唐劍飛++任彩霞

摘 要：隨著計算機(jī)的普及，軟件產(chǎn)品的層出不窮，逆向與反逆向技術(shù)的對抗就從未停止過，反匯編出的代碼雖然生澀難懂但是還具有程序的邏輯性，但是經(jīng)過了二次加密之后再次展現(xiàn)的代碼毫無邏輯性可言，而且結(jié)構(gòu)混亂，有些反調(diào)試機(jī)制加大了逆向工程師的調(diào)試難度，本文立足于一段編譯好的具有二次加密的程序，通過OllDbg工具進(jìn)行分析，最后總結(jié)自解密程序的破解流程和編寫思路。

關(guān)鍵詞：信息安全 加密解密 逆向工程 反調(diào)試

中圖分類號：TP393.09 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2017）11（b）-0058-02

逆向分析技術(shù)是信息安全的重要組成部分，在惡意代碼分析，軟件破解方面起到至關(guān)重要的作用，在對軟件進(jìn)行逆向破解的過程中，程序的編寫者會采用一些技術(shù)手段對程序的源代碼進(jìn)行二次處理，從而對軟件逆向工作增加了不小的難度，對于反匯編代碼的定位更是無從下手，程序自解密手段的使用更使得逆向的難度提高。如今我們從自解密程序的特點(diǎn)出發(fā)，介紹幾種常見的針對自解密程序的破解方法。

本文從一個自解密的一個小程序出發(fā)，簡要的介紹一下基于OllyDbg的自解密破解方法的運(yùn)用。

1 自解密程序特點(diǎn)

通常逆向過程中，我們會發(fā)現(xiàn)某一塊代碼區(qū)域內(nèi)出現(xiàn)亂碼情況，一般情況下程序走到這里基本上是終止，或者跳轉(zhuǎn)到某個dll中繼續(xù)執(zhí)行，然后代碼就意外終止。一般解密程序和亂碼是放在一起的，這一點(diǎn)是無法避免的因為作為程序的編寫者，為了考慮到程序的正常運(yùn)行，需要程序在執(zhí)行到亂碼區(qū)域，很快就能夠找到解碼方式，然后轉(zhuǎn)變成正常的代碼繼續(xù)執(zhí)行。所以，在繞過相關(guān)的反調(diào)試技術(shù)之后，下一步就可能會為我們提供解密算法的位置。

2 需要自解密代碼的出現(xiàn)位置

為了方便讀者直觀的閱讀，我們可以使用交互式反匯編器專業(yè)版（Interactive Disassembler Professional），人們常稱其為IDA Pro，下文簡稱IDA打開我們的目標(biāo)程序。

如圖1所示，在.text的區(qū)域中，可以注意到起始的地址401160，結(jié)束的地址是4011E0的區(qū)域中無法正常反編譯成正常的的機(jī)器語言，顯示的以一堆亂碼的情況。

如圖2所示，我們又在OllyDbg工具中，下文簡稱OD打開目標(biāo)程序。

在OD中我們通過繞過相關(guān)檢測API，形如（IsDebugPresent）的函數(shù)和花指令后，尋找到看到程序中的這樣一行，在圖片中可以看到指令（cmp edx，38bf1686.004011E0），也就是前面用IDA打開的結(jié)束地址：4011E0。

原理分析：在這里我們看到先是把地址為00401160位置裝載進(jìn)入edx，然后開始進(jìn)行對每個地址單元進(jìn)行0x88的異或運(yùn)算，為止條件為地址碼為4011E0，正好是我們在IDA中看到的開始到結(jié)束的那一段亂碼。

3 方法一：INT3斷點(diǎn)法

3.1 方法介紹

在圖3中，我們針對目標(biāo)程序自解密的核心代碼部分設(shè)置INT3斷點(diǎn)，在圖3所示處按下F2，這樣我們就打下一個軟件斷點(diǎn)。

進(jìn)行軟件斷點(diǎn)的設(shè)置之后，可以一直按F8，你會經(jīng)過這個jnz，然后直到在OD寄存器展示欄中遇到下圖所示的情況，圖4中顯示edx=004011E0。

然后按F8動態(tài)的跟蹤程序，如圖5所示。

F2下斷點(diǎn)，就行了，然后F7跟進(jìn)去。

圖6所展示的就是自解密程序段的解碼后的結(jié)果，通過在Windows PE頭中中存儲的解密代碼，通過軟件斷點(diǎn)的方式，在OD中循環(huán)調(diào)用，最終把起始的地址為401160到結(jié)束的地址為4011E0的部分恢復(fù)成程序未加密之前的初始情況。

3.2 原理分析

INT3斷點(diǎn)的執(zhí)行流程，如圖7所示。

軟件斷點(diǎn)是通過監(jiān)測特定的指令來觸發(fā)斷點(diǎn)的。在某個地址設(shè)置軟件斷點(diǎn)的時候，仿真器會將這個地址的數(shù)據(jù)/指令替換成一個特殊格式的指令。斷點(diǎn)單元通過監(jiān)測這個特殊格式的指令來觸發(fā)斷點(diǎn)。

調(diào)試器在我們下斷點(diǎn)的位置，寫入xCC，然后把下斷點(diǎn)的之前的值保存在斷點(diǎn)列表之中。

因為我們當(dāng)時存進(jìn)去的位置是亂碼的位置，所以O(shè)D會出現(xiàn)斷點(diǎn)損壞的提示，如圖8所示。

在之前如果不打斷點(diǎn)，我們就直接越過了，而直接越過原因就是程序訪問了沒有邏輯的區(qū)域，程序沒有完成自解密的過程，從而跳轉(zhuǎn)到了未知區(qū)域，斷點(diǎn)的目的就告訴程序回到所存儲斷點(diǎn)的位置，讓程序不會跑偏。

4 方法二：文件寫入法

先把程序文件用二進(jìn)制格式打開，把00401160到004011E0之間這塊位置的內(nèi)容從IDA中提取出來，然后直接用python寫腳本一個個異或0x88就可以了，這種方式是通過分析程序流程得到。不過這種方法只能針對于是片區(qū)的大塊數(shù)據(jù)域運(yùn)算，還要保證程序的正確性。由于操作較為復(fù)雜，這里不再贅述。

5 結(jié)語

通過對自解密程序的研究，我們了解到找到關(guān)鍵的加密算法就變得尤為關(guān)鍵，自解密程序中也不是所有的代碼都進(jìn)行了加密，在已經(jīng)找到的關(guān)鍵解密代碼的部分我們可以采用INT3 斷點(diǎn)調(diào)試法，和文件手動寫入的方法，進(jìn)行原始代碼的恢復(fù)工作，尤其是在相關(guān)PE結(jié)構(gòu)的空白區(qū)域，可能就提供了相關(guān)解密算法的內(nèi)容。

參考文獻(xiàn)

[1] 吉勝軍.基于OllyDbg的軟件漏洞技術(shù)分析[J].科技資訊，2010（17）：19.

[2] 趙北庚.軟件逆向分析過程中基于OllyDbg的三種匯編代碼定位方法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（2）：50，52.

[3] ]趙北庚.基于OllyDbg的函數(shù)棧幀逆向分析研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（1）：24，26.endprint