一步一步教你加密解密技术——软件保护技术（1）

　　第6章 软件保护技术

　　第一节 常见保护技巧

　　1、序列号方式

　　（1）序列号保护机制

　　数学算法一项都是密码加密的核心，但在一般的软件加密中，它似乎并不太为人们关心，因为大多数时候软件加密本身实现的都是一种编程的技巧。但近几年来随着序列号加密程序的普及，数学算法在软件加密中的比重似乎是越来越大了。

　　我们先来看看在网络上大行其道的序列号加密的工作原理。当用户从网络上下载某个shareware——共享软件后，一般都有使用时间上的限制，当过了共享软件的试用期后，你必须到这个软件的公司去注册后方能继续使用。注册过程一般是用户把自己的私人信息（一般主要指名字）连同信用卡号码告诉给软件公司，软件公司会根据用户的信息计算出一个序列码，在用户得到这个序列码后，按照注册需要的步骤在软件中输入注册信息和注册码，其注册信息的合法性由软件验证通过后，软件就会取消掉本身的各种限制，这种加密实现起来比较简单，不需要额外的成本，用户购买也非常方便，在互联网上的软件80%都是以这种方式来保护的。

　　我们注意到软件验证序列号的合法性过程，其实就是验证用户名和序列号之间的换算关系是否正确的过程。其验证最基本的有两种，一种是按用户输入的姓名来生成注册码，再同用户输入的注册码比较，公式表示如下：

　　序列号 = F（用户名）

　　但这种方法等于在用户软件中再现了软件公司生成注册码的过程，实际上是非常不安全的，不论其换算过程多么复杂，解密者只需把你的换算过程从程序中提取出来就可以编制一个通用的注册程序。

　　另外一种是通过注册码来验证用户名的正确性，公式表示如下：

　　用户名称 = F逆（序列号） （如ACDSEE,小楼注）

　　这其实是软件公司注册码计算过程的反算法，如果正向算法与反向算法不是对称算法的话，对于解密者来说，的确有些困难，但这种算法相当不好设计。

　　于是有人考虑到一下的算法：

　　F1（用户名称） = F2（序列号）

　　F1、F2是两种完全不同的的算法，但用户名通过F1算法的计算出的特征字等于序列号通过F2算法计算出的特征字，这种算法在设计上比较简单，保密性相对以上两种算法也要好的多。如果能够把F1、F2算法设计成不可逆算法的话，保密性相当的好；可一旦解密者找到其中之一的反算法的话，这种算法就不安全了。一元算法的设计看来再如何努力也很难有太大的突破，那么二元呢？

　　特定值 = F（用户名，序列号）

　　这个算法看上去相当不错，用户名称与序列号之间的关系不再那么清晰了，但同时也失去了用户名于序列号的一一对应关系，软件开发者必须自己维护用户名称与序列号之间的唯一性，但这似乎不是难以办到的事，建个数据库就好了。当然你也可以根据这一思路把用户名称和序列号分为几个部分来构造多元的算法。

　　特定值 = F（用户名1，用户名2，...序列号1，序列号2...）

　　现有的序列号加密算法大多是软件开发者自行设计的，大部分相当简单。而且有些算法作者虽然下了很大的功夫，效果却往往得不到它所希望的结果。其实现在有很多现成的加密算法可以用，如RSADES,MD4,MD5,只不过这些算法是为了加密密文或密码用的，于序列号加密多少有些不同。我在这里试举一例，希望有抛砖引玉的作用：

　　1、在软件程序中有一段加密过的密文S

　　2、密钥 = F（用户名、序列号） 用上面的二元算法得到密钥

　　3、明文D = F-DES（密文S、密钥） 用得到的密钥来解密密文得到明文D

　　4、CRC = F-CRC（明文D） 对得到的明文应用各种CRC统计

　　5、检查CRC是否正确。最好多设计几种CRC算法，检查多个CRC结果是否都正确

　　用这种方法，在没有一个已知正确的序列号情况下是永远推算不出正确的序列号的。

　　（2）如何攻击序列号保护

　　要找到序列号，或者修改掉判断序列号之后的跳转指令，最重要的是要利用各种工具定位判断序列号的代码段。这些常用的API包括GetDlgItemInt, GetDlgItemTextA, GetTabbedTextExtentA, GetWindowTextA, Hmemcpy (仅仅Windows 9x), lstrcmp, lstrlen, memcpy (限于NT/2000)。

　　1）数据约束性的秘诀

　　这个概念是+ORC提出的，只限于用明文比较注册码的那种保护方式。在大多数序列号保护的程序中，那个真正的、正确的注册码或密码（Password）会于某个时刻出现在内存中，当然它出现的位置是不定的，但多数情况下它会在一个范围之内，即存放用户输入序列号的内存地址±0X90字节的地方。这是由于加密者所用工具内部的一个Windows数据传输的约束条件决定的。

　　2）Hmemcpy函数（俗称万能断点）

　　函数Hmemcpy是Windows9x系统的内部函数，位于KERNEL32.DLL中，它的作用是将内存中的一块数据拷贝到另一个地方。由于Windows9x系统频繁使用该函数处理各种字串，因此用它作为断点很实用，它是Windows9x平台最常用的断点。在Windows NT/2K中没有这个断点，因为其内核和Windows9x完全不同。

　　3）S命令

　　由于S命令忽略不在内存中的页面，因此你可以使用32位平面地址数据段描述符30h在整个4GB（0~FFFFFFFFh ）空间查找，一般用在Windows9x下面。具体步骤为：先输入姓名或假的序列号（如： 78787878），按Ctrl+D切换到SoftICE下，下搜索命令：

　　s 30：0 L ffffffff '78787878'

　　会搜索出地址：ss：ssssssss（这些地址可能不止一个），然后用bpm断点监视搜索到的假注册码，跟踪一下程序如何处理输入的序列号，就有可能找到正确的序列号。

　　4）利用消息断点

　　在处理字串方面可以利用消息断点WM_GETTEXT和WM_COMMAND。前者用来读取某个控件中的文本，比如拷贝编辑窗口中的序列号到程序提供的一个缓冲区里；后者则是用来通知某个控件的父窗口的，比如当输入序列号之后点击OK按钮，则该按钮的父窗口将收到一个WM_COMMAND消息，以表明该按钮被点击。

　　BMSG xxxx WM_GETTEXT （拦截序列号）

　　BMSG xxxx WM_COMMAND (拦截OK按钮)

　　可以用SoftICE提供的HWND命令获得窗口句柄的信息，也可以利用Visual Studio中的Spy++实用工具得到相应窗口的句柄值，然后用BMSG设断点拦截。例：

　　BMSG 0129 WM_COMMAND

　　2、警告（NAG）窗口

　　Nag的本义是烦人的意思。Nag窗口是软件设计者用来不时提醒用户购买正式版本的窗口。软件设计者可能认为当用户受不了试用版中的这些烦人的窗口时就会考虑购买正式版本。它可能会在程序启动或退出时弹出来，或者在软件运行的某个时刻随机或定时地弹出来，确实比较烦人。

　　去除警告窗口常用的三种方法是：修改程序的资源、静态分析，动态分析。

　　去除警告窗口用资源修改工具是个不错的方法，可以将可执行文件中的警告窗口的属性改成透明、不可见，这样就变相去除了警告窗口。

　　如果是动态跟踪调试，只需找到创建此窗口的代码，跳过即可。常用的显示窗口的函数有MessageBoxA、MessageBoxExA、MessageBeep 、DialogBoxParamA 、ShowWindow、CreateWindowExA等。然而某些警告窗口用这些断点不管用，就可试试利用消息设断点，一般都应能拦截下来。

　　例：利用消息断点拦截警告窗口：

　　切换到SOFTICE下命令： HWND

　　应看到如下的类似信息：

　　在这些列表中查找相关应用程序的窗口句柄。如果NAG窗口上有OK按钮，在class name查找“button”。如果NAG窗口上什么都没有，那可试验找出正确的句柄。句柄列表可能非常长，但通常NAG窗口的句柄一般在列表的前面。

　　注：在这里推荐用SMU Winspector工具协助破解NAG.它能显示你所需要的信息：Window-Handle, Window-Class Name, Window-Text, Parent Window-Handle, Parent-Window Class Name, Parent Window-Text, Module ...

　　一但找到NAG窗口的句柄，应用BMSG命令在Windows的消息上下断点。现在假设NAG窗口有OK按钮，你己找到正确的句柄（handle），这时下命令：BMSG 0084 WM_DESTROY0084是NAG窗口的句柄（handle）。这条命令是NAG窗口从屏幕上消失时，SoftICE将中断。此时将深入到一些不认识的API函数，可按F12返回程序。需要指出，跟踪的目的是发现NAG窗口在何处初始化（在返回的CALL用设断）。NAG窗口大多用Created/Destroyed类似的CALL，因此如发现这些，就可按需要跟踪下去。

　　3、时间限制

　　（1） 定时器

　　有些程序的试用版每次运行都有时间限制，例如运行10分钟或20分钟就停止工作，必须重新运行该程序才能正常工作。这些程序里面自然有个定时器来统计程序运行的时间。

　　1）使用Settimer（）

　　常用的计数器是函数Settimer（），调用这个函数创建的定时器可以发出消息VM_TIMER，或者在定时期满时调用一个回调函数。 使用这个函数会使时间延时，精度不高。

　　2）使用timeSetEvent()

　　给Windows驱动程序最精确的周期性通知是由Windows的多媒体服务timeSetEvent()提供的。它的时间可以精确到1毫秒。

　　3）使用VXD

　　可以使用VMM的Set_Global_time_Out()服务来迫使回调函数的几个毫秒再执行，这就创造了一个“只有一次”的定时器。VXD可以在回调中再次调用Set_Global_time_Out()来开始下一个定时器，这样提供了一个连续运行的定时器了。

　　4）其它

　　GetTickCount()：精度不高；

　　timeGetTime()： 可以以毫秒级返回windows开始后的时间。

　　（2）时间限制

　　一般这类保护的软件都有时间上的限制，如试用30天等，当过了共享软件的试用期后，就不予运行，只有向软件作者付费注册之后才能得到一个无时间限制的注册版本。

　　这种类型程序很多，让你有10天、20天、30天等，它们在安装时，在你的系统某处做上时间标记，每次运行时用当前系统时间和安装时的时间比较，判断你还否能使用。

　　如最典型的30天限制的一种情况：

　　mov ecx,1E ;把1E (30天 十进制) 放入 ecx

　　mov eax,[esp+10] ;把用过天数放到eax

　　cmp eax,ecx ;在此比较

　　jl ...

　　如碰到这种情况，只需把"mov eax,[esp+10]"改成"mov eax,1" 。

　　要记住当前年份、月份的十六进制的一些表示方法，如：2000年的十六进制是07D0，然后用W32DASM反汇编你的程序，用查找字符串的方法找D007（在机器码中位置颠倒了一下）或其它类似时间的数字，有可能会找到有价值的线索。你别小看这种方法，对那些没怎么防范的程序，此招很有效。

　　如：一程序限定在2000年使用，可能有如下一代码：

　　:00037805 817C2404D0070000 cmp dword ptr [esp+04], 000007D0 比较是否在2000年。

　　（3）与时间相关函数

　　1、GetSystemTime 得当前系统时间

　　说明：

　　在一个SYSTEMTIME中载入当前系统时间，这个时间采用的是“协同世界时间”（即UTC，也叫做GMT）格式。

　　VOID GetSystemTime(

　　LPSYSTEMTIME lpSystemTime // SYSTEMTIME，随同当前时间载入的结构

　　);

　　2、GetLocalTime 得当前本地时间

　　VOID GetLocalTime(

　　LPSYSTEMTIME lpSystemTime // SYSTEMTIME，用于装载本地时间的结构

　　);

　　3、SystemTimeToFileTime 根据一个FILETIME结构的内容，载入一个SYSTEMTIME结构

　　BOOL SystemTimeToFileTime(

　　CONST SYSTEMTIME * lpst, // SYSTEMTIME，包含了系统时间信息的一个结构

　　LPFILETIME lpft //FILETIME，用于装载文件时间的一个结构

　　);

　　返回值 ：非零表示成功，零表示失败。

　　4、SetTimer 创建一定时器，在指定时间内暂停

　　UINT SetTimer(

　　HWND hwnd, // 时间信息句柄

　　UINT idtimer, // 定时器ID 标识符

　　UINT uTimeout, // 暂停时间

　　TIMERPROC tmprc // 处理定时过程的程序入口地址

　　);