李 娜

(錦州師范高等?？茖W(xué)校，遼寧錦州121000)

一個應(yīng)用軟件往往由若干個程序段組成，而每個程序段又可由若干子程序組成．程序中各種運算、判斷、分支轉(zhuǎn)移和循環(huán)過程很多，在眾多的指令群中，巧妙利用計算機(jī)系統(tǒng)的一些特殊中斷并隱蔽地調(diào)出，就會制造跟蹤障礙，達(dá)到防止跟蹤的目的[1]．這種反跟蹤方法更隱蔽、更巧妙．如果想要了解程序中到底由哪些特殊中段實現(xiàn)反跟蹤的，就必須逐條跟蹤程序的運行，這就要花費大量時間和精力．因為在跟蹤的過程中，還要克服大量的抵制單步運行的反跟蹤措施，一般會使跟蹤者喪失信心——計算機(jī)零類中斷就是運用這一原理而產(chǎn)生的[2]．

1 零類中斷原理

計算機(jī)系統(tǒng)都設(shè)有一個零類中斷，即“被零除”產(chǎn)生的中斷，其中斷功能是自動完成的．無論在程序哪個位置，只要是除法指令且除數(shù)為零，都產(chǎn)生“被零除”的錯誤，并由INT 00H中斷處理程序?qū)Υ诉M(jìn)行處理[3、4]．因此，如果將某個加密程序段作為INT 00H 中斷的新的中斷處理程序，并預(yù)先留駐內(nèi)存，要執(zhí)行這段程序時，只需造成一個被零除的錯誤就可以了，而無需明顯地使用中斷指令或子程序調(diào)用去實現(xiàn)．在跟蹤情況下運行程序時，如果沒有逐條跟蹤到人為設(shè)置好的除法指令，或設(shè)斷點跟蹤時沒有將斷點設(shè)置到指令處，就不能發(fā)現(xiàn)一個程序段在悄悄地進(jìn)行調(diào)用執(zhí)行．設(shè)計較好的反跟蹤程序，還可以使跟蹤行為得不到除數(shù)為零的結(jié)果，自然也就無法去跟蹤中斷程序段了．跟蹤者如果不了解秘密執(zhí)行的程序段的運行情況，就會使跟蹤失?。械母櫿咦砸詾閷Τ绦蜻M(jìn)行了完整的跟蹤，而沒有發(fā)覺已經(jīng)失去了對一段程序的了解．

2 程序?qū)崿F(xiàn)

此種方法的程序B1.ASM如下：

title B1. ASM

data segment

char db’program OK!’,0dh,0ah,24h

disp db’Run INT 00H!’ 0dh,0ah,24h

oldint dw 0,0

data ends

stack segment para stack

dw 20 dup (?)

stack ends

code segment

assume cs:code,ds:data,ss:stack

begin:mov ax,data

mov ds,ax

mov es,ax

……

push ds

push es

cli

xor ax,ax

move es,ax

mov ax,es:[0000h]

mov oldint,ax

mov ax,es：[0002h]

mov oldint +2,ax

mov ax,seg int00

mov ds,ax

mov dx,offset int00

mov ax，2500h

int 21h

sti

pop es

pop ds

……

push es

mov ax,0000h

mov es,ax

mov ax,es[0004h]

mov bx,es[000ch]

xor bx,ax,

div bx

pop es

……

Push es

cli

mov ax,0000h

mov es,ax

mov ax,oldint

mov es：[0000h],ax

mov ax,oldint +2

mov es：[00002h],ax

sti

pop es

mov dx,offset char

mov ah,09h

int 21h

jmp eeee

；……

int00 proc near

push dx

push ax

push ds

cli

mov ax,0000h

mov es,ax

mov byte ptr es:[0004h],0cfh

mov byte ptr es:[000ch],0cfh

mov dx,seg disp

mov ds,dx

mov dx,offset disp

mov ah,09h

int 21h

sti

pop ds

pop dx

pop ax

pop ax

add,ax,1

push ax

iret

int00 endp

； ……

eeee: mov ah,4ch

int 21h

code ends

ends begin

程序中,開始設(shè)置了新的零類中斷向量,也就是將INT 00H指向程序中的一個子程序．在程序執(zhí)行的過程中，檢測INT 01H和INT 03H的中斷向量內(nèi)容，并將INT 01H中斷向量與INT 03H中斷向量進(jìn)行“異或”處理．這樣做的目的是:當(dāng)程序正常執(zhí)行時，INT 01H和INT 03H 中斷向量的值是一致的．通過兩個數(shù)“異或”處理后得到一個零值，然后由除法指令DIV產(chǎn)生一個零類中斷，即INT 00H中斷．當(dāng)程序被調(diào)試軟件跟蹤運行時，由于INT 00H和INT 03H的中斷向量不一致，經(jīng)過“異或”運算得到的結(jié)果不可能出現(xiàn)零值，這樣也就產(chǎn)生不了零類中斷，從而也就進(jìn)入不了特定子程序，使跟蹤失敗．程序在正常運行時會顯示“Run INT 00H!”和“Program Ok!”,而在被調(diào)試跟蹤情況下運行就只顯示“Program Ok!”．很明顯，程序沒有執(zhí)行特定的子程序段，用戶可以在特定的子程序中斷安排關(guān)鍵數(shù)據(jù)及指令等內(nèi)容，以防破譯．

3 結(jié)語

為了便于理解，本文所給出的程序比較簡單，而真正的反跟蹤手段要復(fù)雜得多．例如，可以動態(tài)解碼過程得到一系列數(shù)據(jù)，由這些數(shù)再循環(huán)運算產(chǎn)生被零除的結(jié)果，進(jìn)而產(chǎn)生INT 00H中斷．程序反跟蹤技術(shù)作為磁盤加密的一個重要手段，研究其具有實際意義，因此還需在實踐中不斷摸索．