首页
社区
课程
招聘
[原创]驱动加密,唯我扭曲变换
发表于: 2007-2-3 12:15 21785

[原创]驱动加密,唯我扭曲变换

2007-2-3 12:15
21785

驱动加密,唯我扭曲变换

一般 Windows 应用程序加密,还是有很多办法的。什么花指令,什么异常,什么加壳,
检测SoftICE,反正手段多多。但驱动加密方面,几乎没有什么好用的工具。而且驱动程
序一般非常短小,一般只有几十KB。但就是这几十KB的驱动,却往往包含软件的核心技
术。驱动程序加密,成了商业软件的软肋。

检查一下你电脑中的软件,什么Daemon, Norton AntiVirus等等,他们的驱动都不大,
都没有做什么加密。如果想分析他们的核心技术,用反汇编工具打开驱动SYS文件,一目
了然,全知道了。特别是,这几十KB的驱动文件,实在太小了,以至于我多次听到有人
说,给我两天时间,保证写出它的源码,一模一样!太可怕了

他们的驱动没有加密显然不是因为不需要。他们不是不担心软件被人破解,被人逆向,被
人学走,而是实在没有什么好用的驱动加密工具。

咚强咚强咚咚强强。。。。。现在主角出场了!看我的扭曲变换加密!

我的扭曲变换加密可以很好的加密 VC6, VS2003, VS2005 编译的应用程序和驱动程序。
关于扭曲变换加密的详细描述请看:
  http://liutaotao.com/nqby.txt

近几天我要推出一个小工具软件,把它的驱动用扭曲变换加密,原来的40KB变成了196KB,
用IDA打开一看,哈,全是红的!说明IDA连函数都不能区分。再仔细一看,每几行就是
一个跳转,每几行就是一个假的RET,都搞不清哪是函数头,哪是函数尾。再仔细一看,
几乎所有的指令都是[esp+sth]之类的,简直太可怕了。这样的代码,怎么逆啊,怎么可
能看懂呢?我保证,悬赏20万都不会有人逆它!

扭曲变换加密,就是牛,就是牛,就是棒啊就是棒!

你想看看这个驱动吗?它在这儿:
  http://www.winmount.com/WinMTBus_sys.zip

或者,你想试试我的这个新软件也可以:
  http://www.winmount.com/WinMount_Beta.zip
不过现在还在内部测试,连美工图标都没加上,肯定有不少问题。

LiuTaoTao
email: me at liutaotao.com


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (55)
雪    币: 47147
活跃值: (20460)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
2
刘涛涛先生出手,必属精品~
2007-2-3 12:16
0
雪    币: 214
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
trw2k 作者,强烈支持
2007-2-3 12:32
0
雪    币: 225
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ywb
4
猛 啊
2007-2-3 12:56
0
雪    币: 116
活跃值: (220)
能力值: ( LV12,RANK:370 )
在线值:
发帖
回帖
粉丝
5
扭曲变换是相当具有创意的,效果也非常好。。。
2007-2-3 13:10
0
雪    币: 615
活跃值: (1222)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
太猛烈了。
2007-2-3 13:19
0
雪    币: 172
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
强人出手。。
看看先。
2007-2-3 13:44
0
雪    币: 243
活跃值: (274)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
8
最初由 LiuTaoTao 发布
近几天我要推出一个小工具软件,把它的驱动用扭曲变换加密,原来的40KB变成了196KB,
用IDA打开一看,哈,全是红的!说明IDA连函数都不能区分。再仔细一看,每几行就是
一个跳转,每几行就是一个假的RET,都搞不清哪是函数头,哪是函数尾。再仔细一看,
几乎所有的指令都是[esp+sth]之类的,简直太可怕了。这样的代码,怎么逆啊,怎么可
能看懂呢?我保证,悬赏20万都不会有人逆它!


连VM都有人去逆。。这个更不用说了。何况出20W。。:D.要是你真出20W估计这里有一半不上班天天去逆了.
大哥的混乱器早就见识过了。每三行一JMP实为头痛。但比起VM。这个起码还能看得懂.能看到API。只不过真的很烦人,CRACK本来就是练耐性的:D
在变形上多下功夫就成了半个的VM了.呵呵
2007-2-3 13:52
1
雪    币: 116
活跃值: (220)
能力值: ( LV12,RANK:370 )
在线值:
发帖
回帖
粉丝
9
最初由 steak 发布
连VM都有人去逆。。这个更不用说了。何况出20W。。:D.要是你真出20W估计这里有一半不上班天天去逆了.
大哥的混乱器早就见识过了。每三行一JMP实为头痛。但比起VM。这个起码还能看得懂.能看到API。只不过真的很烦人,CRACK本来就是练耐性的:D
在变形上多下功夫就成了半个的VM了.呵呵


还是有价值的,我觉得代码扭曲变换用来保护核心算法更好一点。。。
比保护驱动的价值大。MS驱动的框架结果比较固定,各种驱动都遵从某种模式,懂行的人利用灰盒分析技术,从驱动的属性,行为,IRP数据处理,也能分析个十之八九,。。。除非你的驱动完全脱离MS的驱动框架体系,但这是不可能的。。。
2007-2-3 14:03
0
雪    币: 146
活跃值: (33)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
10
顶贴.
2007-2-3 14:21
0
雪    币: 6051
活跃值: (1441)
能力值: ( LV15,RANK:1473 )
在线值:
发帖
回帖
粉丝
11
准备把这个加密方法用在驱动上了?呵呵

个人感觉驱动这一方面的应用范围太窄了

如果以后在应用程序上大规模使用这种加密方法,那可是逆向爱好者的恶梦。。。相信那时应该会出一种新的工具对付这种加密的。。。
2007-2-3 14:26
0
雪    币: 258
活跃值: (230)
能力值: ( LV12,RANK:770 )
在线值:
发帖
回帖
粉丝
12
最初由 kanxue 发布
刘涛涛先生出手,必属精品~

呵~
2007-2-3 14:51
0
雪    币: 112
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
这样看下去
好像噩梦不远了
:(
2007-2-3 15:06
0
雪    币: 200
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
zcg
14
这个?算不算是在打广告呀 !!!
2007-2-3 15:15
0
雪    币: 101
活跃值: (12)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
15
顶顶老大.

每三行一JMP实为头痛。但比起VM, 这中情况, 是不是可以做个程序记录trace, 然后还原?
2007-2-3 16:19
0
雪    币: 213
活跃值: (96)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
16
Oreans公司的加密软件Virtualizer不是加密驱动的吗?虚拟机保护,强度稍微比
vmprotect 弱一点.谁说没有加密驱动的软件了.
Oreans公司的
Themida
WinLicense 太出名了呵呵.很少人留意 Virtualizer 了
2007-2-3 20:24
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
做病毒的有福了
2007-2-3 21:05
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
18
最初由 云重 发布
Oreans公司的加密软件Virtualizer不是加密驱动的吗?虚拟机保护,强度稍微比
vmprotect 弱一点.谁说没有加密驱动的软件了.
Oreans公司的
Themida
WinLicense 太出名了呵呵.很少人留意 Virtualizer 了

嗯,Code Virtualizer可以加密驱动
2007-2-3 21:59
0
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
19
估计是未来加密的发展的方向,反正机器越来越快。
2007-2-3 23:01
0
雪    币: 222
活跃值: (10)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
20
最初由 fly 发布
嗯,Code Virtualizer可以加密驱动


Themida自己的驱动好像就是用这个加的
2007-2-4 00:26
0
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
21
千万不要去加流氓软件阿~~!!!
2007-2-4 04:50
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
22
灰盒啊灰盒。看过驱动网的牛人BLOG里对QQ那个保护密码的驱动分析。用分析工具已经把功能猜得差不多了,什么时候我也能有这水平呢
2007-2-4 09:28
0
雪    币: 1208
活跃值: (709)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
厉害呀 帮你顶
2007-2-4 10:00
0
雪    币: 214
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
24
很好很强大
2007-2-4 10:12
0
雪    币: 129
活跃值: (135)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
25
很强的一个东东,如果放出去,那逆向的人就下岗啦^_^
2007-2-4 12:06
0
游客
登录 | 注册 方可回帖
返回
//