【实训日志】7.18 日志

在软件开发和安全领域中，采用一系列的技术可以增强程序的安全性和隐蔽性。这些技术包括参数分离、动态调用、伪造图标与详细信息、伪造签名以及Shellcode加密等。

### 1. 参数分离

#### 1.1 使用参数分离传递文件路径与进程名

在编程中，参数分离是一种确保代码灵活性和安全性的方法。例如，在启动另一个进程或传递文件路径时，使用参数分离可以避免硬编码路径或进程名，从而使程序更易于维护和适应不同的环境。例如，在C语言中，通过`main(int argc, char *argv[])`函数接收命令行参数，可以灵活地从外部输入文件路径或指定要启动的进程名。

#### 1.2 使用参数分离实现功能模块

参数分离同样适用于实现功能模块的选择。例如，通过命令行参数（如`-I`用于显示信息，`-d`用于调试模式），用户可以根据需要启用或禁用特定的功能模块。这不仅增强了程序的可配置性，也使得程序能够以最小的资源消耗运行，同时减少潜在的安全漏洞。

### 2.  动态调用

#### 2.1 VirtualAlloc动态调用

`VirtualAlloc`是Windows操作系统提供的一个API，用于分配、保留或更改内存页的保护属性。动态调用`VirtualAlloc`意味着在程序运行时才去查找并调用这个API的地址，而不是在编译时就确定。这种做法可以防止反汇编工具轻易分析出程序的内部逻辑，增加了破解的难度。

#### 2.2 其他敏感API的动态调用

除了`VirtualAlloc`，还有许多其他敏感API，如`LoadLibrary`和`GetProcAddress`，它们常被用于动态加载和调用DLL中的函数。动态调用这些API可以避免静态分析工具快速定位到关键的代码段，从而增加逆向工程的复杂度。

### 3. 伪造图标与详细信息

在软件的用户界面设计中，伪造图标和详细信息是一种常见的混淆策略。通过修改可执行文件的资源部分，如图标、版本信息等，可以使恶意软件看起来像是合法的应用程序。这种伪装可以降低用户的警惕性，使他们更可能信任并运行软件。

### 4. 伪造签名

伪造签名是指在软件上添加虚假的数字签名，使其看似来自一个可信的开发者或公司。这通常涉及生成或窃取证书，并将其附加到软件上。虽然这种行为是非法的，但一些恶意软件作者会利用这种方法来绕过安全软件的检测，因为大多数安全软件会信任有有效数字签名的程序。

### 5. Shellcode（bin文件）加密

Shellcode是一段小的二进制代码，通常用于执行特定的任务，如创建后门或提升权限。为了防止被安全软件检测，Shellcode可以被加密，然后在运行时解密。这种方法使得Shellcode在磁盘上或在网络传输过程中不易被识别，增加了防御系统的检测难度。