PE文件加壳技术研究与实现

为了维护软件开发者的利益,在软件发布前利用软件保护技术对其进行加密处理已经成为软件开发环节中必不可少的一部分。利用加壳程序对软件加壳就是一种有效的保护软件的方法。常用的加壳程序都会有对应的脱壳程序,不能完全满足软件保护的需求。文章通过分析PE文件结构,研究PE文件的加载机制,设计和实现了一种PE文件加壳程序,实验结果表明其可以有效的实现加壳保护功能。     

PE文件中脱壳技术的研究

对PE(Portable Executable)文件进行加壳是保护软件的有效手段,但恶意程序也会通过加壳来保护自己.作为一名病毒分析师或软件安全分析员,只有先将其脱壳,才能进行彻底的分析.以Windows记事本程序为实例,首先分析了PE文件结构及其加壳原理,其次阐述了脱壳的一般步骤,然后从压缩壳和加密壳的角度,重点探讨了脱壳技术的原理和方法.最后对伪装壳和多重壳及程序自校验进行了探讨和分析.     

浅析PE文件脱壳技术

如今随着大家对知识产权保护的重视,使得对于自己程序的加壳保护也变得越来越普遍。除此之外,这一技术也被广泛用于病毒和木马之中,使其不易被杀毒软件查杀。其中,PE文件的加壳尤为常见,若想对其进一步的研究,脱壳是必不可少的。本文首先介绍了PE文件结构和现阶段的加壳技术,其次阐述了脱壳原理和常见方法。     

程序自动脱壳数据采集技术研究

自动提取加壳程序隐藏的代码和数据是目前恶意代码检测技术面临的重要问题。分析了加壳程序运行的本质特征,给出了存储器监控算法和动态基本块标记算法,描述了基于QEMU仿真器的程序自动脱壳数据采集系统的设计思路。实验结果表明,该系统可以有效地提取被加壳程序的代码和数据,完整地记录程序脱壳的执行行为。     

恶意代码自动脱壳技术研究

恶意程序普遍使用一些高级的软件保护技术躲避检测工具等的查杀,而复杂的程序加壳技术就是其中的典型代表,必须对其进行脱壳操作才能进行彻底的分析。文章以对壳程序特征的分析为基础,提取样本程序的外壳特征,自动提取加壳程序隐藏的代码和数据,并提出了基于动态分析平台的自动脱壳系统的设计方案。实验结果表明,该系统可以有效处理常见的外壳程序类型,一方面提高了脱壳技术的自动化程度,另一方面大大增强了脱壳技术的通用性。     

基于带权欧拉距离的PE文件壳检测技术

越来越多的恶意软件出现在网络上。恶意软件作者通过网络将软件中的恶意代码植入用户的电脑中,从而达到诸如获得用户名与密码的非法目的。为了阻止它们对用户电脑的侵害,软件分析人员必须分析恶意软件的工作原理。但是,如果这些恶意软件加壳,那么分析它们就会变得非常困难,因此必须对他们进行脱壳。脱壳的第一步即检测这些恶意软件是否加壳。本文通过对未加壳和已经加壳的软件PE头部进行分析与比较,提出了带权欧拉距离PE文件壳检测(PDWED)算法,其中包括构造一个含有10个元素的向量,并为每个向量中每个元素分配一个权重值,计算向量的带权欧拉距离。实验结果表明,PDWED能够比较快速而又准确地检测软件是否加壳。     

基于环境敏感分析的恶意代码脱壳方法

加壳技术是软件的常用保护手段,但也常被恶意代码用于躲避杀毒软件的检测.通用脱壳工具根据加壳恶意代码运行时的行为特征或统计特征进行脱壳,需要建立监控环境,因此易受环境敏感技术的干扰.文中提出了一种基于环境敏感分析的恶意代码脱壳方法,利用动静结合的分析技术检测并清除恶意代码的环境敏感性.首先,利用中间语言对恶意代码的执行轨迹进行形式化表示;然后,分析执行轨迹中环境敏感数据的来源和传播过程,提取脱壳行为的环境约束;最后,求解环境约束条件,根据求解结果对恶意代码进行二进制代码插装,清除其环境敏感性.基于此方法,作者实现了一个通用的恶意代码脱壳工具:MalUnpack,并对321个最新的恶意代码样本进行了对比实验.实验结果表明MalUnpack能有效对抗恶意代码的环境敏感技术,其脱壳率达到了89.1%,显著高于现有基于动态监控的通用脱壳工具的35.5%和基于特征的定向脱壳工具的28.0%.     

ART虚拟机中的DEX文件脱壳技术

在对现有的DEX加固技术和脱壳技术进行系统学习和研究的基础上,提出和实现了一种基于Android ART虚拟机（VM）的DEX脱壳方案。该方案能够从加固的Android应用中还原出原始DEX文件,其核心思想是将静态插桩和模拟运行技术相结合,以通用的方式实现零知识有效脱壳。首先,在ART虚拟机的解释器里插入监测代码来定位脱壳点;然后,在内存中进行模拟运行,解析相应的结构体指针,得到原始DEX文件数据在内存中的位置;最后,收集这些数据,并按照DEX文件的格式对这些数据进行重组,恢复出应用程序的原始DEX文件,实现脱壳。实验结果表明,所提出的基于ART虚拟机的DEX自动化脱壳方案在引入较小启动延迟的情况下,能够很好地实现对加壳的DEX文件的零知识脱壳。     

基于代码与壳互动技术的软件保护方法研究

本文首先介绍了加壳软件产生的背景，然后分析总结了目前应用最广泛的加壳技术以及针对它们的攻击方法，最后提出一种基于代码段动态加解密的与壳互动技术，并给出了相关的原理介绍和主要的实现过程。     

基于数据挖掘技术的加壳PE程序识别方法

恶意代码大量快速的繁衍使得恶意代码自动化检测成为必然趋势,加壳程序识别是恶意代码分析的一个必要步骤。为识别加壳可执行程序,提出一种基于数据挖掘技术的自动化加壳程序识别方法,该方法提取和选取可移植可执行(PE)特征,使用分类算法检测PE文件是否加壳。测试结果表明,在使用J48分类器时加壳文件识别率为98.7%。     

基于智能型加密锁的高强度软件加密模型

研究一种基于智能型加密锁的软件加密模型,该模型分为PC模块、加密锁模块和通信交互与加密处理模块。通过以下两点保证软件的安全性:第一,将软件核心算法的关键程序段运行于加密锁内部CPU、核心参数存入加密锁内部存储器并进行通信加密来实现软件程序的硬件化;第二,使用加密锁制造技术实现硬件不可复制性。基于对目前加密锁的运算、通信及加解密性能测试提出一种将核心算法分布到PC和加密锁的分配原则及方法,确保软件的性能不受影响,保证了该模型的实用性。实际应用证明,在保证安全性的同时,该模型可方便地进行软件推广和应用,对一般软件加密普遍适用。     

使用注册表和网卡实现软件保护

介绍了如何使用注册表实现应用程序访问次数的控制，如何获取VAC地址实现软件防拷贝的方法以及简单加密算法。     

软件版权保护技术的研究与分析

对软件版权保护的相关知识进行了分析和总结,重点分析了软件版权保护技术的原理和实现手段.在基于光盘、硬件、软件进行的软件版权保护技术基础上,重点分析了基于软件实现的版权保护技术.     

基于电子邮件系统和MD5算法的软件授权控制技术研究与实现

本文在分析目前已有的软件保护技术不足的基础上，阐述了一种基于网络、E—mail系统和MD5加密算法的软件保护技术。利用网络和E—mail系统的分布性、灵活性，实现对软件授权的动态控制，以达到有效地保护软件知识产权的目的。     

开源加密软件TrueCrypt研究

文章首先介绍了开源加密TrueCrypt软件,然后分析了其功能和原理,最后针对TrueCrypt中存在的安全问题提出具体改进方案。通过在TrueCrypt中添加U盘准入控制模块,将分离出来的重要数据保存在可准入的U盘中,从而很好的解决了TrueCrypt的一个安全隐患。     

软件保护的分析与思考

该文在分析了以往的软件加密方法和对比研究之后,得出将软硬件结合进行软件保护的方案,于是提出了基于硬盘序列号进行软件加密保护的研究。将软硬件加密技术结合使用,硬件方面通过对比分析得出要使用硬盘序列号进行加密依据,基于计算机硬盘序列号具有唯一性特点,可以更好的实现一码一机制,并且在软件加密技术上进一步改进,使用对称加密算法与非对称加密算法结合,让软件的保护强度进一步提高。     

基于混沌保密的USB软件加密狗及其反解密研究

提出了一种运用整数运算代替浮点运算的数字混沌保密改进算法,并将该方法用于USB软件加密狗的设计。该文分析了基于混沌技术的USB软件加密狗工作原理和工作过程,着重说明了PC主机与加密狗之间交换数据的详细过程。最后,通过对几种常见的破解方法的分析,表明了该加密狗较强的反解密性能。     

基于RSA等算法软件加密技术的研究与实现

本文对数据加密算法DES和RSA进行了详细的分析，并利用数据加密DES和RSA算法结合机器硬件指纹、钥匙盘等技术对软件进行混合加密并进行了实现，为各种商品软件加密提供了一种安全、简便、实用、廉价的加密方法，并能有效的防止软件被盗版。     

基于使用模型的软件测试路径选择及其性能分析

基于有向图理论对程序正文进行解析，同时对软件的使用模型做了初步的探讨，分析了具有Markov随机性质的软件使用过程和软件测试中的测试路径的选择策略，并对测试结果做出评价，给出软件的可靠性。     

MD5算法在电话语音系统软件保护中的应用

本文首先对软件保护技术进行了简要的概述，在剖析MD5算法工作原理的基础上，提出了基于MD5加密算法的软件硬加密保护方案。该方案根据机器的CPU序列号和语音卡号使用MD5加密算法自动生成软件序列号，并对MD5加密算法的输入输出数据进行变化处理。结果显示，该方法实现了“一机一码”，并已应用于某“电话语音系统”中。