 所述反调试模块421,用于在破解者调试程序的时候进行处理,通常使用IsDebuggerPresent、NtQueryInformationProcess()等API来检测程序是否处于调试状
态,如果是的话,则做出相应的处理,例如退出程序或关闭电脑等,目的在于切断程序进程。
态,如果是的话,则做出相应的处理,例如退出程序或关闭电脑等,目的在于切断程序进程。
[0128] 所述反调试模块421,还包括:
[0129] 第二判断模块421‑1;检测当前进程环境块偏移为0x2的值是否为零值,如果是,则当前进程处于未被调试;否则,当前进程正被调试。
[0130] 通过反调试模块421,能够在执行程序前判断当前程序是否处于被调试状态,如果处于被调试状态,则说明当前有破解者正对程序进行破解,需要及时切断程序进程,对程序
进行保护。而如果程序处于未被调试状态,则可以通过执行所述加壳后的程序文件对目标
程序进行执行。
进行保护。而如果程序处于未被调试状态,则可以通过执行所述加壳后的程序文件对目标
程序进行执行。
[0131] 在程序未被调试状态下,调用执行模块430。
[0132] 执行模块430,用于通过执行所述加壳后的程序对目标程序进行执行。
[0133] 所述执行模块430,如图6所示,包括:
[0134] 匹配模块431,用于通过国密SM3算法计算出输入的密码对应的哈希值,与程序中保存的哈希值进行匹配,如果匹配一致,则将所述密码作为密钥;否则退出程序。
[0135] 解密模块432,用于通过国密SM4算法,根据所述密钥对所述加壳后的程序文件中的代码段进行解密,得到解密后的代码段。
[0136] 解压模块433,用于将解密后的代码段进行解压,得到解压后的代码段;所述解压后的代码段包括目标程序的代码段和壳程序的代码段。
[0137] 重定位表修复模块434,用于获取解压后的代码段中目标程序的重定位表中的地址,对所述重定位表进行修复。
[0138] windows加载器自动修复壳程序的重定位表,而无法自动修复目标程序中的重定位表,故目标程序的代码还不能够正常执行。
[0139] 所述重定位表修复模块434遍历目标程序的重定位表的所有数据,所述数据为所有要修复的地址。在此地址的基础上需要加上新加载基址,然后去除默认加载基址,得到真
正的地址,重新计算并修复目标程序的重定位表。
正的地址,重新计算并修复目标程序的重定位表。
[0140] 导入表修复模块435,用于在寻找目标程序导入表的时候,将导入表指向内存空间中的导入表地址指针,即可修复导入表。
[0141] 跳转模块436,用于跳转到目标程序的入口点,对目标程序进行执行。由于保存了目标程序的入口点,故通过jmp指令直接跳转到目标程序的入口点,开始执行目标程序。
[0142] 所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,所述描述的模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0143] 如图5所示,电子设备包括中央处理单元(CPU),其可以根据存储在只读存储器(ROM)中的计算机程序指令或者从存储单元加载到随机访问存储器(RAM)中的计算机程序
指令,来执行各种适当的动作和处理。在RAM中,还可以存储设备操作所需的各种程序和数
据。CPU、ROM以及RAM通过总线彼此相连。输入/输出(I/O)接口也连接至总线。
指令,来执行各种适当的动作和处理。在RAM中,还可以存储设备操作所需的各种程序和数
据。CPU、ROM以及RAM通过总线彼此相连。输入/输出(I/O)接口也连接至总线。
[0144] 电子设备中的多个部件连接至I/O接口,包括:输入单元,例如键盘、鼠标等;输出单元,例如各种类型的显示器、扬声器等;存储单元,例如磁盘、光盘等;以及通信单元,例如
网卡、调制解调器、无线通信收发机等。通信单元允许电子设备通过诸如因特网的计算机网
络和/或各种电信网络与其他设备交换信息/数据。
网卡、调制解调器、无线通信收发机等。通信单元允许电子设备通过诸如因特网的计算机网
络和/或各种电信网络与其他设备交换信息/数据。
[0145] 处理单元执行上文所描述的各个方法和处理,例如方法S101和S102。例如,在一些实施例中,方法S101和S102可被实现为计算机软件程序,其被有形地包含于机器可读介质,
例如存储单元。在一些实施例中,计算机程序的部分或者全部可以经由ROM和/或通信单元
而被载入和/或安装到设备上。当计算机程序加载到RAM并由CPU执行时,可以执行上文描述
的方法S101和S102的一个或多个步骤。备选地,在其他实施例中,CPU可以通过其他任何适
当的方式(例如,借助于固件)而被配置为执行方法S101和S102。
例如存储单元。在一些实施例中,计算机程序的部分或者全部可以经由ROM和/或通信单元
而被载入和/或安装到设备上。当计算机程序加载到RAM并由CPU执行时,可以执行上文描述
的方法S101和S102的一个或多个步骤。备选地,在其他实施例中,CPU可以通过其他任何适
当的方式(例如,借助于固件)而被配置为执行方法S101和S102。
[0146] 本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:场可编程门阵列(FPGA)、专用
集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备
(CPLD)等等。
集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备
(CPLD)等等。
[0147] 用于实施本发明的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处
理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的
功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件
包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的
功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件
包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
[0148] 在本发明的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可
读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电
子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合
适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计
算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM
或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD‑ROM)、光学储存设备、磁储存设备、或
上述内容的任何合适组合。
读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电
子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合
适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计
算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM
或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD‑ROM)、光学储存设备、磁储存设备、或
上述内容的任何合适组合。
[0149] 此外,虽然采用特定次序描绘了各操作,但是这应当理解为要求这样操作以所示出的特定次序或以顺序次序执行,或者要求所有图示的操作应被执行以取得期望的结果。
在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具
体实现细节,但是这些不应当被解释为对本发明的范围的限制。在单独的实施例的上下文
中描述的某些特征还可以组合地实现在单个实现中。相反地,在单个实现的上下文中描述
的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实现中。
在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具
体实现细节,但是这些不应当被解释为对本发明的范围的限制。在单独的实施例的上下文
中描述的某些特征还可以组合地实现在单个实现中。相反地,在单个实现的上下文中描述
的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实现中。
[0150] 尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上
面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。
面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。