软件保护技术

本文已收录至《全国计算机等级考试——信息 安全技术》专栏

软件保护

软件保护技术其实是一个很大的概念，技术上分为很多不同的分支，主要包括加密、防篡改、软件水印、软件多样化、反逆向技术、虚拟机、基于网络的保护和基于硬件的保护等。

加密是指对软件的代码进行加密保护，使用代码前需要进行解密操作，是一种应用最广的软件保护技术，对代码进行加密，并在软件运行前解密就是所谓的加壳。加壳技术虽然源于加密技术但是后来由于其使用的广泛性，逐渐自成一派，而且综合使用了其它各种软件保护技术，可认为是软件保护技术的一种应用。

软件防篡改技术是指在软件中加入一些特殊的处理，使得其他人试图修改软件时，软件做出拒绝执行、随机崩溃或者删除自身文件等保护软件的行为。防篡改算法要完成两个基本任务，第一个是检查程序是否被修改，第二个是在发现代码被修改时执行相应的反制措施。防篡改技术在防止软件被盗版的过程中发挥了重要作用。

软件水印是指在软件中嵌入唯一的标识以证明开发者对软件版权的所有权，从而防止因软件被盗版损害开发者利益。

软件多样化是指一个软件可以生成不同的副本，让每个副本都各不相同以至于攻击者破解了软件的一个副本，不能用于其它副本，防止利用已知的漏洞进行攻击或者通过注册机进行盗版。

反逆向技术是指通过各种方式使攻击者无法获取和逆向程序的代码，又可进一步细分为反调试、代码混淆、自修改代码、代码分离等。

代码混淆主要的目的是保护软件中的一些重要信息不被轻易获得，通过一系列的混淆方法，使非软件开发方通过逆向工程获得软件源代码的难度增大、时间增长，从而达到保护软件结构和数据的目的。代码混淆对逆向工程的抵抗作用明显，作为加密技术的补充和发展，受到越来越多的关注。它的出现使得攻击者难以通过IDA等工具反汇编、反编译逆向分析出程序的源码或中间码，从而获得程序的逻辑和算法。

自修改代码是程序运行期间修改或产生代码的一种机制。自修改代码的根本原理在于应用了冯诺依曼计算机存储程序思想，指令和数据存储在同一个内存空间中，因此指令可以被视作数据被其他指令读取和修改。程序在运行时向代码段中写数据，并且写入的数据被作为指令执行，达到自我修改的效果。自修改保护机制是有效抵御静态逆向分析的代码保护技术之一，广泛应用于软件保护和恶意代码等领域。计算机病毒等恶意代码的作者通常采用该技术动态修改内存中的指令来达到对代码加密或变形的目的，从而躲过杀毒软件的检测与查杀，或者增加恶意代码逆向分析人员对代码进行分析的难度。

虚拟机的软件保护方法属于自修改代码的一种，近年来逐渐发展为一条独立的软件保护方法分支。虚拟机保护就是将某段程序编译成具有特定意义的一段代码，这段代码不能在目标机器上直接执行，要通过解释器模拟执行。虚拟机代码在可执行文件中只是一块数据，反汇编工具是不能反编译虚拟机代码的，因为虚拟机代码是在运行过程中解释执行的。解密者分析虚拟机的结构和执行流程，需要花费大量的时间和精力。虚拟机保护方法的局限性在于其设计机制复杂，开发成本较高，而且经过此方法保护的程序容量会大大增加，造成的时间和空间开销都很大。

反调试是指在软件中加入各种调试器和虚拟机的探测器，一旦发现程序被调试或者在虚拟机中运行离开采取退出或自毁等防护措施，避免程序被分析。

基于网络的保护和基于硬件的保护具有较高的保护强度，但是严重依赖环境。本专栏主要探讨通用的软件保护方法，所以不进行深入研究。

保护方法对比

软件保护强度和性能的开销（时间开销和空间开销）基本上是成反比的，也就是说保护强度约强，相应的开销也就越大。各种方法的具体实现各有不同，优化细节也各有好坏，除去这些要素不说，通常而言可以认为：

基于网络的保护和基于硬件的保护>虚拟机>动态混淆>静态混淆

这里的动态混淆主要指的是类似“自修改代码”的可以抵抗动态分析的软件保护方法。静态混淆主要指一般意义上的“代码混淆”和“软件加密（加壳）”等可以有效抵抗静态分析的软件保护方法。

注：这里讲的保护方法的对比是普遍意义上的，可以基本看作在“反逆向”这个指标上的。实际应用中，根据不同的需求应该采取不同的保护方法。比如，场景一：商业窃密者需要分析和提取软件中的某些关键函数从而盗取软件核心技术。场景二：游戏外挂制作者需要修改软件的内存或者改变一些指令从而改变软件的运行效果和执行逻辑，从而增加攻击力或者实现角色不死等效果。场景三：软件盗版者需要绕过软件的注册函数，强制执行爆破从而获利。以上不同的应用场景需要选取的软件保护手段当然不会相同，需要因地制宜。