Дизассемблер IDA PRO.

⇐ Предыдущая 12

G	Прыжок по адресу
C	Преобразовать в код
D	Преобразовать в данные
A	Преобразовать в текст
U	Отменить любое преобразование
N	Переименовать метку
O	Операнд - смещение
*	Задать массив
;	Задать комментарий к строке
ENTER	Прыжок на метку под курсором
ESC	Возврат на один шаг назад по прыжкам
CTRL+E	Прыжок на точку входа в программу
CTRL+X	Показать ссылки на данную строку
CTRL+P	Прыжок на метку по имени
CTRL+U	Прыжок на начало функции

Одним из самых распространенных способов защиты от дизассемблирования является шифровка участков кода программы. Одним из самых простых методов является статическая шифровка, которая часто встречается в конвертных защитах. Суть в следующем. Создается шифрующая программа, которая перед сборкой загрузочного файла шифрует часть программы. В загрузочных файл добавляется фрагмент, который с фиксированных адресов расшифровывает зашифрованный фрагмент. В результате во время работы программы необходимые действия программой выполняются, но во время изучения дизассемблером мы видим другой код. Такие программы также называют самомодифицирующимися. Для изучения такой программы можно использовать отладчик, но при этом трудно получить листинг программы. Другой выход - использовать дизассемблер IDA, в котором с помощью встроенных скриптов можно расшифровать зашифрованный участок.

crypt.com - статическая шифровка, часто использующаяся в "конвертных защитах".

Далее приведены исходные коды для компонент защиты, все они компилируются в COM программы и для экономии места первые три и последняя строки опущены

Первая программа Lab21.asm является как бы префиксом защищаемой программы, в ее задачи входит расшифровка в памяти защищаемой программы.

start:	;
mov si,offset _end	;в SI смещение метки _end, ее адрес
lodsw	;в AX слово по адресу DS:SI, SI=SI+2
xchg ax,cx	;помещаем в CX значение AX
push si	;сохраняем в стек значение SI
decrypt:	;метка decrypt
xor byte ptr [si],0AAh	;сложение по модулю 2
inc si	;увеличиваем SI на 1
loop decrypt	;цикл с метки decrypt CX раз
jmp si	;прыгаем по адресу SI, в lab23
_end:	;метка _end
filesize dw 0	;размер шифруемого файла

Программа Lab22.asm – защищаемая программа, вместо нее может быть подставлена любая другая

start:
mov ah,9
mov dx,offset text
int 21h
ret
text db Hello',0dh,0ah,'$'
_end:

Программа Lab23.asm это заключительная часть защиты, в ее функции входит копирование расшифрованной программы в начало сегмента и передача ей управления

start:
call _next
_next:
pop cx
pop si
mov di,offset start
push di
sub cx,si
rep movsb
ret

Lab24.asm – это программа, которая выполняет сборку в памяти всех фрагментов, шифрование защищаемой программы и запись всего этого обратно в файл.

start:
mov ax,3d02h
mov dx,offset file1
int 21h
xchg ax,bx
mov ah,3Fh
mov cx,100h
mov dx,pointer
int 21h
add pointer,ax
mov ax,3d02h
mov dx,offset filename
int 21h
xchg ax,bx
push bx
mov ah,3Fh
mov cx,1000h
mov dx,pointer
int 21h
mov di,pointer
mov [di-2],ax
add pointer,ax
xchg ax,cx
mov si,dx
crypt:
xor byte ptr [si],0AAh
inc si
loop crypt
mov ax,3d02h
mov dx,offset file2
int 21h
xchg ax,bx
mov ah,3Fh
mov cx,100h
mov dx,pointer
int 21h
add pointer,ax
mov ax,4200h
pop bx
xor cx,cx
xor dx,dx
int 21h
mov ah,40h
mov dx,offset buffer
mov cx,pointer
sub cx,dx
int 21h
ret
filename db 'lab22.com',0
file1 db 'lab21.com',0
file2 db 'lab23.com',0
pointer dw offset buffer
buffer:

После компиляции данных программ четвертая производит операции по сборке непосредственно самой защиты.

Расшифровывается 3-мя строками в IDA: используется 2 функции (одна чтение, другая записи).

1. A = Byte ([0x1000],[0x100]) – в ‘A’ записывается байт из сегмента 1000 и смещения 100h.

2. PatchByte ([0x1000, 0x100], 0x27) - запись в байт по адресу 1000: 100h значение 27h

Cкрипт расшифровывающий ключом 75h со смещения 100h до 120h:

auto a;

for (a = 0x100; a<0x120; a + +)

PatchByte ([0x1000, a], Byte([0x1000, a])^0x75);

⇐ Предыдущая 12

Дата добавления: 2015-10-19; просмотров: 825. Нарушение авторских прав; Мы поможем в написании вашей работы!

Кардиналистский и ординалистский подходы Кардиналистский (количественный подход) к анализу полезности основан на представлении о возможности измерения различных благ в условных единицах полезности...

Обзор компонентов Multisim Компоненты – это основа любой схемы, это все элементы, из которых она состоит. Multisim оперирует с двумя категориями...

Композиция из абстрактных геометрических фигур Данная композиция состоит из линий, штриховки, абстрактных геометрических форм...

Важнейшие способы обработки и анализа рядов динамики Не во всех случаях эмпирические данные рядов динамики позволяют определить тенденцию изменения явления во времени...

ТЕРМОДИНАМИКА БИОЛОГИЧЕСКИХ СИСТЕМ. 1. Особенности термодинамического метода изучения биологических систем. Основные понятия термодинамики. Термодинамикой называется раздел физики...

Травматическая окклюзия и ее клинические признаки При пародонтите и парадонтозе резистентность тканей пародонта падает...

Подкожное введение сывороток по методу Безредки. С целью предупреждения развития анафилактического шока и других аллергических реакций при введении иммунных сывороток используют метод Безредки для определения реакции больного на введение сыворотки...

Классификация ИС по признаку структурированности задач Так как основное назначение ИС – автоматизировать информационные процессы для решения определенных задач, то одна из основных классификаций – это классификация ИС по степени структурированности задач...

Внешняя политика России 1894- 1917 гг. Внешнюю политику Николая II и первый период его царствования определяли, по меньшей мере три важных фактора...

Оценка качества Анализ документации. Имеющийся рецепт, паспорт письменного контроля и номер лекарственной формы соответствуют друг другу. Ингредиенты совместимы, расчеты сделаны верно, паспорт письменного контроля выписан верно. Правильность упаковки и оформления....

Studopedia.info - Студопедия - 2014-2025 год . (0.011 сек.) русская версия | украинская версия