【導讀】軟件安全的基本要求。其技術措施應實現(xiàn)三個基本任務：防拷貝、防靜態(tài)分析和防動態(tài)跟蹤。指的是通過采取某種加密措施，使得一般用戶利用正。常的拷貝命令，甚至于各種拷貝軟件都無法將軟件進行完。整的復制，或者是復制到的軟件不能正常運行。制造的特殊標記特殊標記的不完全拷貝。圖4—1加密母盤的不完全拷貝示意圖。一個簡單的手工作業(yè)方法制作硬標記：準備一。根針，在酒精燈上將針尖部分燒紅，然后在磁盤上。選擇某一位臵，將燒紅的針尖靠近磁介質表面停留。片刻；當拿開針尖以。后，磁盤介質的這一部分就有一個小小的痕跡因受。熱而發(fā)生變化，不能記錄信息，被損壞的扇區(qū)如果。用INT13H讀寫數(shù)據(jù)時，會發(fā)生10H錯。在被加密程序中編寫一段程序來識別這一標記，因此必須知道被損壞的扇區(qū)所在的磁道和扇區(qū)號。01H非法功能調用；03H對寫保護的。知道被燒壞的扇區(qū)為1面10磁道的第4扇區(qū)，因此就可。假定被加密程序是顯示字符串“Howareyou！”

　　

【正文】 GOON ERR： MOV DX， OFFSET MSG MOV AH， 9 INT 2 IH MOV AX， 4CFFH INT 21H NEXT： MOV AX， ［ SI＋ 26］ GOON： …… 計算機安全技術 軟件安全技術 2． 文件首簇號的識別 文件首簇號的識別操作常由被加密程序自己來完成 。 另外也有用系統(tǒng)功能調用來獲取文件首簇號的方法 ， 在傳統(tǒng)的文件管理系統(tǒng)功能調用中 ， 11H和 12H號功能調用分別是搜索第一個匹配文件和下一個匹配文件的功能調用 。 直接使用它們其中之一 ，也可以方便地獲取文件目錄登記項的全部 32個字節(jié)內容 ， 當然也包含了文件首簇號 。 程序片段如下： MOV DX， OFFSET FCBI MOV AH， 11H INT 21H 計算機安全技術 軟件安全技術 磁盤的消隱與還原 1． 硬盤消隱技術 一種使硬盤從邏輯上消失 ， 在邏輯上不存在的硬盤 ，在物理上始終是存在的 。 使硬盤消隱實際上是使系統(tǒng)不能識別物理上存在的硬盤 ， 使得針對硬盤的文件存取操作不能進行 ， 從而達到保護硬盤上信息的目的 。 通常把使硬盤消隱的操作稱為硬盤加鎖 （ 密 ） 操作 。 實現(xiàn)硬盤消隱有以下幾種方法： （ 1）改變系統(tǒng)設臵法 （ 2）修改分區(qū)表系統(tǒng)指示字節(jié)法 （ 3）搬移分區(qū)表法 計算機安全技術 軟件安全技術 2． 硬盤還原技術 授權用戶運行解鎖軟件還原硬盤有兩種形式： 一種是還原后的硬盤在再次加鎖前處于開鎖狀態(tài)，任何用戶都可以正常使用硬盤，因而授權用戶上完機后需再次加鎖才能阻止非授權用戶對硬盤的訪問； 另一種形式是還原后的硬盤只在再次啟動前處于開鎖狀態(tài)，一旦關機或重新啟動機器，硬盤使自動處于關鎖狀態(tài)。這是通過用密鑰系統(tǒng)盤啟動機器實現(xiàn)的，該密鑰系統(tǒng)盤由授權用戶掌握。不用該密鑰系統(tǒng)盤啟動機器，硬盤不能被使用。硬盤還原的手段不是恢復系統(tǒng)設臵表中的硬盤設臵就是恢復主引導記錄中的分區(qū)表。 計算機安全技術 軟件安全技術 硬盤加密 、 解密實例 密鑰系統(tǒng)盤的實例。密鑰系統(tǒng)盤的關鍵在于引導記錄，它是采用搬移硬盤分區(qū)表實現(xiàn)加鎖，采用恢復硬盤分區(qū)表實現(xiàn)解鎖的。當用例中所給出的密鑰系統(tǒng)盤啟動機器時，第一次不能寫保護，以后則可以。用它啟動機器，則硬盤可用，不用它啟動則硬盤不可用。 …… 計算機安全技術 軟件安全技術 防動態(tài)跟蹤技術 跟蹤的工具及其實現(xiàn) 1． 跟蹤軟件 調試軟件是破譯者的 “ 天然 ” 跟蹤工具 ， 能對程序實現(xiàn)指令級跟蹤 ， DEBUG可以跟蹤 DOS認可的任意小的可執(zhí)行文件 。 T：單步跟蹤命令 。 使用該命令可嚴格按指令級進行跟蹤 ， 即該命令不把 INT n、 CALL n等語句作為一條指令 ，而是進入這些語句相應的子程序中進行逐條指令跟蹤 。 P：按匯編語句跟蹤 。 與 T命令不同的是 ， 該命令把諸如 INT n、 CALL n等語句作為一條指令對待 ， 而不像 T語句那樣跟蹤到這些語句相對應的子程序中 ， 執(zhí)行子程序中的每條命令 。 計算機安全技術 軟件安全技術 防動態(tài)跟蹤技術 G：運行命令 。 該命令使得用戶可以從程序的任一地方開始執(zhí)行 ， 并最多可以設臵 d個中斷點 ， 顯示每個中斷點處指令的運行結果 。 加密中的防跟蹤處理 ， 就是要阻止解密者利用這些跟蹤 （ 調試 ） 工具對被加密的文件進行有效跟蹤 ， 使跟蹤者落入加密者設臵的 “ 陷階 ” 或進入 “ 死胡同 ” 。 2．跟蹤的過程 單步中斷和斷點中斷。單步中斷是由機器內部狀態(tài)引起的一種中斷。斷點中斷是一種軟中斷，軟中斷又稱為自陷指令。當 CPU執(zhí)行到編制在程序中的這條自陷指令時，就進入斷點中斷服務程序。由于斷點中斷服務程序完成對斷點處各寄存器內容的顯示，單步中斷和斷點中斷的配合使得調試軟件可以實現(xiàn)對程序運行的跟蹤。 計算機安全技術 軟件安全技術 防動態(tài)跟蹤技術 防動態(tài)跟蹤的方法 防動態(tài)跟蹤的目的是阻止破譯者進行有效跟蹤 。實現(xiàn)這個目的的方法有兩個途徑：第一個途徑是破壞跟蹤 ， 使破譯者跟蹤不了幾步就死機或機器自啟動；第二個途徑是利用反窮舉法 ， 使跟蹤者在 “ 耗盡精力 ” 之前不能進行實質性跟蹤 。 這兩個途徑的防跟蹤都要與密文相配合 ， 否則就不能阻止破譯者識破 “ 機關 ” ， 實現(xiàn)解密 。 計算機安全技術 軟件安全技術 防動態(tài)跟蹤技術 1． 修改中斷向量法 就是用新值來代替中斷向量的舊值 。 這個新值可以是被加密程序中某一程序的入口 ， 也可以是一個隨機數(shù) 。 前者可以使跟蹤者誤入加密者設臵的“ 陷阱 ” 中 ， 后者可使機器進入死循環(huán)或出現(xiàn)其它異常現(xiàn)象而死機 。 所有跟蹤軟件都利用了單步中斷和斷點中斷 。 這兩個中斷的中斷服務程序的入口（ 中斷向量 ） 分別被放在內存 0： 0004～ 0007H和 0：000C～ 000FH中 。 修改這兩個中斷的中斷向量 ， 就可以破壞跟蹤或使跟蹤誤入 “ 歧途 ” 。 計算機安全技術 軟件安全技術 防動態(tài)跟蹤技術 (1)破壞中斷向量：由于 DEBUG程序在跟蹤程序時，需要使用 INT1和 INT3中斷向量，所以只需破壞這兩個中斷向量，即可阻止 DEBUG程序的正常運行，從而喪失其跟蹤其它程序的能力。 （ 2）破壞更多的中斷向量：有時，為了加強防跟蹤措施，可以破壞更多的中斷向量。 （ 3）將數(shù)據(jù)放入中斷向量地址 （ 4）使中斷向量指向一個子程序 計算機安全技術 軟件安全技術 防動態(tài)跟蹤技術 2． 改變堆棧指針法 （ 1）將堆棧設在 ROM區(qū)：破譯者用 DEBUG進行跟蹤時， DEBUG程序需要在當前堆棧段中存放其運行時的一些重要數(shù)據(jù)。如果在軟件運行時，自身不需要進行堆棧操作就可以將堆棧段設臵在內存 ROM區(qū)，這時則不能保存斷點，也就無法返回到斷點，從而造成死機使跟蹤無法進行下去。巧妙地使用這種方法，可以達到令人滿意的效果。 (2） 將堆棧設在程序區(qū)：將堆棧設在程序區(qū)中 ， 由于堆棧操作會破壞程序代碼 ， 從而使程序不能運行 ， 間接地阻止了破譯者的動態(tài)跟蹤 。 (3)不斷變更堆棧指針：在加密軟件中 ， 為了阻止解密者的單步跟蹤 ， 可以不斷地變更堆棧指針 。 計算機安全技術 軟件安全技術 防動態(tài)跟蹤技術 3． 封鎖鍵盤輸人法 DEBUG的各種命令都是通過鍵盤輸入的 。 鍵盤信息的輸入采用了硬件中斷方式 ， 由 BIOS的鍵盤中斷服務程序接收 、 識別 、 轉換 ， 然后送入可存放 16個字符的鍵盤緩沖區(qū) 。 當程序在執(zhí)行過程中不需要鍵盤支持時 ， 可以封鎖鍵盤的輸入 ， 而當需要鍵盤輸入時 ， 再解除對鍵盤的封鎖 。封鎖鍵盤輸入的方法有下面幾種： （ 1） 改變中斷服務程序入口地址 。 （ 2） 修改管理程序入口地址 （ 3）禁止鍵盤中斷 （ 4）禁止鍵盤接收數(shù)據(jù) 計算機安全技術 軟件安全技術 防動態(tài)跟蹤技術 4． 顯示控制法 （ 1）改變字符顯示屬性，封鎖屏幕顯示：正常情況下，顯示字符的顏色為一種顏色，而屏幕的背景顏色為另一種顏色。如果在軟件運行期間，自身不需要進行顯示的時候，將顯示字符的顏色設臵為與背景相同的顏色，則顯示在屏幕上的信息就看不見。這樣，如果破譯者采用 DEBUG進行跟蹤時，就看不到命令執(zhí)行的結果。 （ 2）檢測屏幕信息的變化： DEBUG在顯示信息時，必然會使屏幕上卷、換頁。因此，在程序運行時，如果發(fā)現(xiàn)自己沒有操作的屏幕位臵，顯示信息發(fā)生了變化，則可以斷定一定有人在跟蹤程序的運行，從而采取相應的防跟蹤措施，檢測屏幕信息的變化，以判別加密軟件是否處于動態(tài)調試程序的監(jiān)控之下。 計算機安全技術 軟件安全技術 防動態(tài)跟蹤技術 （ 3）修改中斷管理程序人口地址： DEBUG各種命令在執(zhí)行之后，其結果都要通過屏幕顯示出來。在軟件運行期間如果不需要屏幕顯示，可以修改屏幕顯示中斷管理入口地址。該中斷號為 10H，其人口地址在 0000： 0040H～ 0000： 0043H處。通過 INT 10H修改屏幕中斷，使其成為啞中斷，或利用 INT 10H使時鐘中斷定期清屏，達到關閉屏幕以阻止跟蹤，而在軟件識別有母盤標志后，恢復屏幕顯示中斷管理入口地址。 計算機安全技術 軟件安全技術 防動態(tài)跟蹤技術 5． 檢測跟蹤法 在程序中增加檢測跟蹤程序段 ， 當發(fā)現(xiàn)跟蹤時就進行異常處理 ， 或進入死循環(huán) ， 或使機器冷／熱啟動 ， 或給出非法跟蹤提示使程序停止執(zhí)行 ， 但程序被正常加載或執(zhí)行時一切正常 。 這種防跟蹤方法設計得好 ， 往往可使跟蹤者莫明其妙 ， 毫無辦法 。 檢測跟蹤的關鍵 ， 一是跟蹤的檢測 ， 二是跟蹤后的異常處理 。 其防跟蹤的效果可由兩個隱蔽來保證：一是檢測的隱蔽；二是異常處理的隱蔽 。 計算機安全技術 軟件安全技術 防動態(tài)跟蹤技術 檢測跟蹤有許多方法 ， 主要介紹 3種 。 （ 1） 向量檢測法：一個程序如未被跟蹤 ， 則單步中斷和斷點中斷向量相同 ， 都為啞中斷 。 但若一個程序被跟蹤執(zhí)行 ， 則這兩個中斷的中斷向量就不相同 。 通過檢測單步中斷和斷點中斷的中斷向量是否相同 ， 便可以發(fā)現(xiàn)程序是否被跟蹤 ， 從而決定是繼續(xù)執(zhí)行還是進行異常處理 。 （ 2） 限時檢測法：一段程序的連續(xù)運行和被跟蹤運行 ， 其所花時間不大相同 ， 因而在程序中可設臵定時器 ， 根據(jù)時間的長短來判斷是否被跟蹤 。這種檢測跟蹤的方法 ， 稱為限時檢測法 。 計算機安全技術 軟件安全技術 防動態(tài)跟蹤技術 （ 3） 特殊檢測方法：每個程序的運行都必須首先建立程序段前綴 PSP， 因而一個運行的程序必須有一個與之唯 、 對應的 psp。 當程序被正常執(zhí)行和被跟蹤時 ， PSP＋ 14H與 PSP＋ 16H處兩個字的內容不同 （ 未跟蹤時相等；被跟蹤時內容不等 ） ， 從而可以判斷該程序是否被跟蹤 。 計算機安全技術 軟件安全技術 防動態(tài)跟蹤技術 6． 廢指令法 防跟蹤的目的是阻止解密者通過跟蹤識破程序的 “ 機關 ” ， 因而可在被加密程序中設臵 “ 陷附 ” 和 “ 歧途 ” ，使跟蹤者耗盡時間和精力而放棄跟蹤 。 在被加密的程序中 ，設臵足夠多的無用程序段 ， 它們不完成任何有用功能 ， 只是在進行多次循環(huán) ， 要跟蹤這段程序需花費大量時間 ， 這種方法稱為廢指令法 。 看出是廢指令 ， 要讓跟蹤者感到這些指令是程序中必不可少的 ， 這樣才會誘使跟蹤者去研究這些指令 ， 消耗其時間和精力 。 作為廢指令的指令 ， 應是大多數(shù)用戶生疏的指令 。 廢指令雖然不完成任何有用的功能 ， 但要保證由廢指令構成的程序段不能逾越 。 若跟蹤者逾越了 ， 程序就不能繼續(xù)運行 ， 這是用廢指令法進行防跟蹤時要注意的一個問題 。 若將廢指令法與其它防跟蹤方法結合使用 ， 則可達到令人十分滿意的防跟蹤效果 。 計算機安全技術 軟件安全技術 防動態(tài)跟蹤技術 7． 覆蓋技術法 大型程序所采用的一種技術 ， 目的是解決內存空間不足的矛盾 。 一般 ， 一個可執(zhí)行文件被執(zhí)行時 ， 總是將其全部代碼一次裝入內存 ， 完成運行后便釋放空間退出內存 。而采用覆蓋技術的可執(zhí)行程序 ， 運行時不是將程序代碼一次全部裝入內存 ， 而是分階段多次裝入內存 ， 后裝入的程序代碼將全部或部分地覆蓋在它之前裝入內存的程序代碼 。 采用覆蓋技術的加密 ， 使跟蹤者難以前后聯(lián)想和查找 ， 因為跟蹤過的程序代碼很可能已被覆蓋掉 ， 跟蹤者如果想查看被覆蓋的內容就必須從頭開始 ， 這使跟蹤增加了難度和時間 。 此外 ， 采用覆蓋技術還可以增加靜態(tài)分析難度 。 計算機安全技術 軟件安全技術 防動態(tài)跟蹤技術 8． 其它方法 除了上述方法外 ， 還有自動啟動軟盤法 、 循環(huán)往復法 、 指令隊列預取法 ， 以及利用程序設計技巧 、逆指令流法和程序自檢與自生成技術等實現(xiàn)加密程序的防動態(tài)跟蹤方法 。