[原创]驱动加密，唯我扭曲变换-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]驱动加密，唯我扭曲变换

发表于: 2007-2-3 12:15 21702

[原创]驱动加密，唯我扭曲变换

LiuTaoTao

2007-2-3 12:15

21702

驱动加密，唯我扭曲变换

一般 Windows 应用程序加密，还是有很多办法的。什么花指令，什么异常，什么加壳，
检测SoftICE，反正手段多多。但驱动加密方面，几乎没有什么好用的工具。而且驱动程
序一般非常短小，一般只有几十KB。但就是这几十KB的驱动，却往往包含软件的核心技
术。驱动程序加密，成了商业软件的软肋。

检查一下你电脑中的软件，什么Daemon, Norton AntiVirus等等，他们的驱动都不大，
都没有做什么加密。如果想分析他们的核心技术，用反汇编工具打开驱动SYS文件，一目
了然，全知道了。特别是，这几十KB的驱动文件，实在太小了，以至于我多次听到有人
说，给我两天时间，保证写出它的源码，一模一样！太可怕了

他们的驱动没有加密显然不是因为不需要。他们不是不担心软件被人破解，被人逆向，被
人学走，而是实在没有什么好用的驱动加密工具。

咚强咚强咚咚强强。。。。。现在主角出场了！看我的扭曲变换加密！

我的扭曲变换加密可以很好的加密 VC6, VS2003, VS2005 编译的应用程序和驱动程序。
关于扭曲变换加密的详细描述请看：
  http://liutaotao.com/nqby.txt

近几天我要推出一个小工具软件，把它的驱动用扭曲变换加密，原来的40KB变成了196KB，
用IDA打开一看，哈，全是红的！说明IDA连函数都不能区分。再仔细一看，每几行就是
一个跳转，每几行就是一个假的RET，都搞不清哪是函数头，哪是函数尾。再仔细一看，
几乎所有的指令都是[esp+sth]之类的，简直太可怕了。这样的代码，怎么逆啊，怎么可
能看懂呢？我保证，悬赏20万都不会有人逆它！

扭曲变换加密，就是牛，就是牛，就是棒啊就是棒！

你想看看这个驱动吗？它在这儿：
  http://www.winmount.com/WinMTBus_sys.zip

或者，你想试试我的这个新软件也可以：
  http://www.winmount.com/WinMount_Beta.zip
不过现在还在内部测试，连美工图标都没加上，肯定有不少问题。

LiuTaoTao
email: me at liutaotao.com

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・7

免费・7

支持

最新回复 (55) 1 2 3 ▶
kanxue 雪币： 44229 活跃值： (19960) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼刘涛涛先生出手，必属精品~ 2007-2-3 12:16 0
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 3 楼 trw2k 作者，强烈支持 2007-2-3 12:32 0
ywb 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 187 粉丝 1 关注私信	ywb 4 楼猛啊 2007-2-3 12:56 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 5 楼扭曲变换是相当具有创意的，效果也非常好。。。 2007-2-3 13:10 0
xzchina 雪币： 615 活跃值： (1132) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 6 楼太猛烈了。 2007-2-3 13:19 0
gx_sz 雪币： 172 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 86 粉丝 0 关注私信	gx_sz 7 楼强人出手。。看看先。 2007-2-3 13:44 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 8 楼最初由 LiuTaoTao* 发布* 近几天我要推出一个小工具软件，把它的驱动用扭曲变换加密，原来的40KB变成了196KB，用IDA打开一看，哈，全是红的！说明IDA连函数都不能区分。再仔细一看，每几行就是一个跳转，每几行就是一个假的RET，都搞不清哪是函数头，哪是函数尾。再仔细一看，几乎所有的指令都是[esp+sth]之类的，简直太可怕了。这样的代码，怎么逆啊，怎么可能看懂呢？我保证，悬赏20万都不会有人逆它！连VM都有人去逆。。这个更不用说了。何况出20W。。:D.要是你真出20W估计这里有一半不上班天天去逆了. 大哥的混乱器早就见识过了。每三行一JMP实为头痛。但比起VM。这个起码还能看得懂.能看到API。只不过真的很烦人，CRACK本来就是练耐性的:D 在变形上多下功夫就成了半个的VM了.呵呵 2007-2-3 13:52 1
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 9 楼最初由 steak* 发布* 连VM都有人去逆。。这个更不用说了。何况出20W。。:D.要是你真出20W估计这里有一半不上班天天去逆了. 大哥的混乱器早就见识过了。每三行一JMP实为头痛。但比起VM。这个起码还能看得懂.能看到API。只不过真的很烦人，CRACK本来就是练耐性的:D 在变形上多下功夫就成了半个的VM了.呵呵还是有价值的，我觉得代码扭曲变换用来保护核心算法更好一点。。。比保护驱动的价值大。MS驱动的框架结果比较固定，各种驱动都遵从某种模式，懂行的人利用灰盒分析技术，从驱动的属性，行为，IRP数据处理，也能分析个十之八九，。。。除非你的驱动完全脱离MS的驱动框架体系，但这是不可能的。。。 2007-2-3 14:03 0
sbright 雪币： 146 活跃值： (33) 能力值： ( LV6，RANK：90 ) 在线值：发帖 120 回帖 995 粉丝 0 关注私信	sbright 2 10 楼顶贴. 2007-2-3 14:21 0
lelfei 雪币： 6051 活跃值： (1441) 能力值： ( LV15，RANK：1473 ) 在线值：发帖 67 回帖 537 粉丝 16 关注私信	lelfei 23 11 楼准备把这个加密方法用在驱动上了？呵呵个人感觉驱动这一方面的应用范围太窄了如果以后在应用程序上大规模使用这种加密方法，那可是逆向爱好者的恶梦。。。相信那时应该会出一种新的工具对付这种加密的。。。 2007-2-3 14:26 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 12 楼最初由 kanxue* 发布* 刘涛涛先生出手，必属精品~ 呵~ 2007-2-3 14:51 0
sagittar 雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	sagittar 13 楼这样看下去好像噩梦不远了：（ 2007-2-3 15:06 0
zcg 雪币： 200 能力值： (RANK：10 ) 在线值：发帖 1 回帖 146 粉丝 0 关注私信	zcg 14 楼这个？算不算是在打广告呀！！！ 2007-2-3 15:15 0
jjnet 雪币： 101 活跃值： (12) 能力值： ( LV12，RANK：210 ) 在线值：发帖 28 回帖 503 粉丝 0 关注私信	jjnet 5 15 楼顶顶老大. 每三行一JMP实为头痛。但比起VM, 这中情况, 是不是可以做个程序记录trace, 然后还原? 2007-2-3 16:19 0
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 16 楼 Oreans公司的加密软件Virtualizer不是加密驱动的吗?虚拟机保护,强度稍微比 vmprotect 弱一点.谁说没有加密驱动的软件了. Oreans公司的 Themida WinLicense 太出名了呵呵.很少人留意 Virtualizer 了 2007-2-3 20:24 0
sunmengze 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 149 粉丝 0 关注私信	sunmengze 17 楼做病毒的有福了 2007-2-3 21:05 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 18 楼最初由云重发布 Oreans公司的加密软件Virtualizer不是加密驱动的吗?虚拟机保护,强度稍微比 vmprotect 弱一点.谁说没有加密驱动的软件了. Oreans公司的 Themida WinLicense 太出名了呵呵.很少人留意 Virtualizer 了嗯，Code Virtualizer可以加密驱动 2007-2-3 21:59 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 19 楼估计是未来加密的发展的方向，反正机器越来越快。 2007-2-3 23:01 0
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 20 楼最初由 fly* 发布* 嗯，Code Virtualizer可以加密驱动 Themida自己的驱动好像就是用这个加的 2007-2-4 00:26 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 21 楼千万不要去加流氓软件阿~~！！！ 2007-2-4 04:50 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 22 楼灰盒啊灰盒。看过驱动网的牛人BLOG里对QQ那个保护密码的驱动分析。用分析工具已经把功能猜得差不多了，什么时候我也能有这水平呢 2007-2-4 09:28 0
sdwsjkl 雪币： 1030 活跃值： (529) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	sdwsjkl 23 楼厉害呀帮你顶 2007-2-4 10:00 0
绫濑遥雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 104 粉丝 0 关注私信	绫濑遥 1 24 楼很好很强大 2007-2-4 10:12 0
wak 雪币： 129 活跃值： (135) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 32 粉丝 1 关注私信	wak 4 25 楼很强的一个东东，如果放出去，那逆向的人就下岗啦^_^ 2007-2-4 12:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

LiuTaoTao

发帖

回帖

170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (55) 1 2 3 ▶
kanxue 雪币： 44229 活跃值： (19960) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼刘涛涛先生出手，必属精品~ 2007-2-3 12:16 0
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 3 楼 trw2k 作者，强烈支持 2007-2-3 12:32 0
ywb 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 187 粉丝 1 关注私信	ywb 4 楼猛啊 2007-2-3 12:56 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 5 楼扭曲变换是相当具有创意的，效果也非常好。。。 2007-2-3 13:10 0
xzchina 雪币： 615 活跃值： (1132) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 6 楼太猛烈了。 2007-2-3 13:19 0
gx_sz 雪币： 172 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 86 粉丝 0 关注私信	gx_sz 7 楼强人出手。。看看先。 2007-2-3 13:44 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 8 楼最初由 LiuTaoTao* 发布* 近几天我要推出一个小工具软件，把它的驱动用扭曲变换加密，原来的40KB变成了196KB，用IDA打开一看，哈，全是红的！说明IDA连函数都不能区分。再仔细一看，每几行就是一个跳转，每几行就是一个假的RET，都搞不清哪是函数头，哪是函数尾。再仔细一看，几乎所有的指令都是[esp+sth]之类的，简直太可怕了。这样的代码，怎么逆啊，怎么可能看懂呢？我保证，悬赏20万都不会有人逆它！连VM都有人去逆。。这个更不用说了。何况出20W。。:D.要是你真出20W估计这里有一半不上班天天去逆了. 大哥的混乱器早就见识过了。每三行一JMP实为头痛。但比起VM。这个起码还能看得懂.能看到API。只不过真的很烦人，CRACK本来就是练耐性的:D 在变形上多下功夫就成了半个的VM了.呵呵 2007-2-3 13:52 1
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 9 楼最初由 steak* 发布* 连VM都有人去逆。。这个更不用说了。何况出20W。。:D.要是你真出20W估计这里有一半不上班天天去逆了. 大哥的混乱器早就见识过了。每三行一JMP实为头痛。但比起VM。这个起码还能看得懂.能看到API。只不过真的很烦人，CRACK本来就是练耐性的:D 在变形上多下功夫就成了半个的VM了.呵呵还是有价值的，我觉得代码扭曲变换用来保护核心算法更好一点。。。比保护驱动的价值大。MS驱动的框架结果比较固定，各种驱动都遵从某种模式，懂行的人利用灰盒分析技术，从驱动的属性，行为，IRP数据处理，也能分析个十之八九，。。。除非你的驱动完全脱离MS的驱动框架体系，但这是不可能的。。。 2007-2-3 14:03 0
sbright 雪币： 146 活跃值： (33) 能力值： ( LV6，RANK：90 ) 在线值：发帖 120 回帖 995 粉丝 0 关注私信	sbright 2 10 楼顶贴. 2007-2-3 14:21 0
lelfei 雪币： 6051 活跃值： (1441) 能力值： ( LV15，RANK：1473 ) 在线值：发帖 67 回帖 537 粉丝 16 关注私信	lelfei 23 11 楼准备把这个加密方法用在驱动上了？呵呵个人感觉驱动这一方面的应用范围太窄了如果以后在应用程序上大规模使用这种加密方法，那可是逆向爱好者的恶梦。。。相信那时应该会出一种新的工具对付这种加密的。。。 2007-2-3 14:26 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 12 楼最初由 kanxue* 发布* 刘涛涛先生出手，必属精品~ 呵~ 2007-2-3 14:51 0
sagittar 雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	sagittar 13 楼这样看下去好像噩梦不远了：（ 2007-2-3 15:06 0
zcg 雪币： 200 能力值： (RANK：10 ) 在线值：发帖 1 回帖 146 粉丝 0 关注私信	zcg 14 楼这个？算不算是在打广告呀！！！ 2007-2-3 15:15 0
jjnet 雪币： 101 活跃值： (12) 能力值： ( LV12，RANK：210 ) 在线值：发帖 28 回帖 503 粉丝 0 关注私信	jjnet 5 15 楼顶顶老大. 每三行一JMP实为头痛。但比起VM, 这中情况, 是不是可以做个程序记录trace, 然后还原? 2007-2-3 16:19 0
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 16 楼 Oreans公司的加密软件Virtualizer不是加密驱动的吗?虚拟机保护,强度稍微比 vmprotect 弱一点.谁说没有加密驱动的软件了. Oreans公司的 Themida WinLicense 太出名了呵呵.很少人留意 Virtualizer 了 2007-2-3 20:24 0
sunmengze 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 149 粉丝 0 关注私信	sunmengze 17 楼做病毒的有福了 2007-2-3 21:05 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 18 楼最初由云重发布 Oreans公司的加密软件Virtualizer不是加密驱动的吗?虚拟机保护,强度稍微比 vmprotect 弱一点.谁说没有加密驱动的软件了. Oreans公司的 Themida WinLicense 太出名了呵呵.很少人留意 Virtualizer 了嗯，Code Virtualizer可以加密驱动 2007-2-3 21:59 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 19 楼估计是未来加密的发展的方向，反正机器越来越快。 2007-2-3 23:01 0
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 20 楼最初由 fly* 发布* 嗯，Code Virtualizer可以加密驱动 Themida自己的驱动好像就是用这个加的 2007-2-4 00:26 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 21 楼千万不要去加流氓软件阿~~！！！ 2007-2-4 04:50 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 22 楼灰盒啊灰盒。看过驱动网的牛人BLOG里对QQ那个保护密码的驱动分析。用分析工具已经把功能猜得差不多了，什么时候我也能有这水平呢 2007-2-4 09:28 0
sdwsjkl 雪币： 1030 活跃值： (529) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	sdwsjkl 23 楼厉害呀帮你顶 2007-2-4 10:00 0
绫濑遥雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 104 粉丝 0 关注私信	绫濑遥 1 24 楼很好很强大 2007-2-4 10:12 0
wak 雪币： 129 活跃值： (135) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 32 粉丝 1 关注私信	wak 4 25 楼很强的一个东东，如果放出去，那逆向的人就下岗啦^_^ 2007-2-4 12:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复