破解与反破解是对抗的关系,为了防止破解,有一些二进制代码的保护和混淆的手段
本文是常见的二进制代码保护和混淆的概述
抵御静态分析
IDA Pro和Ghidra等工具对二进制程序进行反汇编
有两种算法
•线性扫描算法
•递归下降算法
按照这两种算法不能保证正确反汇编机器语言
开发者会对汇编指令进行一些处理,使得反编译器无法生成逻辑清晰的伪代码
花指令
•花指令没有固定的形式
•是指在原来程序中完全冗余,不影响程序的功能会对逆向工程产生干扰的指令
•花指令有一些特征,需要我们手动改
常见的花指令
示例一
下面是一段正常的代码
push ebp mov ebp,esp sub 0x100
加了花指令之后
push ebp pushfd add esp,0xd nop sub esp,0xd popfd mov ebp,esp sub esp,0x100
加了很多相互抵消的操作
示例二
正常代码
push ebp jmp addr1 addr1: mov ebp,esp sub esp,0x100
加花指令之后的代码
push ebp jz addr1 jnz addr1 db 0xE8 addr1: mov ebp,esp sub esp,0x100
0xE8是call指令的首字节
push ebp jz addr2 jnz addr2 db 0xE8 addr3: sub esp,0x100 ...... addr2: mov ebp,esp sub esp,0x100
指令替换
•大量的指令可以使用其他指令来实现相同和类似的功能
•可以混淆函数地址范围与调用关系
示例
使用call调用函数
call addr
可以替换成
push addr ret
或者
push ecx mov ecx,[esp+4] add esp,8 jmp ecx
代码自修改(Self Modifying Code,SMC)
•待修改的代码会被识别为数据
•修改后可以手动识别为Code
•两种方式
•静态分析SMC的流程,将代码patch为真正的代码
•使用动态分析的方法,在解密完毕的地方打断点,让程序跑到断点处,待修改的数据已经修改完毕
加壳
•压缩壳
•加密壳
•可以分为数据加密,代码加密,算法加密
•算法加密,常见的就是虚拟机保护
压缩壳
侧重于压缩的壳,压缩壳可以减少软件的体积,加密保护不是重点
UPX
有DOS,Linux和Windows版本
ASPack
是一款Win32可执行文件压缩软件,可压缩Win32可执行文件EXE,DLL,OCX
加密壳
ASProtect
是一款功能强大的Win32保护工具
有压缩,加密,反跟踪代码,CRC校验和花指令等保护措施
Armadillo
Armadillo是穿山甲的意思
有Public和Custom两个版本
可以为软件加上多种限制,包括时间,次数,启动画面等
有“CC保护”,扫描程序,处理标签里的跳转指令,将所有跳转指令换成INT3指令,机器码是CC,Armadillo是双进程运行的,子进程遇到CC异常,父进程会截获这个INT3异常,计算出跳转指令的目标地址并将其反馈给子进程,使子进程继续运行
EXECryptor
为目标软件添加注册机制,时间限制,使用次数等附加功能
Themida
是一款商业保护软件
用了虚拟机保护技术,在程序中善用SDK
缺点:生成的软件体积有点大
手动脱壳
•分为三步:
•1.查找真正的程序入口点
•2.抓取内存映像文件
•3.重建PE文件
•寻找OEP
•根据跨段转移指令就可以找到程序真正的入口点了
反调试
•我们的逆向分析方式是静态分析和动态调试
•反调试就是干扰某个进程的动态调试
•比如INT3的字节码是0xCC,将某个指令的起始字节设置为0xCC,随后监听EXCEPTION_BREAKPOINT异常,就是基于内存校验的断点检测方式
•有些反调试手段用了操作系统的API特性,当前进程处于父进程的跟踪调试状态下,其他调试器无法对当前进程进行调试
