[发明专利]一种支持运行环境检测及完整性检测的加壳保护方法

说明书

本发明涉及一种支持运行环境检测及完整性检测的加壳保护方法，属于逆向工程防御技术领域，包括一种产生服务程序的加壳保护工具A，对原程序B进行加壳操作、插入安全通信模块和调用模块，生成唯一对应的服务程序C和被加壳保护的程序B1；所述程序B1在执行时，首先调用服务程序C，将服务程序C调入到内存当中，当服务程序C进入内存后程序B1与服务程序C进行交互认证；程序B1存在对服务程序C的完整性检测；所述程序C在执行时，与程序B1进行交互认证，对程序B1进行基于运行环境的检测，所述运行环境检测通过后对程序B1进行解壳并交回控制权；所述程序C负责在间隔时间段内生成新的动态认证消息。

技术领域

本发明属于逆向工程防御技术领域，涉及一种支持运行环境检测及完整性检测的加壳保护方法。

背景技术

计算机程序通常使用高级语言编写，再经过编译和链接生成可执行文件。常见的高级编程语言如java、python、c++/c等，源代码结构和计算机本身硬件及系统无关，具有更强的可阅读性，能够更简洁的描述算法。

一个可执行程序在本地计算机中的运行过时是不受保护的，逆向分析人员可以利用反汇编软件将可执行程序(0/1语言)自下而上生成可以被阅读的汇编代码或者高级语言代码，从而破解获取程序，获取程序被保护的注册码、核心算法或者编写注册机、程序外挂、插入病毒、逆向工程等操作，对原程序安全产生严重危害。

为了抵御程序被逆向分析，保护核心代码信息，常常对软件采取加壳，使用软件保护器等措施。软件加壳的基本原理是利用特殊的压缩/加密算法，对软件进行压缩/加密，使处理过后的程序可以独立运行。它们依附在原程序内且先于原程序代码执行，执行过程中对加壳后的程序进行还原，还原结束后再交还控制权。加壳后的原程序代码序列通常以加密形式存储在磁盘，在程序运行时对程序还原，可以有效防止程序的静态分析。

软件加壳是一种重要的保护技术，它可以对软件的二进制代码进行加密或压缩，并在执行过程中动态解密或解压缩这些代码，增加软件逆向分析的难度。脱壳技术则是为了恢复被隐藏的代码，降低软件逆向分析的难度。

常见的静态反汇编工具：IDA Pro(Interactive Disassembler Professional)、win32Dasm、VB Decompiler pro；常见的动态反汇编工具Ollydbg、Windbg。

由于当前加壳后的软件，其解壳程序与原程序为一体，脱壳程序也能被单步调试，不能对自己运行状态做安全检测，且不能对内存的访问做限制。随着反编译和破解技术门槛的降低，可执行文件容易被反编译和篡改，在其被动态分析时不具有有效防御方式。因此程序在被加载入内存中后自动执行解壳程序而暴露源代码。所以当前的加壳方式通过动态分析和dump技术可以从内存中提取原程序，用于静态分析导致源代码泄露。

当前，软件加壳后，解壳服务程序仍存在于原程序中，在随着脱壳技术的日益发展，此加壳方式的有效性和复杂性不足以保证源代码的安全性，造成程序核心代码泄露，版权信息被破坏等危险。

发明内容

有鉴于此，本发明的目的在于针对动态分析设计了一种新的加壳策略，采用具有运行环境检测的服务程序，增加动态反汇编分析难度的方法。

为达到上述目的，本发明提供如下技术方案：

一种支持运行环境检测及完整性检测的加壳保护方法，包括一种产生服务程序的加壳保护工具A，对原程序B进行加壳操作、插入安全通信模块和调用模块，生成唯一对应的服务程序C和被加壳保护的程序B1；

所述程序B1在执行时，首先调用服务程序C，将服务程序C调入到内存当中，当服务程序C进入内存后程序B1与服务程序C进行交互认证；程序B1存在对服务程序C的完整性检测；

所述程序C在执行时，与程序B1进行交互认证，对程序B1进行基于运行环境的检测，所述运行环境检测通过后对程序B1进行解壳并交回控制权；