CN112035803A - 一种基于Windows平台软件的保护方法及装置 - Google Patents
一种基于Windows平台软件的保护方法及装置 Download PDFInfo
- Publication number
- CN112035803A CN112035803A CN202011220107.9A CN202011220107A CN112035803A CN 112035803 A CN112035803 A CN 112035803A CN 202011220107 A CN202011220107 A CN 202011220107A CN 112035803 A CN112035803 A CN 112035803A
- Authority
- CN
- China
- Prior art keywords
- program
- shell
- target program
- target
- code segment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 71
- 230000008676 import Effects 0.000 claims description 51
- 230000008569 process Effects 0.000 claims description 42
- 238000004458 analytical method Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 8
- 230000009191 jumping Effects 0.000 claims description 6
- 238000005336 cracking Methods 0.000 abstract description 8
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 8
- 230000006835 compression Effects 0.000 description 7
- 238000007906 compression Methods 0.000 description 7
- 230000008439 repair process Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 239000008186 active pharmaceutical agent Substances 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 102100040501 Contactin-associated protein 1 Human genes 0.000 description 1
- 101710196304 Contactin-associated protein 1 Proteins 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000006837 decompression Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/14—Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Abstract
本发明的实施例提供了一种基于Windows平台软件的保护方法及装置。所述方法包括对目标程序进行加壳处理,生成加壳后的程序文件;响应于密码输入指令,对所述加壳后的程序文件进行反调试判断,如果当前程序正在被调试,则退出程序;否则,通过执行所述加壳后的程序文件对目标程序进行执行。以此方式,可以有效地对抗破解者对软件目标程序代码的破解,有利于保护软件核心原代码不被破解和外泄。
Description
技术领域
本发明的实施例一般涉及软件加密领域,并且更具体地,涉及一种基于Windows平台软件的保护方法及装置。
背景技术
软件产品的复制相当容易,非法用户在未经许可下对软件进行复制和使用,严重损害了软件开发部门的经济利益和软件版权,对计算机软件的发展造成不利的影响。因而从技术上采取一定的防范措施就尤显重要。
目前,软件保护技术主要包括软件加密和硬件加密两种方法,例如基于软件的加密壳保护和基于硬件的加密锁保护。用硬件保护是一种较为安全的技术,但由于成本过高,目前主流的还是使用软件壳的形式来保护软件。软件壳主要分为两种:
加密壳,主要用加密算法对程序代码进行加密保护,常见的加密壳有:VMP壳、ASProtecct壳 以及Themida壳等。
压缩壳,主要用压缩算法对程序进行压缩,减少程序大小,常见的压缩壳有:UPX壳、NPack壳以及ASPack壳等。
市面上虽有大量现成的软件壳,但是这些已经被透彻研究,很容易被破解,甚至出现一些一键脱壳工具,例如:unaspack、unpecompact以及caspr等。同时,在软件保护领域中,目前尚未有国密在其中的利用,本方法正是将国密SM4算法和国密SM3算法结合使用,使得软件更加安全可靠,促进国密算法在软件保护领域中的运用。
发明内容
根据本发明的实施例,提供了一种基于Windows平台软件的保护方案。
在本发明的第一方面,提供了一种基于Windows平台软件的保护方法。该方法包括:
对目标程序进行加壳处理,生成加壳后的程序文件;
响应于密码输入指令,对所述加壳后的程序文件进行反调试判断,如果当前程序正在被调试,则退出程序;否则,通过执行所述加壳后的程序文件对目标程序进行执行。
进一步地,所述通过加壳器对目标程序进行加壳处理,包括:
判断目标程序文件是否为PE文件,如果是,则对目标程序代码段进行压缩;否则结束;
将压缩后的目标程序代码段进行加密处理,得到加密后的目标程序代码段;
将壳程序的代码段复制到所述目标程序代码段的尾部,得到加入壳程序的目标程序;
将所述加入壳程序的目标程序的程序入口点设置到壳程序,并保存目标程序的入口点;
通过配置目标程序中的数据目录表,对导入表进行处理;
将壳程序的重定位表中,每一项数据均修改为基于EXE程序默认加载基址的数据。
进一步地,所述加密处理,包括:
使用国密SM4算法对压缩后的目标程序代码段进行加密,其中,通过国密SM3算法计算密钥的哈希值,并保存在程序中。
进一步地,所述通过配置目标程序中的数据目录表,对导入表进行处理,包括:
将目标程序的数据目录表中的导入表虚拟地址偏移项和导入表虚拟地址大小项设置为0,得到修改后的导入表;
设置一内存空间,将修改后的导入表导入所述内存空间,并删除原导入表。
进一步地,所述对所述加壳后的程序文件进行反调试判断,包括:
检测当前进程环境块偏移为0x2的值是否为零值,如果是,则当前进程处于未被调试;否则,当前进程正被调试。
进一步地,所述通过执行所述加壳后的程序文件对目标程序进行执行,包括:
通过国密SM3算法计算出输入的密码对应的哈希值,与程序中保存的哈希值进行匹配,如果匹配一致,则将所述密码作为密钥;否则退出程序;
通过国密SM4算法,根据所述密钥对所述加壳后的程序文件中的代码段进行解密,得到解密后的代码段;
将解密后的代码段进行解压,得到解压后的代码段;
获取解压后的代码段中目标程序的重定位表中的地址,对所述重定位表进行修复;
从内存空间中读取目标程序的导入表,对导入表进行修复;
跳转到目标程序的入口点,对目标程序进行执行。
进一步地,对所述壳程序的代码段进行反静态分析处理。
在本发明的第二方面,提供了一种基于Windows平台软件的保护装置。该装置包括:
加壳处理模块,用于对目标程序进行加壳处理,生成加壳后的程序;
反调试模块,用于响应密码输入指令,对所述加壳后的程序进行反调试判断,如果当前程序正在被调试,则退出程序;否则,调用执行模块;
执行模块,用于通过执行所述加壳后的程序对目标程序进行执行。
在本发明的第三方面,提供了一种电子设备。该电子设备包括:存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
在本发明的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如根据本发明的第一方面的方法。
应当理解,发明内容部分中所描述的内容并非旨在限定本发明的实施例的关键或重要特征,亦非用于限制本发明的范围。本发明的其它特征将通过以下的描述变得容易理解。
本发明能够基于国密算法为原代码进行加壳,并且通过反调试过程,有效地对抗破解者对软件原代码的破解,有利于保护软件核心原代码不被破解和外泄。
附图说明
结合附图并参考以下详细说明,本发明各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了根据本发明的实施例的基于Windows平台软件的保护方法的流程图;
图2示出了根据本发明的实施例的加壳处理过程流程图;
图3示出了根据本发明的实施例的执行加壳后的程序流程图;
图4示出了根据本发明的实施例的基于Windows平台软件的保护装置的方框图;
图5示出了根据本发明的实施例的加壳处理模块的方框图;
图6示出了根据本发明的实施例的执行模块的方框图;
图7示出了能够实施本发明的实施例的示例性电子设备的方框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的全部其他实施例,都属于本发明保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本发明中,能够基于国密算法为原代码进行加壳,并且通过反调试过程,有效地对抗破解者对软件原代码的破解,有利于保护软件核心原代码不被破解和外泄。
图1示出了本发明实施例的基于Windows平台软件的保护方法的流程图。
该方法包括:
S101、对目标程序进行加壳处理,生成加壳后的程序文件。
所述目标程序即为拟保护的程序文件。所述S101通过加壳器实现。所述对目标程序进行加壳处理,如图2所示,包括:
S201、判断目标程序文件是否为PE文件,如果是,则对目标程序代码段进行压缩;否则结束。
为了整个加壳过程的可行性,需要先判断所述目标程序文件是否为PE文件。所述PE文件为Windows上可执行文件的格式文件。如果所述目标程序文件为PE文件,则对所述目标程序的代码段进行压缩;如果所述目标程序文件不为PE文件,则结束当前程序。
对所述目标程序的代码段进行压缩,是为了让程序的体积不至于过于臃肿,因为当对目标程序加壳后,需要生成目标程序和壳程序加在一起组合成的程序,如此程序的体积必然变大,故对所述目标程序的代码段进行压缩。
S202、将压缩后的目标程序代码段进行加密处理,得到加密后的目标程序代码段。
目标程序代码段中存放着目标程序的代码,这是一个十分关键的内容,破解者可以通过程序生成的汇编代码,从而逆向出原来的代码(高级语言写的代码),因此有必要对目标程序代码段进行加密处理。
加密处理过程,包括:
使用国密SM4算法对压缩后的目标程序代码段进行加密,其中,通过国密SM3算法计算密钥的哈希值,并保存在程序中。
所述国密SM4算法是一种对称加密算法,需要密钥,所述密钥由加密者输入提供;为了保证密钥的存放安全,使用国密SM3算法计算正确密钥的哈希值,并保存在程序中。
S203、将壳程序的代码段复制到所述目标程序代码段的尾部,得到加入壳程序的目标程序。
此时所述目标程序代码段为压缩并加密后的代码段,直接将壳程序的代码段复制到其尾部,生成由目标程序和壳程序共同组成的新程序,即为加入壳程序的目标程序。
S204、将所述加入壳程序的目标程序的程序入口点设置到壳程序,并保存目标程序的入口点。
所述程序入口点为执行程序的起始点。所述目标程序的程序入口点在目标程序,而对于加入壳程序的目标程序,需要先执行壳程序,故将原目标程序的程序入口点修改到壳程序的程序入口点,如此,加入壳程序的目标程序的执行流程就被改变,从原来先执行目标程序变为先执行壳程序。
S205、通过配置目标程序中的数据目录表,对导入表进行处理。
首先,将目标程序的数据目录表中的导入表虚拟地址偏移项和导入表虚拟地址大小项设置为0,得到修改后的导入表。
所述导入表中存放着程序导入的函数的信息,包括函数的地址和名称,而在程序的数据目录表中的第2项和第13项中存放着导入表的虚拟地址偏移(相对虚拟地址)和虚拟地址大小。将虚拟地址偏移项和虚拟地址大小项置为0。如此操作,使得系统加载器和破解者无法找到目标程序的导入表。
然后,设置一内存空间,将修改后的导入表导入所述内存空间,并删除原导入表。
通过开辟一块新的内存空间,将原来的导入表拷贝到该内存空间里,导入的时候并将原导入表情况;如此,如果不依赖壳程序修复导入表的话,目标程序就无法执行,为破解者提高了破解难度。
S206、将壳程序的重定位表中,每一项数据均修改为基于EXE程序默认加载基址的数据。
壳程序是一个DLL,即动态链接库;加壳器需要将壳程序的重定位表里的数据,每一项都修改为基于EXE程序默认加载基址的数据。这是因为需要让windows加载器自动修复壳程序的重定位表,否则壳程序无法正常运行,而windows加载器只会以EXE程序默认加载基址为标准来修复重定位表的数据,这和DLL(动态链接库)的默认加载基址(0x10000000)不一样,所以要将壳的重定位表数据修改为以EXE程序默认加载基址为标准的。
作为本发明的一种实施例,可以对所述壳程序的代码段进行反静态分析处理。所述反静态分析处理,包括向壳程序的代码段中加入花指令。所述花指令用于通过特殊构造的指令使得反汇编器出错,使得破解者无法正确地反汇编程序的内容,迷失方向。所述花指令的数量和形式不限,例如jmp、call等。例如,在壳程序的代码段中两个jcc指令后插入一个垃圾指令0xE8,0xE8会被反汇编器解析为jmp指令,程序会跳过这个垃圾指令,并不会影响程序的流程。但是使用主流调试器OllyDbg查看,可以发现垃圾指令0xE8和后面的硬偏码被解析成新的指令了,这和原来的反汇编不一样,大大造成了程序分析的难度。
作为本实施例中的另外几种反静态分析处理方式,还可以用mov混淆指令或smc自解码等方式进行反静态分析处理。
S102、响应于密码输入指令,对所述加壳后的程序文件进行反调试判断,如果当前程序正在被调试,则退出程序;否则,通过执行所述加壳后的程序文件对目标程序进行执行。
当需要执行所述加壳后的程序文件时,因为壳程序无法使用壳的导入表,故需要先获取需要的API,例如弹窗用到的MessageBox,用于从动态链接库里获取函数地址的GetProcAddress。
作为本发明的一种实施例,为了能够使用户能够输入密码,在壳的部分生成一个弹窗控件,用户在弹窗中输入密码后,生成密码输入指令,该密码输入指令会触发对所述加壳后的程序文件的反调试判断。
所述反调试,主要是在破解者调试程序的时候进行处理,通常使用IsDebuggerPresent、NtQueryInformationProcess()等API来检测程序是否处于调试状态,如果是的话,则做出相应的处理,例如退出程序或关闭电脑等,目的在于切断程序进程。
当前程序是否正在被调试,通过下述过程进行判断:
检测当前进程环境块偏移为0x2的值是否为零值,如果是,则当前进程处于未被调试;否则,当前进程正被调试。
作为本发明的一种实施例,使用win32提供的一种API,IsDebuggerPresent()检测当前进程是否正处于被调试状态。通过IsDebuggerPresent()检查进程环境块偏移为0x2的值,当进程被调试的时候,其进程环境块偏移为0x2的值会为一个非零值,即进程处于被调试状态;否则为零值,此时进程处于未被调试状态。
通过反调试过程能够在执行程序前判断当前程序是否处于被调试状态,如果处于被调试状态,则说明当前有破解者正对程序进行破解,需要及时切断程序进程,对程序进行保护。而如果程序处于未被调试状态,则可以通过执行所述加壳后的程序文件对目标程序进行执行。
所述通过执行所述加壳后的程序文件对目标程序进行执行,如图3所示,包括:
S301、通过国密SM3算法计算出输入的密码对应的哈希值,与程序中保存的哈希值进行匹配,如果匹配一致,则将所述密码作为密钥;否则退出程序。
由于在加密处理过程中,通过国密SM3算法计算密钥的哈希值,并保存在程序中,此时针对于输入的密码仍然通过国密SM3算法计算对应的哈希值,与之前保存在程序中的哈希值进行匹配,如果匹配一致,则将该输入的密码作为密钥继续执行S302,否则返回密码错误提示,并退出程序。
S302、通过国密SM4算法,根据所述密钥对所述加壳后的程序文件中的代码段进行解密,得到解密后的代码段。
S303、将解密后的代码段进行解压,得到解压后的代码段;所述解压后的代码段包括目标程序的代码段和壳程序的代码段。
S304、获取解压后的代码段中目标程序的重定位表中的地址,对所述重定位表进行修复。
windows加载器自动修复壳程序的重定位表,而无法自动修复目标程序中的重定位表,故目标程序的代码还不能够正常执行。
修复目标程序的重定位表,包括:
遍历目标程序的重定位表的所有数据,所述数据为所有要修复的地址。在此地址的基础上需要加上新加载基址,然后去除默认加载基址,得到真正的地址,重新计算并修复目标程序的重定位表。
S305、从内存空间中读取目标程序的导入表,对导入表进行修复。
在寻找目标程序导入表的时候,将导入表指向内存空间中的导入表地址指针,即可修复导入表。
S306、跳转到目标程序的入口点,对目标程序进行执行。
由于保存了目标程序的入口点,故通过jmp指令直接跳转到目标程序的入口点,开始执行目标程序。
根据本发明的实施例,能够基于国密算法为原代码进行加壳,并且通过反调试过程,有效地对抗破解者对软件原代码的破解,有利于保护软件核心原代码不被破解和外泄。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本发明所必须的。
以上是关于方法实施例的介绍,以下通过装置实施例,对本发明所述方案进行进一步说明。
如图4所示,装置400包括:
加壳处理模块410,用于对目标程序进行加壳处理,生成加壳后的程序。
所述加壳处理模块410,如图5所示,包括:
第一判断模块411,用于判断目标程序文件是否为PE文件,如果是,则调用压缩模块412;否则结束。
为了整个加壳过程的可行性,需要利用第一判断模块411先判断所述目标程序文件是否为PE文件。所述PE文件为Windows上可执行文件的格式文件。如果所述目标程序文件为PE文件,则对所述目标程序的代码段进行压缩;如果所述目标程序文件不为PE文件,则结束当前程序。
压缩模块412,用于对目标程序代码段进行压缩。
通过压缩模块412,对所述目标程序的代码段进行压缩,是为了让程序的体积不至于过于臃肿,因为当对目标程序加壳后,需要生成目标程序和壳程序加在一起组合成的程序,如此程序的体积必然变大,故对所述目标程序的代码段进行压缩。
加密模块413,用于将压缩后的目标程序代码段进行加密处理,得到加密后的目标程序代码段。
所述加密模块413使用国密SM4算法对压缩后的目标程序代码段进行加密,其中,通过国密SM3算法计算密钥的哈希值,并保存在程序中。
所述国密SM4算法是一种对称加密算法,需要密钥,所述密钥由加密者输入提供;为了保证密钥的存放安全,使用国密SM3算法计算正确密钥的哈希值,并保存在程序中。
复制模块414,用于将壳程序的代码段复制到所述目标程序代码段的尾部,得到加入壳程序的目标程序。此时所述目标程序代码段为压缩并加密后的代码段,直接将壳程序的代码段复制到其尾部,生成由目标程序和壳程序共同组成的新程序,即为加入壳程序的目标程序。
入口点调整模块415,用于将所述加入壳程序的目标程序的程序入口点设置到壳程序,并保存目标程序的入口点。
所述程序入口点为执行程序的起始点。所述目标程序的程序入口点在目标程序,而对于加入壳程序的目标程序,需要先执行壳程序,故通过入口点调整模块415将原目标程序的程序入口点修改到壳程序的程序入口点,如此,加入壳程序的目标程序的执行流程就被改变,从原来先执行目标程序变为先执行壳程序。
导入表处理模块416,用于通过配置目标程序中的数据目录表,对导入表进行处理。
所述导入表处理模块416,首先将目标程序的数据目录表中的导入表虚拟地址偏移项和导入表虚拟地址大小项设置为0,得到修改后的导入表。
所述导入表中存放着程序导入的函数的信息,包括函数的地址和名称,而在程序的数据目录表中的第2项和第13项中存放着导入表的虚拟地址偏移(相对虚拟地址)和虚拟地址大小。将虚拟地址偏移项和虚拟地址大小项置为0。如此操作,使得系统加载器和破解者无法找到目标程序的导入表。
然后,设置一内存空间,将修改后的导入表导入所述内存空间,并删除原导入表。
通过开辟一块新的内存空间,将原来的导入表拷贝到该内存空间里,导入的时候并将原导入表情况;如此,如果不依赖壳程序修复导入表的话,目标程序就无法执行,为破解者提高了破解难度。
重定位表处理模块417,用于将壳程序的重定位表中,每一项数据均修改为基于EXE程序默认加载基址的数据。
壳程序是一个DLL,即动态链接库;重定位表处理模块417需要将壳程序的重定位表里的数据,每一项都修改为基于EXE程序默认加载基址的数据。这是因为需要让windows加载器自动修复壳程序的重定位表,否则壳程序无法正常运行,而windows加载器只会以EXE程序默认加载基址为标准来修复重定位表的数据,这和DLL(动态链接库)的默认加载基址(0x10000000)不一样,所以要将壳的重定位表数据修改为以EXE程序默认加载基址为标准的。
所述加壳处理模块410,如图5所示,还包括:
反静态分析处理模块418,用于对所述壳程序的代码段进行反静态分析处理,包括向壳程序的代码段中加入花指令,用mov混淆指令或smc自解码等方式进行反静态分析处理等等。
所述花指令用于通过特殊构造的指令使得反汇编器出错,使得破解者无法正确地反汇编程序的内容,迷失方向。所述花指令的数量和形式不限,例如jmp、call等。例如,在壳程序的代码段中两个jcc指令后插入一个垃圾指令0xE8,0xE8会被反汇编器解析为jmp指令,程序会跳过这个垃圾指令,并不会影响程序的流程。但是使用主流调试器OllyDbg查看,可以发现垃圾指令0xE8和后面的硬偏码被解析成新的指令了,这和原来的反汇编不一样,大大造成了程序分析的难度。
反调试模块420,用于响应密码输入指令,对所述加壳后的程序进行反调试判断,如果当前程序正在被调试,则退出程序;否则,调用执行模块。
当需要执行所述加壳后的程序文件时,因为壳程序无法使用壳的导入表,故需要先获取需要的API,例如弹窗用到的MessageBox,用于从动态链接库里获取函数地址的GetProcAddress。
作为本发明的一种实施例,为了能够使用户能够输入密码,在壳的部分生成一个弹窗控件,用户在弹窗中输入密码后,生成密码输入指令,该密码输入消息会调用反调试模块421,对所述加壳后的程序文件进行反调试判断。
所述反调试模块421,用于在破解者调试程序的时候进行处理,通常使用IsDebuggerPresent、NtQueryInformationProcess()等API来检测程序是否处于调试状态,如果是的话,则做出相应的处理,例如退出程序或关闭电脑等,目的在于切断程序进程。
所述反调试模块421,还包括:
第二判断模块421-1;检测当前进程环境块偏移为0x2的值是否为零值,如果是,则当前进程处于未被调试;否则,当前进程正被调试。
通过反调试模块421,能够在执行程序前判断当前程序是否处于被调试状态,如果处于被调试状态,则说明当前有破解者正对程序进行破解,需要及时切断程序进程,对程序进行保护。而如果程序处于未被调试状态,则可以通过执行所述加壳后的程序文件对目标程序进行执行。
在程序未被调试状态下,调用执行模块430。
执行模块430,用于通过执行所述加壳后的程序对目标程序进行执行。
所述执行模块430,如图6所示,包括:
匹配模块431,用于通过国密SM3算法计算出输入的密码对应的哈希值,与程序中保存的哈希值进行匹配,如果匹配一致,则将所述密码作为密钥;否则退出程序。
解密模块432,用于通过国密SM4算法,根据所述密钥对所述加壳后的程序文件中的代码段进行解密,得到解密后的代码段。
解压模块433,用于将解密后的代码段进行解压,得到解压后的代码段;所述解压后的代码段包括目标程序的代码段和壳程序的代码段。
重定位表修复模块434,用于获取解压后的代码段中目标程序的重定位表中的地址,对所述重定位表进行修复。
windows加载器自动修复壳程序的重定位表,而无法自动修复目标程序中的重定位表,故目标程序的代码还不能够正常执行。
所述重定位表修复模块434遍历目标程序的重定位表的所有数据,所述数据为所有要修复的地址。在此地址的基础上需要加上新加载基址,然后去除默认加载基址,得到真正的地址,重新计算并修复目标程序的重定位表。
导入表修复模块435,用于在寻找目标程序导入表的时候,将导入表指向内存空间中的导入表地址指针,即可修复导入表。
跳转模块436,用于跳转到目标程序的入口点,对目标程序进行执行。由于保存了目标程序的入口点,故通过jmp指令直接跳转到目标程序的入口点,开始执行目标程序。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,所述描述的模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
如图5所示,电子设备包括中央处理单元(CPU),其可以根据存储在只读存储器(ROM)中的计算机程序指令或者从存储单元加载到随机访问存储器(RAM)中的计算机程序指令,来执行各种适当的动作和处理。在RAM中,还可以存储设备操作所需的各种程序和数据。CPU、ROM以及RAM通过总线彼此相连。输入/输出(I/O)接口也连接至总线。
电子设备中的多个部件连接至I/O接口,包括:输入单元,例如键盘、鼠标等;输出单元,例如各种类型的显示器、扬声器等;存储单元,例如磁盘、光盘等;以及通信单元,例如网卡、调制解调器、无线通信收发机等。通信单元允许电子设备通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理单元执行上文所描述的各个方法和处理,例如方法S101和S102。例如,在一些实施例中,方法S101和S102可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元。在一些实施例中,计算机程序的部分或者全部可以经由ROM和/或通信单元而被载入和/或安装到设备上。当计算机程序加载到RAM并由CPU执行时,可以执行上文描述的方法S101和S102的一个或多个步骤。备选地,在其他实施例中,CPU可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法S101和S102。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)等等。
用于实施本发明的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
此外,虽然采用特定次序描绘了各操作,但是这应当理解为要求这样操作以所示出的特定次序或以顺序次序执行,或者要求所有图示的操作应被执行以取得期望的结果。在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本发明的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实现中。相反地,在单个实现的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实现中。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。
Claims (10)
1.一种基于Windows平台软件的保护方法,其特征在于,包括:
对目标程序进行加壳处理,生成加壳后的程序文件;
响应于密码输入指令,对所述加壳后的程序文件进行反调试判断,如果当前程序正在被调试,则退出程序;否则,通过执行所述加壳后的程序文件对目标程序进行执行。
2.根据权利要求1所述的方法,其特征在于,所述通过加壳器对目标程序进行加壳处理,包括:
判断目标程序文件是否为PE文件,如果是,则对目标程序代码段进行压缩;否则结束;
将压缩后的目标程序代码段进行加密处理,得到加密后的目标程序代码段;
将壳程序的代码段复制到所述目标程序代码段的尾部,得到加入壳程序的目标程序;
将所述加入壳程序的目标程序的程序入口点设置到壳程序,并保存目标程序的入口点;
通过配置目标程序中的数据目录表,对导入表进行处理;
将壳程序的重定位表中,每一项数据均修改为基于EXE程序默认加载基址的数据。
3.根据权利要求2所述的方法,其特征在于,所述加密处理,包括:
使用国密SM4算法对压缩后的目标程序代码段进行加密,其中,通过国密SM3算法计算密钥的哈希值,并保存在程序中。
4.根据权利要求2所述的方法,其特征在于,所述通过配置目标程序中的数据目录表,对导入表进行处理,包括:
将目标程序的数据目录表中的导入表虚拟地址偏移项和导入表虚拟地址大小项设置为0,得到修改后的导入表;
设置一内存空间,将修改后的导入表导入所述内存空间,并删除原导入表。
5.根据权利要求1所述的方法,其特征在于,所述对所述加壳后的程序文件进行反调试判断,包括:
检测当前进程环境块偏移为0x2的值是否为零值,如果是,则当前进程处于未被调试;否则,当前进程正被调试。
6.根据权利要求1所述的方法,其特征在于,所述通过执行所述加壳后的程序文件对目标程序进行执行,包括:
通过国密SM3算法计算出输入的密码对应的哈希值,与程序中保存的哈希值进行匹配,如果匹配一致,则将所述密码作为密钥;否则退出程序;
通过国密SM4算法,根据所述密钥对所述加壳后的程序文件中的代码段进行解密,得到解密后的代码段;
将解密后的代码段进行解压,得到解压后的代码段;
获取解压后的代码段中目标程序的重定位表中的地址,对所述重定位表进行修复;
从内存空间中读取目标程序的导入表,对导入表进行修复;
跳转到目标程序的入口点,对目标程序进行执行。
7.根据权利要求2所述的方法,其特征在于,对所述壳程序的代码段进行反静态分析处理。
8.一种基于Windows平台软件的保护装置,其特征在于,包括:
加壳处理模块,用于对目标程序进行加壳处理,生成加壳后的程序;
反调试模块,用于响应密码输入指令,对所述加壳后的程序进行反调试判断,如果当前程序正在被调试,则退出程序;否则,调用执行模块;
执行模块,用于通过执行所述加壳后的程序对目标程序进行执行。
9.一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1~7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011220107.9A CN112035803B (zh) | 2020-11-05 | 2020-11-05 | 一种基于Windows平台软件的保护方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011220107.9A CN112035803B (zh) | 2020-11-05 | 2020-11-05 | 一种基于Windows平台软件的保护方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112035803A true CN112035803A (zh) | 2020-12-04 |
CN112035803B CN112035803B (zh) | 2021-03-19 |
Family
ID=73572877
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011220107.9A Active CN112035803B (zh) | 2020-11-05 | 2020-11-05 | 一种基于Windows平台软件的保护方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112035803B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108897994A (zh) * | 2018-06-19 | 2018-11-27 | 广州华多网络科技有限公司 | 隐藏导入表的方法、装置、存储介质和计算机设备 |
CN113987471A (zh) * | 2021-10-29 | 2022-01-28 | 山西大鲲智联科技有限公司 | 可执行文件执行方法、装置、电子设备和计算机可读介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1770590A2 (de) * | 2005-09-26 | 2007-04-04 | Siemens Aktiengesellschaft | Verfahren und System zum Schutz von Quellcode |
CN105825085A (zh) * | 2016-03-16 | 2016-08-03 | 广州彩瞳网络技术有限公司 | 应用程序的处理方法及装置 |
CN107870793A (zh) * | 2017-12-22 | 2018-04-03 | 上海众人网络安全技术有限公司 | 一种应用程序中加载so文件的方法及装置 |
-
2020
- 2020-11-05 CN CN202011220107.9A patent/CN112035803B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1770590A2 (de) * | 2005-09-26 | 2007-04-04 | Siemens Aktiengesellschaft | Verfahren und System zum Schutz von Quellcode |
CN105825085A (zh) * | 2016-03-16 | 2016-08-03 | 广州彩瞳网络技术有限公司 | 应用程序的处理方法及装置 |
CN107870793A (zh) * | 2017-12-22 | 2018-04-03 | 上海众人网络安全技术有限公司 | 一种应用程序中加载so文件的方法及装置 |
Non-Patent Citations (1)
Title |
---|
秦杰: "基于IAT加密的加壳程序研究", 《中国优秀硕士学位论文全文数据库(电子期刊)信息科技辑》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108897994A (zh) * | 2018-06-19 | 2018-11-27 | 广州华多网络科技有限公司 | 隐藏导入表的方法、装置、存储介质和计算机设备 |
CN108897994B (zh) * | 2018-06-19 | 2022-07-08 | 广州华多网络科技有限公司 | 隐藏导入表的方法、装置、存储介质和计算机设备 |
CN113987471A (zh) * | 2021-10-29 | 2022-01-28 | 山西大鲲智联科技有限公司 | 可执行文件执行方法、装置、电子设备和计算机可读介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112035803B (zh) | 2021-03-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7841010B2 (en) | Software or other information integrity verification using variable block length and selection | |
JP5775738B2 (ja) | 情報処理装置、セキュアモジュール、情報処理方法、および情報処理プログラム | |
CN106203006A (zh) | 基于dex与so文件动态执行的Android应用加固方法 | |
US20160203087A1 (en) | Method for providing security for common intermediate language-based program | |
US20160275019A1 (en) | Method and apparatus for protecting dynamic libraries | |
CN102163268B (zh) | 在执行期间验证软件代码的完整性的方法和设备 | |
WO2016078130A1 (zh) | 一种防逆向apk文件的动态加载方法 | |
CN107273723B (zh) | 一种基于so文件加壳的Android平台应用软件保护方法 | |
US9256756B2 (en) | Method of encryption and decryption for shared library in open operating system | |
US10296728B2 (en) | Method and system for providing cloud-based application security service | |
CN112035803B (zh) | 一种基于Windows平台软件的保护方法及装置 | |
US20160162686A1 (en) | Method for verifying integrity of dynamic code using hash background of the invention | |
CN108229144B (zh) | 一种应用程序的验证方法、终端设备及存储介质 | |
CN112231702A (zh) | 应用保护方法、装置、设备及介质 | |
CN112269970A (zh) | 一种脚本加密方法、装置、服务器及存储介质 | |
CN108334754B (zh) | 嵌入式系统程序的加密解密方法及系统 | |
CN108133147B (zh) | 可执行代码的保护方法、设备及可读存储介质 | |
CN111382447B (zh) | 安装包的加密方法、存储介质及计算机设备 | |
CN115033870A (zh) | 一种基于大数据云部署的反恶意篡改代码方法和装置 | |
KR101556908B1 (ko) | 프로그램 보호 장치 | |
CN111291404A (zh) | 安卓设备WhatsApp的crypt12备份解密方法、系统、装置和存储介质 | |
US20190163885A1 (en) | Apparatus and method of providing security and apparatus and method of executing security for common intermediate language | |
US20230334149A1 (en) | Program processing device and program processing method | |
EP2966587A1 (en) | Method of protecting software program by corrupting memory chunks, and device for implementing said method | |
CN112131612B (zh) | 一种cf卡数据防篡改方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |