Программно-аппаратная защита информации (стр. 5 из 12)
1. проверять наличие электронного ключа
2. подавать на вход функцию отклика различные значения и сравнивать ответ с эталонными значениями
3. использовать функцию шифрования для шифрования/дешифрования исполнительного кода программы или используемых данных.
Основные элементы защиты:
С каждым из электронных ключей связана некая серия, которая присваивает конкретную разработку программного продукта и вполне возможно по желанию производителя каждого из выпускаемого им программного продукта. Внутри одной серии электронные ключи имеют одну функцию шифрования и одну функцию отклика. Для доступу к функциям электронного ключа, требуется знание кода доступа (2 по 16 бит). Внутри одной серии коды доступа одинаковы. Пользователь ПО не должен знать эти коды, они известны только производителю.
HASPMemo
Данные ключи включают в себя все функции HASPStandart. Кроме того, имеют уникальный идентификационный номер и энергонезависимую память определенного объёма.
2 типа по объёму энергонезависимой памяти:
· HASP4 М1 – 112 байт
· HASP4 М4 – 496 байт
Кроме тех функций, которые можно реализовать с помощью HASP4 Standart, эти ключи могут:
4. хранить в энергонезависимой памяти различную конфиденциальную информацию, используемую для защиты ПО (ключи, адреса переходов и т.д.)
5. возможно хранить в энергонезависимой памяти информацию об отключенных и подключенных модулях программы, доступных пользователю
6. возможно защищать программы по количеству запусков.
HASPTime
С помощью данного ключа возможно ограничить срок работы программы и, как правило, используется для создания демо-версий программ, имеющих высокую стоимость, либо при лизинге ПО.
Включает в себя встроенный календарь с датой и временем. Используется для защиты ПО по срокам использования.
HASPNet
Используется для ограничения максимального количества одновременно запущенных копий программ в сети.
Способы защиты программного обеспечения с помощью электронных ключей HASP
Можно реализовывать с помощью встроенных и пристыковочных механизмов.
Встроенные – HASPAPI.
Пристыковочные HASPEnvelopment.
Электронные ключи HASPMemo, Time и Net включают в себя подсистему полного управления доступом (FAS), позволяющую защитить одновременно несколько программ одного производителя, и ограничить их в зависимости от типа ключей по количеству запусков, по сроку действия, по количеству одновременно запущенных копий.
Электронные ключи HASPMemo, Time и Net обладают возможностью их удаленного перепрограммирования с помощью подсистемы RUS.
Для реализации удаленного управления формируется 2 утилиты: продавца и покупателя. Они формируются под конкретный электронный ключ, привязывающийся к его идентификационному номеру.
PatternCodeSecurity (Механизм защиты структурного кода)
Механизм PCSоснован на внедрении в исходные тексты программ шаблонов, в которых определены некие функции доступа к электронному ключу. Данные функции, определенные в шаблонах, будут вызываться скрытым образом из исполняемого кода программы. Для них не будет явным образом вызываться процедура HASP. Когда разработчиком защиты для решения своих задач делается явный вызов HASP, программа автоматически выполняет последовательность скрытых вызовов функций, определенных в шаблонах PCS. Всего таких шаблонов можно определить до 25 штук. Внедрив через данные шаблоны вызовы скрытых процедур, разработчик защиты может значительно усложнить трассировку защитных механизмов, затруднить вмешательство извне в их работу.
Злоумышленник, отключая явный вызов HASP, в действительности отключает множество скрытых вызовов, результат исполнения которых отражается на функционировании программы, например, вызовы могли выполнять дешифровку кода, получать отклики от электронного ключа, которые будут проводится в ходе дальнейшей работы программы.
Лекция № 8
Защита программного обеспечения от исследования
Исследование исполняемого кода программы позволяет злоумышленнику разобраться с логикой работы защитных механизмов, что дает возможность отключить их либо обойти. При работе с аппаратными средствами защиты в исполняемом коде программы достаточно часто хранится конфиденциальная информация, например, коды доступа к электронному ключу, который не должен знать злоумышленник. Иначе говоря, возможность исследования кода является необходимым условием взлома программных продуктов. В связи с этим исполняемый код необходимо защищать от исследования. Для защиты ПО от исследования необходимо обеспечить защиту от статического и динамического анализа.
В первом случае злоумышленник пытается получить листинг программы на каком-либо языке для возможности дальнейшего изучения и исследования логики защитных механизмов с использованием таких средств как IdaPro, Soucer.
Большая часть средств защиты от отладки основывается на обнаружении отладчиков в оперативной памяти с целью дальнейшего противодействия отладке, либо на включенных в исполняемый код механизмов, которые не могут быть корректно выполнены под отладкой в режиме трассировки. Работа отладчиков в реальном режиме процессора основана на прерываниях int1, int3, которые устанавливают точки прерывания, в защищенном режиме работа отладчиков основана на использовании регистра отладки dr0 – dr7.
Приемы защиты:
1) использование ловушек для отладчиков – трикинг, с помощью которого отладчик можно выявить в оперативной памяти и принудительно завершить работу программы.
Один из приемов основан на том, что по команде popss следующая команда не может быть выполнена в режиме трассировки и она выполняется на реальном процессоре. В эту команду можно заложить защитный механизм.
pushss
popss
push f
pop ax
test ax, 100h
je debugger detected
2) переопределение стека в 0. Вершина стека «растет» сверху вниз, поэтому после определения ее в ноль, любая попытка положить что-то в стек приведет к его переполению и аварийному завершению работы программы. В том числе не может быть вызвано ни одно прерывание.
3) Контроль исполняемого кода. Установка точки прерывания в реальном режиме процессора требует модификации кода программы для защиты от установки точек прерывания можно периодически контролировать исполняемый код на целостность.
4) В защищенном режиме можно воздействовать на регистры отладки dr0-dr7, например, периодически обнулять или использовать для своих нужд.
5) Обнаружение наличия отладчиков в оперативной среде путем использования преднамеренно оставленных в них «дыр»
6) Использование недокументированных возможностей процессора:
1. mov ax, cs:[100]=ds:es:cs:mov ax, [100]
2. cs:nop
7) Использование особенностей конвейеризации – можно написать исполняемый код, в котором инструкция модифицирует сама себя, становясь на байт короче. Если подобная инструкция используется на реальном процессоре (не под отладкой), то и сама инструкция и следующие за ней уже находятся в конвейере процессора и эта модификация никак не затронет. В режиме отладки будет использоваться модифицированный код.
Противодействие средствам статического анализа:
1. Шифрование исполняемого кода программы на хороших ключах. Универсальное и наиболее стойкое средство защиты.
2. Самомодифицирование кода программы. Замена одних участков кода программы на другие.
3. Внедрение между инструкциями некой области данных
mov ax, 0CEBh
jmp label
db 1,2,3,4,5,6,7,8,9
label: mov ax, 1234h
4. Скрытие команд передачи управления
mov word ptr cs:label[1], 1234h
……
label jmp 0000h
5. Использование косвенной передачи управления
mov bx, 1234h
……….
Jmp cs:[bx]
6. Использование нестандартных способов передачи управления
Для затруднения анализа исполняемого кода могут быть использованы попытки нестандартных приемов передачи управления. Могут быть сделаны моделирования одних инструкций через другие. Например, jmp, call, int через подобные инструкции.
Например:
| Нормальный код | Альтернативный код | |
| ….jmpm……m: …….. | mov ax, offset mpush axret……m:…. | |
| call адрес подпрограммыm:….адрес подпрограммы: ……ret | mov ax, offset mpush axjmp адрес подпрограммыm:….адрес подпрограммы:……ret | |
| …ret | …pop bxjmp bx | |
7. Перемешивание кода программы
В данном случае разработчиком системы защиты пишется специальный модуль, который инструкции в исполняемом коде программы. Таким образом, можно достаточно эффективно скрыть защитные механизмы от злоумышленника, затруднить их понимание.
push ss
pop ss
push f
pop ax
test ax,100h
je Debugger detected
| Адреса | Инструкция |
| 00000000 | push ss |
| 00000001 | jmp 0A |
| 00000003 | pop ax |
| 00000004 | jmp 0D |
| 00000006 | je debugger detected |
| 000000A | pop ss |
| 000000B | push f |
| 000000C | jmp 03 |
| 000000D | test ax, 100h |
| 000000E | jmps 06 |
8. Обфускация – запутывание путем включения в код никому не нужных процедур, условных операторов перехода и других запутывающих преобразований. Например, эмуляция машины Тьюринга и команды под нее. Иногда в рамках данного подхода критичные защитные механизмы пишутся в рамках команд виртуального процессора, придуманного разработчиком, а в код программы вносятся обработчики данных команд.
Лекция № 9
Классификация средств атаки на средства защиты программного обеспечения
Программы-каталогизаторы – оболочки файловых систем, например, Far, TotalCommander. С помощью данных средств возможно: