Студопедія
рос | укр

Головна сторінка Випадкова сторінка


КАТЕГОРІЇ:

АвтомобіліБіологіяБудівництвоВідпочинок і туризмГеографіяДім і садЕкологіяЕкономікаЕлектронікаІноземні мовиІнформатикаІншеІсторіяКультураЛітератураМатематикаМедицинаМеталлургіяМеханікаОсвітаОхорона праціПедагогікаПолітикаПравоПсихологіяРелігіяСоціологіяСпортФізикаФілософіяФінансиХімія






A Penultimate, Partial Listing


Дата добавления: 2015-10-19; просмотров: 452



G Прыжок по адресу
C Преобразовать в код
D Преобразовать в данные
A Преобразовать в текст
U Отменить любое преобразование
N Переименовать метку
O Операнд - смещение
* Задать массив
; Задать комментарий к строке
ENTER Прыжок на метку под курсором
ESC Возврат на один шаг назад по прыжкам
CTRL+E Прыжок на точку входа в программу
CTRL+X Показать ссылки на данную строку
CTRL+P Прыжок на метку по имени
CTRL+U Прыжок на начало функции

Одним из самых распространенных способов защиты от дизассемблирования является шифровка участков кода программы. Одним из самых простых методов является статическая шифровка, которая часто встречается в конвертных защитах. Суть в следующем. Создается шифрующая программа, которая перед сборкой загрузочного файла шифрует часть программы. В загрузочных файл добавляется фрагмент, который с фиксированных адресов расшифровывает зашифрованный фрагмент. В результате во время работы программы необходимые действия программой выполняются, но во время изучения дизассемблером мы видим другой код. Такие программы также называют самомодифицирующимися. Для изучения такой программы можно использовать отладчик, но при этом трудно получить листинг программы. Другой выход - использовать дизассемблер IDA, в котором с помощью встроенных скриптов можно расшифровать зашифрованный участок.

crypt.com - статическая шифровка, часто использующаяся в "конвертных защитах".

Далее приведены исходные коды для компонент защиты, все они компилируются в COM программы и для экономии места первые три и последняя строки опущены

Первая программа Lab21.asm является как бы префиксом защищаемой программы, в ее задачи входит расшифровка в памяти защищаемой программы.

start: ;
mov si,offset _end ;в SI смещение метки _end, ее адрес
lodsw ;в AX слово по адресу DS:SI, SI=SI+2
xchg ax,cx ;помещаем в CX значение AX
push si ;сохраняем в стек значение SI
decrypt: ;метка decrypt
xor byte ptr [si],0AAh ;сложение по модулю 2
inc si ;увеличиваем SI на 1
loop decrypt ;цикл с метки decrypt CX раз
jmp si ;прыгаем по адресу SI, в lab23
_end: ;метка _end
filesize dw 0 ;размер шифруемого файла

Программа Lab22.asm – защищаемая программа, вместо нее может быть подставлена любая другая

start:  
mov ah,9  
mov dx,offset text  
int 21h  
ret  
text db Hello',0dh,0ah,'$'  
_end:  

Программа Lab23.asm это заключительная часть защиты, в ее функции входит копирование расшифрованной программы в начало сегмента и передача ей управления

start:  
call _next  
_next:  
pop cx  
pop si  
mov di,offset start  
push di  
sub cx,si  
rep movsb  
ret  

Lab24.asm – это программа, которая выполняет сборку в памяти всех фрагментов, шифрование защищаемой программы и запись всего этого обратно в файл.

start:  
mov ax,3d02h  
mov dx,offset file1  
int 21h  
xchg ax,bx  
mov ah,3Fh  
mov cx,100h  
mov dx,pointer  
int 21h  
add pointer,ax  
mov ax,3d02h  
mov dx,offset filename  
int 21h  
xchg ax,bx  
push bx  
mov ah,3Fh  
mov cx,1000h  
mov dx,pointer  
int 21h  
mov di,pointer  
mov [di-2],ax  
add pointer,ax  
xchg ax,cx  
mov si,dx  
crypt:  
xor byte ptr [si],0AAh  
inc si  
loop crypt  
mov ax,3d02h  
mov dx,offset file2  
int 21h  
xchg ax,bx  
mov ah,3Fh  
mov cx,100h  
mov dx,pointer  
int 21h  
add pointer,ax  
mov ax,4200h  
pop bx  
xor cx,cx  
xor dx,dx  
int 21h  
mov ah,40h  
mov dx,offset buffer  
mov cx,pointer  
sub cx,dx  
int 21h  
ret  
filename db 'lab22.com',0  
file1 db 'lab21.com',0  
file2 db 'lab23.com',0  
pointer dw offset buffer  
buffer:  

После компиляции данных программ четвертая производит операции по сборке непосредственно самой защиты.

Расшифровывается 3-мя строками в IDA: используется 2 функции (одна чтение, другая записи).

1. A = Byte ([0x1000],[0x100]) – в ‘A’ записывается байт из сегмента 1000 и смещения 100h.

2. PatchByte ([0x1000, 0x100], 0x27) - запись в байт по адресу 1000: 100h значение 27h

Cкрипт расшифровывающий ключом 75h со смещения 100h до 120h:

auto a;

for (a = 0x100; a<0x120; a + +)

PatchByte ([0x1000, a], Byte([0x1000, a])^0x75);


<== предыдущая лекция | следующая лекция ==>
Glossar | Reference Works
<== 1 ==> | 2 | 3 | 4 | 5 |
Studopedia.info - Студопедия - 2014-2024 год . (0.19 сек.) російська версія | українська версія

Генерация страницы за: 0.19 сек.
Поможем в написании
> Курсовые, контрольные, дипломные и другие работы со скидкой до 25%
3 569 лучших специалисов, готовы оказать помощь 24/7