一种基于CALL链技术的源代码保护技术思路

MAXtoDEATH

如果保护系统的OP彻底被逆完，那么离shrinker的发布也就不远了，保护系统也就成了一层马奇诺防线
前几年看netsowell写的软件保护及分析技术中提到了一种Call链技术，其实我在这个思路上还多想了一层Stub
这种技术在一定程度上可以大大增加对静态分析工具的anti能力，而stub的存在就是让程序如果不真的跑起来，那么逆向者就只能同时分析两个相似的函数，增加工作量，call链就更不用说了
|针对自己写的函数
  |把所有函数正则下来
  |把每个函数（称为fun）复制一次，对第二次做删减增添处理，将未处理的称为funA函数，将处理后的称为funB函数，反之亦然，可以对每个函数随机选择A与B来处理
  |设计一个加密解密算法，可以用设置一个随机值来作为明文
  |设计一层stub，如果解密后匹配明文成功CALL funA，如果解密后匹配明文失败CALL funB
  |匹配源码中的fun，将其替换为funstub(密文 的形式
  |同时可以在过程中随机生成几条CALL链来增加对静态分析工具的混淆能力
|针对API
  |我们可以不让保护系统对IAT或者入口进行保护，可以手动用GetProcAddress及LoadLibrary实现API的动态调用
  |当然同时也可以设计为CALL链的形式

初吻给奶嘴耶

如果要我说的话  就算使用你这个方法 基础还是要加壳  不然还是会被分析出来   毕竟代码没有被扰乱 可读性很高
那如果说加了壳  你这个方法又多余了 还降低了效率

SeriousSnow

不是。不是很清楚这玩意为了啥。为了增加逆向难度或者工作量。怎么看都是v了好。那玩意还省事。
你说api手动调用。我记得 v了之后就是动态调用了。而且GetProcAddress，LoadLibrary也是壳作者自己写的。
然后这个结合源码这么搞。好像看雪看到过一个久重妖塔吧的一个cm。。。那玩意做的可比你这个狠太多了。。。不知道这边允不允许帖看雪链接。自己去看雪看把

天使3号

你哪里贴过来的，还说原创，开头的排版也不排一下

longsui48

那你想过没有 这样你的软件跑起来就比人家慢了无数倍 我一个功能可能没事 如果是核心呢?

longsui48

而且如果动态调用的时候出错明文匹配失败触发暗装 你赔给客户钱还是我赔?

MAXtoDEATH

longsui48 发表于 2018-8-25 16:11
那你想过没有 这样你的软件跑起来就比人家慢了无数倍 我一个功能可能没事 如果是核心呢?

这么写，比你用Vmp做个OPcode变形速度快多了吧，你拿压缩壳跟保护系统比？

MAXtoDEATH

longsui48 发表于 2018-8-25 16:12
而且如果动态调用的时候出错明文匹配失败触发暗装 你赔给客户钱还是我赔?

我这个思路里没有暗桩啊，你要是再用别的保护系统即使真的动态调用出了错SEH也处理掉了触发什么暗桩。。。而且怎么可能动态调用出错，用户瞎HOOK SSDT玩？这分明是逆向者干的

longsui48

MAXtoDEATH 发表于 2018-8-25 18:48
我这个思路里没有暗桩啊，你要是再用别的保护系统即使真的动态调用出了错SEH也处理掉了触发什么暗桩。。 ...

别折腾了 写小的程序根本不需要这些 一个vmp足以 破了就破了
大的项目不是一个保护系统真的能全遮盖的 总有办法搞定你 又何必呢?
你打算用这个保护系统卖钱 卖多少?
没有利益的事 现在谁会去干?

坐久落花多

看不懂

是太技术了么

超级芳

看不懂  = =！