軟件狗[Dongles]的加密與解密技術(shù)(4)

這里我們一起看一下經(jīng)BITSHELL加密后的程序的情況。
采用一個極簡單的例子，用DEBUG生成一個 TEST.COM文件：

C:/>DEBUG
-A
876B:0100 MOV AL,0
876B:1012 MOV DX,260
876B:0105 OUT DX,AL
876B:0106 INT 20
8760:0108
-RCX
CX 0000
:8
-N TEST.COM
-W
Writing 00008 bytes
-Q

用BITSHELL對TEST.COM進行加密：

C:/>BITSHELL TEST.COM
BITSHELL（tm)Version 2.01
Copyrighe(c) 1989-1995 by Yellow Rose SoftWare Workgroup

Scheme 6 (CodeKey shift repeated)

9K
Total encryption size is 9K

Encryption completed successfully.

再用DEBUG來看一下加密后的TEST.COM：

C:/DEBUT TEST.COM
-R
AX=0000 BX=0000 CX=4CBC DX=0000 SP=00C0 BP=0000 SI=0000 DI=0000
DS=877C ES=877C SS=878C CS=878C IP=021C NV UP EI PL NZ NA PO NC
878C:021C FA CLI
-U
878C:021C FA CLI
878C:021D 8CCC MOV SP,CS
878C:021F 8ED4 MOV SS,SP
878C:0221 BC4D25 MOV SP,254D
878C:0224 9C PUSHF
878C:0225 51 PUSH CX
878C:0226 52 PUSH DX

878C:0227 56 PUSH SI
878C:0228 57 PUSH DI
878C:0229 55 PUSH BP
878C:022A 0E PUSH CS
878C:022B 1F POP DS
878C:022C 2E CS:
878C:022D 8C061000 MOV[0010],ES
878C:0231 2E CS:
878C:0232 C606480080 MOV BYTE PTR [0048],80
878C:0237 0E PUSH CS
878C:0238 07 POP ES
878C:0239 BEAD24 MOV SI,24AD
-U

...... ......

-Q

可以看到經(jīng)加密后TEST.COM文件變長了很多，這是因為在程序外面加了一層外殼。同時，您也發(fā)現(xiàn)了加密后的程序沒法反編譯；如果您再跟蹤一下，您又會發(fā)現(xiàn)加密后的程序已經(jīng)無法跟蹤了。如果您手頭有Turbo Debugger或Soft-ICE等等，它們也是無效的。

看起來，這是一個比較好的加密工具，尤其是它提供的函數(shù)可以嵌入源代碼中，跟軟件狗配合起來，達到內(nèi)外結(jié)合的加密效果，大家不妨一試。 |||||
==================================================

雖然加密方法那么多，但是道高一尺，魔高一丈，隨著加密技術(shù)的發(fā)展，解密技術(shù)也進一步蓬勃發(fā)展起來，目前可用于解密的工具有SOURCE、DEBUG、SYMDEB、TURBO DEBUG、SOFT-ICE、TRW2000等等。這些工具的功能一個比一個強，更何況還有那么多“專業(yè)”解密高手，似乎任何加密技術(shù)到了他們手里都會迎刃而解。說來說去，您可能會想，你仍然沒有最終解決軟件的加密問題嗎。是的，本來嗎，加密和解密就是一對矛盾的統(tǒng)一體，某一階段的優(yōu) 只能看是哪一方先亮出了新招，誰都不敢說他的加密方法別人破譯不了，或者說他能破譯任何加密方法。如此看來，我們所做的工作只在于盡量減少被解密的可能性，以贏得時間進行下一步的開發(fā)。

軟件解密就是要想辦法把加密代碼攻破，具體到軟件狗上，即是找到檢查程序，然后干掉它。因此，如果我們在應(yīng)用程序的不同地方多做幾次檢查，就可以讓解密者浪費更多的時間。這對I/O速率很快的軟件狗來說是很方便的，不像軟盤加密那樣檢查起來既費時又不方便。

一個好的程序員會把程序設(shè)計得簡單易懂，具有結(jié)構(gòu)化，但這也給解密者帶來了方便，所以程序不要寫得太規(guī)則，另外還要加上一些“廢話”，以干擾解密者。

另外一種不破壞程序結(jié)構(gòu)化，也不需要寫“廢話”就可以有效干擾解密者，提高解密難度和復雜性的方法是，把子程序全部用宏改寫。這樣匯編出的程序是一串串很難看出結(jié)構(gòu)的指令，進出堆棧的數(shù)據(jù)和各種傳遞的參數(shù)以及積存器暫存數(shù)的存取相距很遠，嵌套很深，分析起來很傷腦筋。第三代軟件狗的存取程序就是全部用這種方法寫的。

很多軟件加密技術(shù)的研制者對Soft-ICE很頭疼，因為它的解密功能太強了，但是您只要在程序中調(diào)用一下INT 7，就能防止它的跟蹤，您不妨試試看。

在用解密工具跟蹤程序時，執(zhí)行時間顯然要比平常的長，另外一般都用鍵盤來操作，用顯示器或打印機作輸出，所以采用執(zhí)行時間檢查或者在關(guān)鍵程序部分禁止鍵盤中斷，以及禁止顯示器或打印機輸出（修改INT 10H 或INT 17H 中斷）等都是較好的方法。例如在第三代軟件狗編程中用到的方法：

...... ......
...... ......
；................MACRO.....................
；. 計時反跟蹤 .
；..........................................
；-----------------------------------------[+]
；保存時間
；-----------------------------------------[+]
TimeSave macro
ifndef debug-Time
push ds
push cs:[_const_word_0_]
pop ds ；ds=0000H
push ds:[046ch] ；把時鐘記數(shù)值
pop cs:start_time ；保存到start_time
pop ds
endif
endm
；
；-----------------------------------------[+]
；檢查程序執(zhí)行時間，超過5秒則主機被掛起
；-----------------------------------------[+]
TimeTest macro
ifndef debug_Time
push es
push ax
push cs:{_const_word_0_]
pop es ；es=0000H
mov ax,es:[46ch] ；得到新的時間記數(shù)值
sub ax,cs:start_time；
cmp ax,18*5 ；執(zhí)行時間超過5秒嗎？
ja $+4 ；是，則主機被掛起
pop ax
pop es
endif
endm
；
；..................MACRO...................
；. 鍵盤反跟蹤 .
；..........................................
；
；-----------------------------------------[+]
；禁止鍵盤中斷
；-----------------------------------------[+]
KbdOff macro
ifndef debug-Kbd
mov cs:_tmpB_,al ；保存al
mov al,02h ；禁止鍵盤中斷
out 21h,al
mov al,cs:_tmpB_ ；恢復al
endif
endm
；
；-----------------------------------------[+]
；
；檢查鍵盤中斷，若被開放則主機被掛起
；-----------------------------------------[+]
KbdTest_jmp macro
ifndef debug_Kbd
push ax
in al,21h
test al,02h ；鍵盤中斷被開放？
jz $+3 ；是是，則掛起
pop ax
endif
endm
；
...... ......
...... ......

另外，如果我們把關(guān)鍵部分的程序加以編碼，運行時再譯碼出來，這也增加了解密的難度，因為解密者必須懂得編碼、譯碼規(guī)則才能修改可執(zhí)行文件，而這些規(guī)則加密者一般是不會泄露的。

多種軟件加密方法的綜合，以及幾種加密技術(shù)交叉使用，足以讓許多解密者知難而退。因為必須了解所有的加密技術(shù)原理才有可能解密，這就增加了難度，畢竟能夠精通各種加密方法的人不多。例如有就把軟件狗加密技術(shù)和磁盤加密技術(shù)結(jié)合起來做。