【正文】 DX， OFFSET MSG MOV AH， 9 INT 2 IH MOV AX， 4CFFH INT 21H NEXT： MOV AX， ［ SI＋ 26］ GOON： …… 計(jì)算機(jī)安全技術(shù) 軟件安全技術(shù) 2． 文件首簇號(hào)的識(shí)別 文件首簇號(hào)的識(shí)別操作常由被加密程序自己來完成 。 另外也有用系統(tǒng)功能調(diào)用來獲取文件首簇號(hào)的方法 ， 在傳統(tǒng)的文件管理系統(tǒng)功能調(diào)用中 ， 11H和 12H號(hào)功能調(diào)用分別是搜索第一個(gè)匹配文件和下一個(gè)匹配文件的功能調(diào)用 。 直接使用它們其中之一 ，也可以方便地獲取文件目錄登記項(xiàng)的全部 32個(gè)字節(jié)內(nèi)容 ， 當(dāng)然也包含了文件首簇號(hào) 。 程序片段如下： MOV DX， OFFSET FCBI MOV AH， 11H INT 21H 計(jì)算機(jī)安全技術(shù) 軟件安全技術(shù) 磁盤的消隱與還原 1． 硬盤消隱技術(shù) 一種使硬盤從邏輯上消失 ， 在邏輯上不存在的硬盤 ，在物理上始終是存在的 。 使硬盤消隱實(shí)際上是使系統(tǒng)不能識(shí)別物理上存在的硬盤 ， 使得針對(duì)硬盤的文件存取操作不能進(jìn)行 ， 從而達(dá)到保護(hù)硬盤上信息的目的 。 通常把使硬盤消隱的操作稱為硬盤加鎖 （ 密 ） 操作 。 實(shí)現(xiàn)硬盤消隱有以下幾種方法： （ 1）改變系統(tǒng)設(shè)臵法 （ 2）修改分區(qū)表系統(tǒng)指示字節(jié)法 （ 3）搬移分區(qū)表法 計(jì)算機(jī)安全技術(shù) 軟件安全技術(shù) 2． 硬盤還原技術(shù) 授權(quán)用戶運(yùn)行解鎖軟件還原硬盤有兩種形式： 一種是還原后的硬盤在再次加鎖前處于開鎖狀態(tài)，任何用戶都可以正常使用硬盤，因而授權(quán)用戶上完機(jī)后需再次加鎖才能阻止非授權(quán)用戶對(duì)硬盤的訪問； 另一種形式是還原后的硬盤只在再次啟動(dòng)前處于開鎖狀態(tài)，一旦關(guān)機(jī)或重新啟動(dòng)機(jī)器，硬盤使自動(dòng)處于關(guān)鎖狀態(tài)。這是通過用密鑰系統(tǒng)盤啟動(dòng)機(jī)器實(shí)現(xiàn)的，該密鑰系統(tǒng)盤由授權(quán)用戶掌握。不用該密鑰系統(tǒng)盤啟動(dòng)機(jī)器，硬盤不能被使用。硬盤還原的手段不是恢復(fù)系統(tǒng)設(shè)臵表中的硬盤設(shè)臵就是恢復(fù)主引導(dǎo)記錄中的分區(qū)表。 計(jì)算機(jī)安全技術(shù) 軟件安全技術(shù) 硬盤加密 、 解密實(shí)例 密鑰系統(tǒng)盤的實(shí)例。密鑰系統(tǒng)盤的關(guān)鍵在于引導(dǎo)記錄，它是采用搬移硬盤分區(qū)表實(shí)現(xiàn)加鎖，采用恢復(fù)硬盤分區(qū)表實(shí)現(xiàn)解鎖的。當(dāng)用例中所給出的密鑰系統(tǒng)盤啟動(dòng)機(jī)器時(shí)，第一次不能寫保護(hù)，以后則可以。用它啟動(dòng)機(jī)器，則硬盤可用，不用它啟動(dòng)則硬盤不可用。 …… 計(jì)算機(jī)安全技術(shù) 軟件安全技術(shù) 防動(dòng)態(tài)跟蹤技術(shù) 跟蹤的工具及其實(shí)現(xiàn) 1． 跟蹤軟件 調(diào)試軟件是破譯者的 ? 天然 ? 跟蹤工具 ， 能對(duì)程序?qū)崿F(xiàn)指令級(jí)跟蹤 ， DEBUG可以跟蹤 DOS認(rèn)可的任意小的可執(zhí)行文件 。 T：單步跟蹤命令 。 使用該命令可嚴(yán)格按指令級(jí)進(jìn)行跟蹤 ， 即該命令不把 INT n、 CALL n等語句作為一條指令 ，而是進(jìn)入這些語句相應(yīng)的子程序中進(jìn)行逐條指令跟蹤 。 P：按匯編語句跟蹤 。 與 T命令不同的是 ， 該命令把諸如 INT n、 CALL n等語句作為一條指令對(duì)待 ， 而不像 T語句那樣跟蹤到這些語句相對(duì)應(yīng)的子程序中 ， 執(zhí)行子程序中的每條命令 。 計(jì)算機(jī)安全技術(shù) 軟件安全技術(shù) 防動(dòng)態(tài)跟蹤技術(shù) G：運(yùn)行命令 。 該命令使得用戶可以從程序的任一地方開始執(zhí)行 ， 并最多可以設(shè)臵 d個(gè)中斷點(diǎn) ， 顯示每個(gè)中斷點(diǎn)處指令的運(yùn)行結(jié)果 。 加密中的防跟蹤處理 ， 就是要阻止解密者利用這些跟蹤 （ 調(diào)試 ） 工具對(duì)被加密的文件進(jìn)行有效跟蹤 ， 使跟蹤者落入加密者設(shè)臵的 ? 陷階 ? 或進(jìn)入 ? 死胡同 ? 。 2．跟蹤的過程 單步中斷和斷點(diǎn)中斷。單步中斷是由機(jī)器內(nèi)部狀態(tài)引起的一種中斷。斷點(diǎn)中斷是一種軟中斷，軟中斷又稱為自陷指令。當(dāng) CPU執(zhí)行到編制在程序中的這條自陷指令時(shí)，就進(jìn)入斷點(diǎn)中斷服務(wù)程序。由于斷點(diǎn)中斷服務(wù)程序完成對(duì)斷點(diǎn)處各寄存器內(nèi)容的顯示，單步中斷和斷點(diǎn)中斷的配合使得調(diào)試軟件可以實(shí)現(xiàn)對(duì)程序運(yùn)行的跟蹤。 計(jì)算機(jī)安全技術(shù) 軟件安全技術(shù) 防動(dòng)態(tài)跟蹤技術(shù) 防動(dòng)態(tài)跟蹤的方法 防動(dòng)態(tài)跟蹤的目的是阻止破譯者進(jìn)行有效跟蹤 。實(shí)現(xiàn)這個(gè)目的的方法有兩個(gè)途徑：第一個(gè)途徑是破壞跟蹤 ， 使破譯者跟蹤不了幾步就死機(jī)或機(jī)器自啟動(dòng)；第二個(gè)途徑是利用反窮舉法 ， 使跟蹤者在 ? 耗盡精力 ? 之前不能進(jìn)行實(shí)質(zhì)性跟蹤 。 這兩個(gè)途徑的防跟蹤都要與密文相配合 ， 否則就不能阻止破譯者識(shí)破 ? 機(jī)關(guān) ? ， 實(shí)現(xiàn)解密 。 計(jì)算機(jī)安全技術(shù) 軟件安全技術(shù) 防動(dòng)態(tài)跟蹤技術(shù) 1． 修改中斷向量法 就是用新值來代替中斷向量的舊值 。 這個(gè)新值可以是被加密程序中某一程序的入口 ， 也可以是一個(gè)隨機(jī)數(shù) 。 前者可以使跟蹤者誤入加密者設(shè)臵的? 陷阱 ? 中 ， 后者可使機(jī)器進(jìn)入死循環(huán)或出現(xiàn)其它異常現(xiàn)象而死機(jī) 。 所有跟蹤軟件都利用了單步中斷和斷點(diǎn)中斷 。 這兩個(gè)中斷的中斷服務(wù)程序的入口（ 中斷向量 ） 分別被放在內(nèi)存 0： 0004～ 0007H和 0：000C～ 000FH中 。 修改這兩個(gè)中斷的中斷向量 ， 就可以破壞跟蹤或使跟蹤誤入 ? 歧途 ? 。 計(jì)算機(jī)安全技術(shù) 軟件安全技術(shù) 防動(dòng)態(tài)跟蹤技術(shù) (1)破壞中斷向量：由于 DEBUG程序在跟蹤程序時(shí)，需要使用 INT1和 INT3中斷向量，所以只需破壞這兩個(gè)中斷向量，即可阻止 DEBUG程序的正常運(yùn)行，從而喪失其跟蹤其它程序的能力。 （ 2）破壞更多的中斷向量：有時(shí)，為了加強(qiáng)防跟蹤措施，可以破壞更多的中斷向量。 （ 3）將數(shù)據(jù)放入中斷向量地址 （ 4）使中斷向量指向一個(gè)子程序 計(jì)算機(jī)安全技術(shù) 軟件安全技術(shù) 防動(dòng)態(tài)跟蹤技術(shù) 2． 改變堆棧指針法 （ 1）將堆棧設(shè)在 ROM區(qū)：破譯者用 DEBUG進(jìn)行跟蹤時(shí)， DEBUG程序需要在當(dāng)前堆棧段中存放其運(yùn)行時(shí)的一些重要數(shù)據(jù)。如果在軟件運(yùn)行時(shí)，自身不需要進(jìn)行堆棧操作就可以將堆棧段設(shè)臵在內(nèi)存 ROM區(qū)，這時(shí)則不能保存斷點(diǎn)，也就無法返回到斷點(diǎn)，從而造成死機(jī)使跟蹤無法進(jìn)行下去。巧妙地使用這種方法，可以達(dá)到令人滿意的效果。 (2） 將堆棧設(shè)在程序區(qū)：將堆棧設(shè)在程序區(qū)中 ， 由于堆棧操作會(huì)破壞程序代碼 ， 從而使程序不能運(yùn)行 ， 間接地阻止了破譯者的動(dòng)態(tài)跟蹤 。 (3)不斷變更堆棧指針：在加密軟件中 ， 為了阻止解密者的單步跟蹤 ， 可以不斷地變更堆棧指針 。 計(jì)算機(jī)安全技術(shù) 軟件安全技術(shù) 防動(dòng)態(tài)跟蹤技術(shù) 3． 封鎖鍵盤輸人法 DEBUG的各種命令都是通過鍵盤輸入的 。 鍵盤信息的輸入采用了硬件中斷方式 ， 由 BIOS的鍵盤中斷服務(wù)程序接收 、 識(shí)別 、 轉(zhuǎn)換 ， 然后送入可存放 16個(gè)字符的鍵盤緩沖區(qū) 。 當(dāng)程序在執(zhí)行過程中不需要鍵盤支持時(shí) ， 可以封鎖鍵盤的輸入 ， 而當(dāng)需要鍵盤輸入時(shí) ， 再解除對(duì)鍵盤的封鎖 。封鎖鍵盤輸入的方法有下面幾種： （ 1） 改變中斷服務(wù)程序入口地址 。 （ 2） 修改管理程序入口地址 （ 3）禁止鍵盤中斷 （ 4）禁止鍵盤接收數(shù)據(jù) 計(jì)算機(jī)安全技術(shù) 軟件安全技術(shù) 防動(dòng)態(tài)跟蹤技術(shù) 4． 顯示控制法 （ 1）改變字符顯示屬性，封鎖屏幕顯示：正常情況下，顯示字符的顏色為一種顏色，而屏幕的背景顏色為另一種顏色。如果在軟件運(yùn)行期間，自身不需要進(jìn)行顯示的時(shí)候，將顯示字符的顏色設(shè)臵為與背景相同的顏色，則顯示在屏幕上的信息就看不見。這樣，如果破譯者采用 DEBUG進(jìn)行跟蹤時(shí)，就看不到命令執(zhí)行的結(jié)果。 （ 2）檢測(cè)屏幕信息的變化： DEBUG在顯示信息時(shí)，必然會(huì)使屏幕上卷、換頁。因此，在程序運(yùn)行時(shí)，如果發(fā)現(xiàn)自己沒有操作的屏幕位臵，顯示信息發(fā)生了變化，則可以斷定一定有人在跟蹤程序的運(yùn)行，從而采取相應(yīng)的防跟蹤措施，檢測(cè)屏幕信息的變化，以判別加密軟件是否處于動(dòng)態(tài)調(diào)試程序的監(jiān)控之下。 計(jì)算機(jī)安全技術(shù) 軟件安全技術(shù) 防動(dòng)態(tài)跟蹤技術(shù) （ 3）修改中斷管理程序人口地址： DEBUG各種命令在執(zhí)行之后，其結(jié)果都要通過屏幕顯示出來。在軟件運(yùn)行期間如果不需要屏幕顯示，可以修改屏幕顯示中斷管理入口地址。該中斷號(hào)為 10H，其人口地址在 0000： 0040H～ 0000： 0043H處。通過 INT 10H修改屏幕中斷，使其成為啞中斷，或利用 INT 10H使時(shí)鐘中斷定期清屏，達(dá)到關(guān)閉屏幕以阻止跟蹤，而在軟件識(shí)別有母盤標(biāo)志后，恢復(fù)屏幕顯示中斷管理入口地址。 計(jì)算機(jī)安全技術(shù) 軟件安全技術(shù) 防動(dòng)態(tài)跟蹤技術(shù) 5． 檢測(cè)跟蹤法 在程序中增加檢測(cè)跟蹤程序段 ， 當(dāng)發(fā)現(xiàn)跟蹤時(shí)就進(jìn)行異常處理 ， 或進(jìn)入死循環(huán) ， 或使機(jī)器冷／熱啟動(dòng) ， 或給出非法跟蹤提示使程序停止執(zhí)行 ， 但程序被正常加載或執(zhí)行時(shí)一切正常 。 這種防跟蹤方法設(shè)計(jì)得好 ， 往往可使跟蹤者莫明其妙 ， 毫無辦法 。 檢測(cè)跟蹤的關(guān)鍵 ， 一是跟蹤的檢測(cè) ， 二是跟蹤后的異常處理 。 其防跟蹤的效果可由兩個(gè)隱蔽來保證：一是檢測(cè)的隱蔽；二是異常處理的隱蔽 。 計(jì)算機(jī)安全技術(shù) 軟件安全技術(shù) 防動(dòng)態(tài)跟蹤技術(shù) 檢測(cè)跟蹤有許多方法 ， 主要介紹 3種 。 （ 1） 向量檢測(cè)法：一個(gè)程序如未被跟蹤 ， 則單步中斷和斷點(diǎn)中斷向量相同 ， 都為啞中斷 。 但若一個(gè)程序被跟蹤執(zhí)行 ， 則這兩個(gè)中斷的中斷向量就不相同 。 通過檢測(cè)單步中斷和斷點(diǎn)中斷的中斷向量是否相同 ， 便可以發(fā)現(xiàn)程序是否被跟蹤 ， 從而決定是繼續(xù)執(zhí)行還是進(jìn)行異常處理 。 （ 2） 限時(shí)檢測(cè)法：一段程序的連續(xù)運(yùn)行和被跟蹤運(yùn)行 ， 其所花時(shí)間不大相同 ， 因而在程序中可設(shè)臵定時(shí)器 ， 根據(jù)時(shí)間的長短來判斷是否被跟蹤 。這種檢測(cè)跟蹤的方法 ， 稱為限時(shí)檢測(cè)法 。 計(jì)算機(jī)安全技術(shù) 軟件安全技術(shù) 防動(dòng)態(tài)跟蹤技術(shù) （ 3） 特殊檢測(cè)方法：每個(gè)程序的運(yùn)行都必須首先建立程序段前綴 PSP， 因而一個(gè)運(yùn)行的程序必須有一個(gè)與之唯 、 對(duì)應(yīng)的 psp。 當(dāng)程序被正常執(zhí)行和被跟蹤時(shí) ， PSP＋ 14H與 PSP＋ 16H處兩個(gè)字的內(nèi)容不同 （ 未跟蹤時(shí)相等；被跟蹤時(shí)內(nèi)容不等 ） ， 從而可以判斷該程序是否被跟蹤 。 計(jì)算機(jī)安全技術(shù) 軟件安全技術(shù) 防動(dòng)態(tài)跟蹤技術(shù) 6． 廢指令法 防跟蹤的目的是阻止解密者通過跟蹤識(shí)破程序的 ? 機(jī)關(guān) ? ， 因而可在被加密程序中設(shè)臵 ? 陷附 ? 和 ? 歧途 ? ，使跟蹤者耗盡時(shí)間和精力而放棄跟蹤 。 在被加密的程序中 ，設(shè)臵足夠多的無用程序段 ， 它們不完成任何有用功能 ， 只是在進(jìn)行多次循環(huán) ， 要跟蹤這段程序需花費(fèi)大量時(shí)間 ， 這種方法稱為廢指令法 。 看出是廢指令 ， 要讓跟蹤者感到這些指令是程序中必不可少的 ， 這樣才會(huì)誘使跟蹤者去研究這些指令 ， 消耗其時(shí)間和精力 。 作為廢指令的指令 ， 應(yīng)是大多數(shù)用戶生疏的指令 。 廢指令雖然不完成任何有用的功能 ， 但要保證由廢指令構(gòu)成的程序段不能逾越 。 若跟蹤者逾越了 ， 程序就不能繼續(xù)運(yùn)行 ， 這是用廢指令法進(jìn)行防跟蹤時(shí)要注意的一個(gè)問題 。 若將廢指令法與其它防跟蹤方法結(jié)合使用 ， 則可達(dá)到令人十分滿意的防跟蹤效果 。 計(jì)算機(jī)安全技術(shù) 軟件安全技術(shù) 防動(dòng)態(tài)跟蹤技術(shù) 7． 覆蓋技術(shù)法 大型程序所采用的一種技術(shù) ， 目的是解決內(nèi)存空間不足的矛盾 。 一般 ， 一個(gè)可執(zhí)行文件被執(zhí)行時(shí) ， 總是將其全部代碼一次裝入內(nèi)存 ， 完成運(yùn)行后便釋放空間退出內(nèi)存 。而采用覆蓋技術(shù)的可執(zhí)行程序 ， 運(yùn)行時(shí)不是將程序代碼一次全部裝入內(nèi)存 ， 而是分階段多次裝入內(nèi)存 ， 后裝入的程序代碼將全部或部分地覆蓋在它之前裝入內(nèi)存的程序代碼 。 采用覆蓋技術(shù)的加密 ， 使跟蹤者難以前后聯(lián)想和查找 ， 因?yàn)楦欉^的程序代碼很可能已被覆蓋掉 ， 跟蹤者如果想查看被覆蓋的內(nèi)容就必須從頭開始 ， 這使跟蹤增加了難度和時(shí)間 。 此外 ， 采用覆蓋技術(shù)還可以增加靜態(tài)分析難度 。 計(jì)算機(jī)安全技術(shù) 軟件安全技術(shù) 防動(dòng)態(tài)跟蹤技術(shù) 8． 其它方法 除了上述方法外 ， 還有自動(dòng)啟動(dòng)軟盤法 、 循環(huán)往復(fù)法 、 指令隊(duì)列預(yù)取法 ， 以及利用程序設(shè)計(jì)技巧 、逆指令流法和程序自檢與自生成技術(shù)等實(shí)現(xiàn)加密程序的防動(dòng)態(tài)跟蹤方法 。 計(jì)算機(jī)安全技術(shù) 軟件安全技術(shù) 演講完畢，謝謝觀看！