基本常识

软件保护与解密

软件的破解技术与保护技术是矛与盾的关系,它们是在相互斗争中发展进步的。两者在技术上的较量归根到底是一种利益的冲突。软件开发者为了维护自身的商业利益,不断地寻找各种有效的技术来保护自身的软件版权,推迟软件被破解的时间;而破解者则受盗版所带来的高额利润的驱使或处于纯粹的个人兴趣,而不断开发新的破解工具,针对新出现的保护方式进行跟踪分析以找到相应的破解方法。从理论上讲,几乎没有破解不了的保护。软件保护方式的设计应在一开始就作为软件开发的一部分来考虑,选择一个平衡点。

在桌面操作系统中,微软的产品自然是独霸天下,一般个人用户接触最多,研究的自然也更多。在DOS时代就有了不少较好的软件保护技术,而在DOS中使用的最多的恐怕要算软盘指纹防拷贝技术了。由于DOS操作系统的脆弱性,在其中运行的普遍应用程序几乎可以访问系统中的任何资源,如直接访问任何物理内存,直接读写任何磁盘扇区,直接读写任何I/O端口等,这给软件保护着提供了极大的自由度,是其可以设计一些至今仍为人们称道的保护技术;自W

indows95开始(特别是WindowsNT和Windows2000这样严格意义上的多用户操作系统),操作系统利用硬件特性增强了对自身的保护,将自己运行在Ring 0 特权级中,使得软件保护技术在一定程度上受到一些限制。开发者要想突破Ring 3的限制,一般需要编写驱动程序,如读写并口上的软件狗的驱动程序等,这增加了开发难度和周期,自然也增加了成本。由于Win32程序内存寻址使用的是相对简单的平坦寻址模式(其采用的PE文件格式也相应地比以前的16为EXE程序的格式要容易处理一些),并且Win32程序大量调用系统提供的API,而Win32平台上的调试器如SoftICE等恰好有针对API设置断点的强大功能,因而这些特点都给跟踪破解带来极大的方便。

软件分析技术

静态分析技术

所谓静态分析即从反汇编出来的程序清单上分析,最常用的方法是从提示信息入手。日前,大多数软件在设计时,都采用人机对话方式。所谓人机对话,即在软件运行过程中需要由用户选择或输入的地方,软件即显示相应的提示信息,并等待用户的选择或输入。然后根据用户的选择或输入,出现一串提示信息,以反映是正确运行还是出现错误,并给出相应的提示消息,或帮助信息。为此,如果对静态反汇编出来的程序清单进行阅读,通过显示提示信息的程序段,就可知道在显示提示信息前后的程序片段所完成的功能,从而宏观了解软件的编程思路。以前常用的静态分析工具是W32Dasm , IDA 和HIEW 等,现在的网上的很多,而且W32Dasm 的最新版本提供了更加强大的功能。

动态分析技术

虽然从静态上可以了解各个模块的功能以及整个软件的编程思路,但是,并不可能真正地了解软件中各个模块的技术细节。对于被分析的软件来说,静态分析只是工作的第一步,动态跟踪是分析软件的关键所在。所谓动态跟踪主要是指利用SoftICE或TRW2000等调试工具,一步步跟踪分析。

1、对软件进行粗跟踪

所谓粗跟踪,即在跟踪时要大块快地跟踪。也就是说,每次遇到调用指令CALL,重复操作指令REP,循环操作指令LOOP以及中断调用指令INT等,一般不要跟踪进去,而是根据执行结果分析该段程序的功能。在此设置断点是很重要的环节,如何合理的设置中断断点呢?这就需要了解Win32 API函数了,根据当时的情况选择合适的断点,如拦截对话框,一般对话框是调用MessageBoxa函数来实现的,就可用此函数设断点,程序一调用此函数就被中断。

2、对关键部分进行细跟踪

对软件进行了一定程度的粗跟踪之后,便可获取软件中我们所关心的模块或程序段。这样就可以有针对行地对该模块紧系具体而详细的跟踪分析。一般情况下,对关键代码跟踪可能要反复进行若干此才能读懂该程序,每次要把比较关键的中间结果或者指令地址记录下来,这样会对下一次分析有很大的帮助。

看了上面的基本的分析思路,是不是对软件分析有了一定的了解呢,呵呵,其实软件分析是一种比较复杂和艰辛的工作,若要积累软件分析的经验,需要在实践中不断地探索和总结。

你可能感兴趣的:(基本常识)