DTProtect动态变形壳-加密领域里程碑式的技术变革-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

DTProtect动态变形壳-加密领域里程碑式的技术变革

发表于: 2013-7-5 00:07 36944

DTProtect动态变形壳-加密领域里程碑式的技术变革

wildox

2013-7-5 00:07

36944

以下这段代码分别用VMProtect和DTProtect保护，做强度和性能对比测试
VMProtectBegin("test");

  ::MessageBox(NULL,"1111111","1111111",MB_OK);

  //----------------------------------------------
  for(i=0;i<0x30000000;i++)
  {
    __asm
    {
      mov eax,0x88888888
      mov ecx,0x88888888
      mov edx,0x88888888
      mov ebx,0x88888888
    }
  }
  ///------------------------------------------------
  ::MessageBox(NULL,ss,"22222222",MB_OK);
  VMProtectEnd();
请拍砖之前先看看例子，然后再慢慢嘭水
DTprotest动态变形与VM性能比较：http://pan.baidu.com/share/link?shareid=2393585813&uk=2887683517
DTproTest动态变形-飘功能例子：http://pan.baidu.com/share/link?shareid=2391648027&uk=2887683517

DTProtect 是一种独创的软件保护系统，保护后的程序代码在内存中运行是实时动态变形的，任何调试工具都无法捕捉到有效的程序代码，这将使分析反编译后的代码和破解变得几乎不可能。保护二进制程序时需要.map文件。
DTProtect 吸取了Themida和VMProtect所有技术精华，并去其糟粕，在具备Themida和VMProtect所有功能的基础上（第一版将全部实现Themida的所有功能），融合滴水独创的实时动态变形技术。真正意义上实现了一个实时动态变形的、有生命的加壳工具软件。
一、DTProtect 研发背景：
1、目前已知的公认的强壳为Themida和VMProtect两个加密软件。据我们所知，国内目前已经有人能够脱壳并还原，具体效果尚不清楚。
2、国内目前已知的强壳大都是模仿这两个壳做的，据我们分析，基本是抄袭了上述两个壳的技术糟粕，并未取得其技术精髓；防破解的方法均基于各种猥琐的小技巧。大大影响了加壳后程序的兼容性和运行效率。DTProtect V1.0加壳后程序运行的效率和加密强度对比Themida和VMProtect均已有了质的飞跃。同时在保证加密强度的前提下，避免许多兼容性问题的出现，实现加密强度和兼容性二者的和谐统一。
3、我们已完成Themida的全部逆向工作，VMProtect现已完成部分逆向工作。与取得上述两个壳程序的源代码无异。全面掌握了上述两个壳的所有技术精华，同时也了解了他们的一些缺陷。
二、DTProtect保护原理
1、采用编译器技术，使得保护后的程序代码在内存中实时动态变形。使得任何调试工具都无法从内存或者磁盘获取有效的程序代码，从而实现最有效的加密保护。并且与操作系统无关，最大程度避免了系统兼容问题。DTProtect和操作系统无关，只跟各种编译器版本相关。保护后的程序性能没有任何损耗。
2、采用行为判断技术，可以检测任何已知和未知的调试工具。
三、实时动态变形的技术分析
此项技术为我公司所独创，国内外尚未发现有类似技术的报道。
1、与现行技术的比较：
Themida和VMProtect的变形技术是一种静态的代码变形。即用Themida和VMProtect压缩过的程序与未压缩之前的程序相比较，代码是变形的。但是压缩过的程序本身在运行时，在内存中运行的程序代码是保持不变的。如果用工具dump内存中运行的程序代码每次都是一样的。即Themida和VMProtect的代码变形技术是一次性的静态的变形。目前Themida和VMProtect能够做到的只是反dump工具，并且做到，即使将内存中的程序代码dump下来，也无法在其他机器上再次运行。
滴水动态变形技术是一种实时的、动态的变形技术，与Themida和VMProtect的静态变形技术有着本质上的区别。
首先，滴水动态变形壳同样实现了Themida和VMProtect的静态变形技术，动态变形壳压缩后的程序代码与未压缩前的程序代码相比较是已经变形了的。
其次，滴水动态变形壳压缩过的程序每次运行中，被压缩程序在内存中的代码是实时动态变形的。实现了代码实时变形。
此时如果用dump工具将内存中的代码dump多次，每次dump的代码均不相同。
2、滴水动态变形壳的其他技术亮点
a、在保留Themida和VMProtect 原有虚拟机的基础上，添加滴水自己的虚拟机，防止Themida和VMProtect破解者利用以往的经验攻击滴水动态变形壳。
b、Themida和VMProtect 的内核采用汇编语言编写，缺点是修改、更新困难。而滴水动态变形壳的内核全部采用C语言编写，可以很灵活的修改，保持快速更新，使得破解者疲于奔命，无从入手。c、Themida和VMProtect 不同版本的内核都是一样的，破解者只要攻破其中任意一个版本即可破解所有版本。我公司已实现前述两个壳的逆向即可证明。而滴水动态变形壳在保持快速更新的同时，将同时推出个人版、企业版、和定制版。每种版本的内核均不相同，并分别维护。
应该说，滴水动态变形第一次真正意义上实现了加密软件自我复制、自我变异的功能，在赋予自身生命力的同时，也赋予了被压缩程序本身某种意义上的生命。此技术必将给加密解密领域带来一种里程碑式的技术变革。
四、DTProtect功能
1、支持win 32位PE文件，包括*.exe、*.scr、*.dll、*.ocx、*.net、*.sys（设备驱动文件暂不支持）；
2、包括VM在内的Themida和VMProtect的所有功能；
3、已知和未知调试工具检测功能；
4、全代码实时动态变形功能；
5、保护后的代码执行速度跟跟保护前几乎一样；

[课程]Linux pwn 探索篇！

收藏・15

免费・1

支持

最新回复 (43) 1 2 ▶
demoscene 雪币： 1981 活跃值： (771) 能力值： ( LV13，RANK：420 ) 在线值：发帖 30 回帖 355 粉丝 27 关注私信	demoscene 7 2 楼先沙个发再看 2013-7-5 00:22 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 3 楼哦，TMD 不变？厉害啊。。。。。。。。。。。。。。。。。。。。另外，vmp 效率非常棒啊，你这个。。。。。。。。。。。。启动就盘了几秒，根本不是一个级别的？ 2013-7-5 00:30 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 21 关注私信	半斤八兩 10 4 楼沙发?~~ 壳有些吃CPU. 有待优化. 反调试部份有许多特征码可以定位. 程序确实"飘"起来了.很给力~ 2013-7-5 00:32 0
wildox 雪币： 21 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 207 粉丝 5 关注私信	wildox 5 楼壳启动较慢是因为强化了自身保护，反调试部分特征码是测试版有些缺陷，正式版已修复。另外，自己写的虚拟机将进一步优化，会比TMD\VMP性能提高很多。 2013-7-5 00:35 0
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 6 楼 DT还是比较有技术实力的 2013-7-5 00:53 0
b23526 雪币： 4580 活跃值： (992) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 7 楼貌似很强大，能丢个bin让大伙儿见识下不 2013-7-5 01:07 0
wildox 雪币： 21 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 207 粉丝 5 关注私信	wildox 8 楼官网群共享里有的 2013-7-5 01:18 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 9 楼所谓动态加密其实就是把代码段在解压时直接从新加密,我记得最早在外国某壳上见过,每次启动代码都不一样,那时候好想是叫动态混淆神马的!只要动点手脚就不动态了......而且最致命的是这种加密方式需要未保护的代码做为基础,所以是人家可以直接把全部代码扣出来,动态代码直接变裸奔. DT这玩意难道就是动态加密+VM代码????? .当前的壳的强度是足够的,现在破解都是靠爆破.根本不管你加密了什么玩意..而且这玩意赶脚稳定性是个大问题.所以这种动态纯属噱头.跟硬件虚化用在调试上差不多一个道理. 2013-7-5 02:26 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 10 楼所谓代码实时动态变形，就是要不停地修改代码段所在内存，并且还要像VM这样极度去膨胀代码执行速度和效率绝对不可能跟保护之前一样，既然代码自身是动态的，也就没有类似CRC校验，MD5校验之类的这回事，正所谓鱼和熊掌不可兼得正如LS所说，动态混淆这玩意早就有了，LZ的描述也是漏洞百出，所以纯属嘘头炒作 2013-7-5 04:56 0
pxhb 雪币： 6366 活跃值： (4336) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 420 粉丝 19 关注私信	pxhb 2 11 楼壳盲。。。不懂，不发表意见，我是来看评论的 2013-7-5 07:53 0
wildox 雪币： 21 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 207 粉丝 5 关注私信	wildox 12 楼有例子在呢，测试完再喷啊 2013-7-5 07:58 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 13 楼 DT?邓韬？ 2013-7-5 08:42 0
hacklang 雪币： 492 活跃值： (41) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 94 粉丝 0 关注私信	hacklang 1 14 楼 2群共享里有么？ 2013-7-5 09:07 0
KCG 雪币： 38 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	KCG 15 楼来支持下唐老师。。 2013-7-5 09:14 0
pecado 雪币： 43 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 78 粉丝 0 关注私信	pecado 16 楼如此神器定要来看看 2013-7-5 09:39 0
小菜鸟一雪币： 889 活跃值： (4027) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 904 粉丝 4 关注私信	小菜鸟一 17 楼已经第二页了 2013-7-5 10:38 0
ruihacker 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	ruihacker 18 楼很吃CUP啊 2013-7-5 10:41 0
LShang 雪币： 42 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 147 粉丝 1 关注私信	LShang 19 楼壳盲前来膜拜一下 2013-7-5 10:53 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 20 楼动态变形...总让我回到了29A没解散的时代去突然回到win32.metaphore v1.2的时代 2013-7-5 10:53 0
透明色雪币： 143 活跃值： (263) 能力值： ( LV8，RANK：120 ) 在线值：发帖 12 回帖 242 粉丝 8 关注私信	透明色 2 21 楼尽信壳不如无壳 2013-7-5 10:59 0
lynnux 雪币： 3330 活跃值： (1662) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 15 关注私信	lynnux 22 楼 NB，只能膜拜。没注意看帖子，有下载地址。 2013-7-5 11:12 0
yjiiyygyx 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 72 粉丝 0 关注私信	yjiiyygyx 23 楼看到DTProtect，还以为是邓涛的壳。。。。。 2013-7-5 11:17 0
狼行绝路雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 97 粉丝 0 关注私信	狼行绝路 24 楼貌似没有见到老唐的可以无限膨胀的代码变形，对于VM... 效率可以秒杀了呵呵笑看一群喷子不过话说你真应该换个ID了王总..... 2013-7-5 14:27 0
yuansunxue 雪币： 1025 活跃值： (225) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 25 楼实时多台变形vm？ 2013-7-5 14:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wildox

发帖

207

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (43) 1 2 ▶
demoscene 雪币： 1981 活跃值： (771) 能力值： ( LV13，RANK：420 ) 在线值：发帖 30 回帖 355 粉丝 27 关注私信	demoscene 7 2 楼先沙个发再看 2013-7-5 00:22 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 3 楼哦，TMD 不变？厉害啊。。。。。。。。。。。。。。。。。。。。另外，vmp 效率非常棒啊，你这个。。。。。。。。。。。。启动就盘了几秒，根本不是一个级别的？ 2013-7-5 00:30 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 21 关注私信	半斤八兩 10 4 楼沙发?~~ 壳有些吃CPU. 有待优化. 反调试部份有许多特征码可以定位. 程序确实"飘"起来了.很给力~ 2013-7-5 00:32 0
wildox 雪币： 21 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 207 粉丝 5 关注私信	wildox 5 楼壳启动较慢是因为强化了自身保护，反调试部分特征码是测试版有些缺陷，正式版已修复。另外，自己写的虚拟机将进一步优化，会比TMD\VMP性能提高很多。 2013-7-5 00:35 0
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 6 楼 DT还是比较有技术实力的 2013-7-5 00:53 0
b23526 雪币： 4580 活跃值： (992) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 7 楼貌似很强大，能丢个bin让大伙儿见识下不 2013-7-5 01:07 0
wildox 雪币： 21 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 207 粉丝 5 关注私信	wildox 8 楼官网群共享里有的 2013-7-5 01:18 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 9 楼所谓动态加密其实就是把代码段在解压时直接从新加密,我记得最早在外国某壳上见过,每次启动代码都不一样,那时候好想是叫动态混淆神马的!只要动点手脚就不动态了......而且最致命的是这种加密方式需要未保护的代码做为基础,所以是人家可以直接把全部代码扣出来,动态代码直接变裸奔. DT这玩意难道就是动态加密+VM代码????? .当前的壳的强度是足够的,现在破解都是靠爆破.根本不管你加密了什么玩意..而且这玩意赶脚稳定性是个大问题.所以这种动态纯属噱头.跟硬件虚化用在调试上差不多一个道理. 2013-7-5 02:26 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 10 楼所谓代码实时动态变形，就是要不停地修改代码段所在内存，并且还要像VM这样极度去膨胀代码执行速度和效率绝对不可能跟保护之前一样，既然代码自身是动态的，也就没有类似CRC校验，MD5校验之类的这回事，正所谓鱼和熊掌不可兼得正如LS所说，动态混淆这玩意早就有了，LZ的描述也是漏洞百出，所以纯属嘘头炒作 2013-7-5 04:56 0
pxhb 雪币： 6366 活跃值： (4336) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 420 粉丝 19 关注私信	pxhb 2 11 楼壳盲。。。不懂，不发表意见，我是来看评论的 2013-7-5 07:53 0
wildox 雪币： 21 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 207 粉丝 5 关注私信	wildox 12 楼有例子在呢，测试完再喷啊 2013-7-5 07:58 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 13 楼 DT?邓韬？ 2013-7-5 08:42 0
hacklang 雪币： 492 活跃值： (41) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 94 粉丝 0 关注私信	hacklang 1 14 楼 2群共享里有么？ 2013-7-5 09:07 0
KCG 雪币： 38 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	KCG 15 楼来支持下唐老师。。 2013-7-5 09:14 0
pecado 雪币： 43 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 78 粉丝 0 关注私信	pecado 16 楼如此神器定要来看看 2013-7-5 09:39 0
小菜鸟一雪币： 889 活跃值： (4027) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 904 粉丝 4 关注私信	小菜鸟一 17 楼已经第二页了 2013-7-5 10:38 0
ruihacker 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	ruihacker 18 楼很吃CUP啊 2013-7-5 10:41 0
LShang 雪币： 42 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 147 粉丝 1 关注私信	LShang 19 楼壳盲前来膜拜一下 2013-7-5 10:53 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 20 楼动态变形...总让我回到了29A没解散的时代去突然回到win32.metaphore v1.2的时代 2013-7-5 10:53 0
透明色雪币： 143 活跃值： (263) 能力值： ( LV8，RANK：120 ) 在线值：发帖 12 回帖 242 粉丝 8 关注私信	透明色 2 21 楼尽信壳不如无壳 2013-7-5 10:59 0
lynnux 雪币： 3330 活跃值： (1662) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 15 关注私信	lynnux 22 楼 NB，只能膜拜。没注意看帖子，有下载地址。 2013-7-5 11:12 0
yjiiyygyx 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 72 粉丝 0 关注私信	yjiiyygyx 23 楼看到DTProtect，还以为是邓涛的壳。。。。。 2013-7-5 11:17 0
狼行绝路雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 97 粉丝 0 关注私信	狼行绝路 24 楼貌似没有见到老唐的可以无限膨胀的代码变形，对于VM... 效率可以秒杀了呵呵笑看一群喷子不过话说你真应该换个ID了王总..... 2013-7-5 14:27 0
yuansunxue 雪币： 1025 活跃值： (225) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 25 楼实时多台变形vm？ 2013-7-5 14:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复