데이터를 코드로 실행 하시겠습니까?

Question

고객이 라이선스 시스템에 쉽게 금이 가지 않도록 암호화 된 실행 파일을 작성하도록 요청했습니다. 자, 저는 이것이 잘못된 안보 감이라는 것을 이해합니다. 그러나 이것에도 불구하고 그는 그것을 고집했습니다.

그래서, 휴대용 실행 파일의 내 지식을 발굴하고이 아이디어를 내놓았다 : 그것의 크기

와 함께 로더 실행 파일의 마지막에

• 암호화 실행
• 스틱이 로더가 데이터를 암호 해독합니다.
• 실행 권한이있는 VirtualAlloc이 할당 된 페이지에 코드를 복사합니다.
• 응용 프로그램의 진입 점을 찾습니다.
• 거기로 이동하면 모두 설정됩니다.

점핑 부분에 문제가 있습니다. 어떻게해야합니까? 함수 포인터를 설정했다면 서명은 무엇입니까? 로드 된 실행 파일의 main() 함수의 서명은 무엇입니까? 아니면 조립에 의지해야합니까?

코드를로드 한 후 절대 주소를 수정해야 할 수도 있음을 알고 있습니다. 필요한 경우 어떻게 확인합니까? 실제로이 작업을 수행하는 방법은 무엇입니까?

편집 : Windows에서 작업하고 GCC로 컴파일. 필요한 경우 Microsoft 컴파일러를 전환 할 수 있습니다.

편집 2 : 명확히하기 : 나는 거의 무의미하다는 것을 알고 있습니다. 나는 어떤 DRM의 약자를 의미합니다 믿습니다. 결정할 내 의뢰인의 몫이고, 그는 나에게도이 사실에 대해 경고하고 있음에도 불구하고 여전히 그것을 원합니다.

미리 감사드립니다.

Answer 1

다른 사람들도 언급했듯이 EXE를 데이터 섹션에로드하고 런타임에 링크하는 것은 어려운 작업입니다. 그러나 여기에 또 다른 옵션이 있습니다.

입력 사항을 가져옵니다. 코드 및 초기화 된 데이터 (상수 포함) 섹션을 찾습니다. 이 섹션의 이름을 변경하고 모두를 읽기/쓰기 초기화 된 데이터 섹션으로 변환하십시오. 내용을 암호화하십시오. 이제 암호 해독 스텁이 포함 된 새 코드 세그먼트를 추가하고 거기에 진입 점을 변경하십시오. 이 스텁은 세그먼트를 적절한 위치에서 해독 한 다음 보호 유형을 해당 유형에 적합한 것으로 변경하고 원래 진입 점으로 이동해야합니다.

이렇게하면 가져 오기 테이블이 암호화되지 않으므로 전체 PE 로더의 모든 기능을 구현할 필요가 없으므로 일반 Windows 로더가 처리합니다.

이런 종류의 순진한 접근법은 언제든지 공동 공격에서 살아남지 못할 것입니다. 공격자는 프로세스의 메모리를 덤프하여 원래의 해독 된 코드를 얻을 수 있습니다. 이를 피하려면 연속적으로 코드를 암호화하고 암호 해독해야 할 필요가 있습니다. PE 처리는 사용자의 관심사 중 가장 적습니다.

Answer 2

당신은 C 스타일 수있을 함수 포인터에 주소를 캐스팅하고 호출해야합니다 :

typedef void (*MyPtr)(); 

MyPtr p = (MyPtr)1234; 
p(); 

Answer 3

불행하게도, 코드의 엔트리 포인트로 점프하는 것은 걱정거리입니다. Portable Executable (PE) 파일 (Windows의 EXE 및 DLL 파일에 사용되는 파일 형식)은 단일 메모리 블록에로드 한 다음 실행할 수있는 것이 아닙니다. 사용자 정의 PE 로더는 다음 작업을 처리해야합니다.

• PE 파일의 다양한 코드 및 데이터 섹션을 별도의 메모리 블록으로로드하십시오.

• EXE가 종속 된 DLL을로드하기 위해 가져 오기 테이블의 종속성을 확인하십시오.

• 재배치를 수행하십시오.

모든 세부 정보를 올바르게 얻는 것은 아마도 꽤 복잡한 작업 일 것입니다. 나는 당신이 이런 종류의 EXE 암호화를 할 수있는 도구를 찾을 것을 제안합니다.

편집 : 빠른 구글은 당신이보고 싶을 수도 있습니다 제안 다음

(독점)

RLPack (독점)

• EXECryptor

• UPX (GPL) 이 압축은 내가 이해하는 한 압축 만합니다.하지만 소스를 사용하여 암호화를 추가 할 수 있습니다 (GPL이 사용자의 필요와 호환되는 경우).

이러한 도구가 더 많을 것입니다. 이는 빠른 검색 결과입니다.

또 다른 편집 :

MSDN 잡지 매트 Pietrek이의 글을 실시은 (Part 1, Part 2)은 "심층는 Win32 휴대용 실행 파일 형식으로 봐"라고합니다. 그것은 당신에게 유용한 PE 파일 형식에 대한 많은 정보를 담고 있습니다. 한 가지 흥미로운 정보 : Microsoft 링커의 최신 버전은 기본적으로 EXE의 기본 재배치를 생략 한 것처럼 보입니다. 래퍼 EXE가 이미 페이로드 EXE의 기본로드 주소에로드되어있을 가능성이 높기 때문에 링커에 다시 넣으라고 지시해야합니다. 또는 래퍼 EXE에 페이로드 EXE를 방해하지 않는 이국적인 기본로드 주소를 시도해 볼 수도 있습니다.

나는 또한 page that discusses a rudimentary PE file compressor을 발견했습니다. 그것은 완전히 일반적인 것으로 보이지는 않으며 사용하기 전에 약간의 추가 작업이 필요할 것입니다.

Answer 4

PE 이미지를 올바르게로드하는 데 따른 번거 로움과 걱정 외에도이 작업을 수행하지 못하도록하려는 Data Execution Protection에 대해 걱정할 필요가 있습니다.

일부 Anitivirus 및 맬웨어 방지 도구에 대한 맬웨어 동작처럼 보일 수도 있음을 잊지 마십시오.

Answer 5

내 관점에서 입력 한 솔루션은 거의 버그가 없으며,이 기능이 다른 기능으로 이동하는 이유는 무엇입니까? 그들은 다른 주소로 고정되어 있고 암호화 된 코드의 정적 링크 라이브러리가 어디에 있는지와 같은이 솔루션에 많은 문제점을 많이 겪고 있습니다.

이

잠금 해제 DLL에에서 LoadLibrary을 비밀 조립

암호화 그녀에게 tmp 디렉토리와

1. 운송 encypted DLL 파일 :

   난 당신이 뭔가를 할 수 있다고 생각 파일을 만들고 시스템에서 제거 하시겠습니까?

Answer 6

코드의 데이터를 나누는 전역 설명자 테이블 인 gdt 덕분에 대부분의 운영 체제에서 코드와 같은 데이터를 실행할 수 없습니다. 데이터를 실행하려고하면 프로세서에서 예외가 발생합니다.

Answer 7

로더는이 정말 모든 것을 말해 데이터

를 해독합니다.

로더가 데이터를 해독 할 수 있으려면 해독 키를 포함해야합니다 (또는 적어도 알고 있어야 함).

따라서이 로더를 실제로 사용자에게 배포하면 로더 코드와 사용 된 키 모두에 대한 모든 액세스 권한을 갖게됩니다.

아마도 "보안 허위 의식"이란 무엇입니까?

클라이언트가 완고하거나 무식한 것처럼 보일 때, 생각에 결함을 분명히 보여주는 간단한 암호 해독 데모를 만드는 것이 어떻습니까?

Answer 8

또한 실행 가능 파일을 크래킹하는 좋은 해결책은 What is your favourite anti-debugging trick의 대답을 참조하십시오.