文件加密与自毁长城

        文件加密软件是保护文件的,可是多数此类软件,也在无形中帮助了窃密者,否则可靠性要更高些。大家知道有一些利用软件自身运算能力的破解方式,穷举法、字典攻击、暴力破解都是这一类的,就是用试解的方式进行攻击。这样的文件加密软件,如果接受的正确的密码,就像锁一样啪的一声开了,并显示出与解密失败时完全不同的界面,这就让破解者省事了,只要拿不同的数据当作密码去试就行了,监视页面的变化就知道是否破解了,可以说这是一种漏洞,一种自毁长城的漏洞。因为如果解密成功与否程序的反应没有任何区别情况就大不一样了,窃密者需要自己判断解密是否成功,而对不同的文件对象这是个很难办到的事情,需要附加一些条件,才能判断。就是已知文件类型要判断也是个费时的事,所以不要给窃密者造成可乘之机对你的软件品质提升有好处的。
        另外如果形式上处理好了,将使窃密者难于得逞。就拿winrar举例来说,现在的情况是这样,用winrar加密的文件是.rar文件,当我用右键点击选中“解压文件”,将出现对话框让你输入释放文件的文件夹,完成后让你输入密码,密码正确将把解密后的文件放在那里,否则将出现密码错误的对话框。这样的形式适合窃密者高效率的破解操作。如果形式是这样:当我用右键点击.rar文件并选中“解压文件”时,出现密码输入框,输入完毕后程序原地对.rar文件解密但不解压,如果密码正确将得到不加密的.rar文件,如果密码错误将破坏掉原来的.rar文件,这样的好处是给暴力破解造成不能实施的麻烦,破解者需要不断拷贝被加密的.rar文件,需要判断解密是否成功,这种时间上的耗费将使其效率大大降低,最后只能望密兴叹了。
        有人担心,用户密码输入有误而将密文毁掉的问题。可以这样解决:输入框附加设置明码显示的切换(既可以观察密码,而不是只看到“*”),以便于用户检查密码,此时需要防止别人偷看,检查完毕要销毁或隐藏。关键密码必须重复输入一次。更保险的做法是,自动对密文备份以防不测。 

自毁程序是一些电脑高手编写的可执行代码,没有现成的。我给个代码你看一下,如果你能看懂就可以用了。面的代码由Gary Nebbett写就.Gary Nebbett乃是WINDOWS NT/2000 NATIVE API REFERENCE的作者.乃NT系统一等一的高手.下面就分析一些他的这段代码. 这段代码在PROCESS没有结束前就将启动PROCESS的EXE文件删除了. int main(int argc, char *argv[]) { HMODULE module = GetModuleHandle(0); CHAR buf[MAX_PATH]; GetModuleFileName(module, buf, sizeof buf); CloseHandle(HANDLE(4)); __asm { lea eax, buf push 0 push 0 push eax push ExitProcess push module push DeleteFile push UnmapViewOfFile ret } return 0; } 现在,我们先看一下堆栈中的东西 偏移 内容 24 0 20 0 16 offset buf 12 address of ExitProcess 8 module 4 address of DeleteFile 0 address of UnmapViewOfFile 调用RET返回到了UnmapViewOfFile,也就是栈里的偏移0所指的地方.当进入UnmapViewOfFile的流程时,栈里见到的是返回地址DeleteFile和HMODUL module.也就是说调用完毕后返回到了DeleteFile的入口地址.当返回到DeleteFile时,看到了ExitProcess的地址,也就是返回地址.和参数EAX,而EAX则是buffer.buffer存的是EXE的文件名.由GetModuleFileName(module, buf, sizeof buf)返回得到.执行了DeleteFile后,就返回到了ExitProcess的函数入口.并且参数为0而返回地址也是0.0是个非法地址.如果返回到地址0则会出错.而调用ExitProcess则应该不会返回. 这段代码的精妙之处在于: 1.如果有文件的HANDLE打开,文件删除就会失败,所以,CloseHandle(HANDLE(4));是十分巧妙的一手.HANDLE4是OS的硬编码,对应于EXE的IMAGE.在缺省情况下,OS假定没有任何调用会关闭IMAGE SECTION的HANDLE,而现在,该HANDLE被关闭了.删除文件就解除了文件对应的一个句柄. 2.由于UnmapViewOfFile解除了另外一个对应IMAGE的HANDLE,而且解除了IMAGE在内存的映射.所以,后面的任何代码都不可以引用IMAGE映射地址内的任何代码.否则就OS会报错.而现在的代码在UnmapViewOfFile后则刚好没有引用到任何IMAGE内的代码. 3.在ExitProcess之前,EXE文件就被删除了.也就是说,进程尚在,而主线程所在的EXE文件已经没了.(WINNT/9X都保护这些被映射到内存的WIN32 IMAGE不被删除.)
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值