許可權狗

許可權狗

許可權狗也有人叫"加密狗",形狀酷似隨身碟的一種硬體設備,正名加密鎖,後來發展成如今的一個軟體保護的通俗行業名詞,"加密狗"是一種插在計算機並行口上的軟硬體結合的加密產品(新型加密狗也有usb口的)。 另一種意思為網友對於論壇上、QQ群等胡亂刪帖封禁的管理員的諷刺性稱呼。

加密的狗

加密狗一般都有幾十或幾百位元組的非易失性記憶體存儲空間可供讀寫,較新的狗內部還包含了單片機。軟體開發者可以通過接口函式和軟體狗進行數據交換(即對軟體狗進行讀寫),來檢查軟體狗是否插在接口上;或者直接用軟體狗附帶的工具加密自己EXE檔案(俗稱"包殼")。這樣,軟體開發者可以在軟體中設定多處軟體鎖,利用軟體狗做為鑰匙來打開這些鎖;如果沒插軟體狗或軟體狗不對應,軟體將不能正常執行。

加密狗通過在軟體執行過程中和加密狗交換數據來實現加密的.加密狗內置單片機電路(也稱CPU),使得加密狗具有判斷、分析的處理能力,增強了主動的反解密能力。這種加密產品稱它為"智慧型型"加密狗.加密狗內置的單片機里包含有專用於加密的算法軟體,該軟體被寫入單片機後,就不能再被讀出。這樣,就保證了加密狗硬體不能被複製。同時,加密算法是不可預知、不可逆的。加密算法可以把一個數字或字元變換成一個整數,如DogConvert(1)=12345、DogConvert(A)=43565。

加密狗是為軟體開發商提供的一種智慧型型的軟體保護工具,它包含一個安裝在計算機並行口或 USB 口上的硬體,及一套適用於各種語言的接口軟體和工具軟體。加密狗基於硬體保護技術,其目的是通過對軟體與數據的保護防止智慧財產權被非法使用。

其實,要是以編程的思想來看,就是在一個小存儲工具里,添加了一個.KEY的檔案,這樣,先要訪問KEY才能訪問某些東西。

發展過程

許可權狗 也叫加密狗 許可權狗 也叫加密狗

隨著解密技術的發展,單片機加密狗由於其算法簡單,存儲空間小,容易被硬體複製等原因,正逐漸被市場所淘汰。以北京彩虹天地信息技術股份有限公司為首的國內加密狗廠商研發出穩定性更好、存儲空間更大(最大為64K)、有效防止硬克隆的第四代加密狗——“智慧卡”加密狗以其獨創的“代碼移植”原理,已經被國內大型商業軟體開發商如擎洲軟體、金蝶、用友、CAXA、廣聯達、神機妙算、魯班……所採用。

以世界上第一款智慧卡加密鎖——宏狗為例,簡單介紹一下“代碼移植”原理。

“代碼移植”加密原理為一種全新的、可信的軟體保護模型,工作原理為: 軟體中部分代碼經過編譯,“移植”到加密鎖硬體內部,軟體中沒有該段代碼的副本。

在這套軟體保護方案中,PC端套用軟體的關鍵的代碼和數據“消失”了,被安全地移植到精銳IV型加密鎖的硬體中保護起來。在需要使用時,套用軟體可以通過功能調用引擎來指令精銳IV運行硬體中的關鍵代碼和數據並返回結果,從而依然可以完成整個軟體全部的功能。由於這些代碼和數據在PC端沒有副本存在,因此解密者無從猜測算法或竊取數據,從而極大程度上保證了整個軟體系統的安全性。簡言之,精銳IV提供了一套可信的解決方案,從理論上保證軟體加密的安全。

程式語言

加密狗可以保護的程式語言是隨著計算機的硬體及作業系統的發展而不斷變化的。

上世紀80年代,個人計算機主要為AT、286等機型。個人機的作業系統主要是DOS,企業伺服器的作業系統主要使用Novell的Netware。開發加密狗保護軟體的工程師需要通過修改DOS的INT21、INT10方法加密DOS下的EXE檔案,或者通過提供特定的API的方法,為Turbo C、Fortran、basic等程式語言提供加密。某些時候開發加密狗保護軟體的工程師使用可能會使用DOS的DEBUG直接編寫.COM檔案。

此後個人機的作業系統經歷了Windows、Windows 95 、Windows2000、Windows NT、XP等升級換代,保護EXE檔案的手段也從DOS駐留程式,變為編寫VXD、SYS等方法。程式語言也涵蓋了:MASM、Turbo C、VC、Watcom C for NetWare、Watcom C for x86、NDP C for x86、NDP FORTRAN、Visual Foxpro、Clipper、LISP for AutoCAD等數十種。

隨著加密狗硬體處理能力的不斷增強,計算機USB連線埠的普及,對軟體的保護逐漸開始依賴於通用的加密算法,而不再只依賴於加密軟體的加密編程技巧。使用動態程式庫、控制項等方式已經可以滿足大部分編程工具軟體的保護需求。加密狗廠家也就從逐一為不同的編程工具軟體定製API中解放出來了。

使用維護

解密技術排除法律和道德因素,就從學術角度來說是門科學。它與加密技術一樣是相輔相成不斷提高。  以下就針對使用加密狗(加密鎖)進行硬體保護談談幾點心得:

使用加密狗

硬體複製:複製硬體,即解密者複製Sentinel Superpro相同的加密鎖。由於加密鎖採用了彩虹公司專用的ASIC晶片技術,因此複製該加密鎖非常困難,且代價太大。

監聽:解密者利用並口監聽程式,進行解密,其工作機制是:  監聽程式,記錄應用程式對並口發的查詢串和加密鎖發回的回響串。當移去加密鎖時,如果程式再對並口發查詢串確認身份時,監聽程式返回所記錄的回響串。程式認為加密鎖仍然在並口上,是合法用戶繼續運行,應用程式也就被解密了。

印表機共享器:將加密鎖插在印表機共享器上,多台計算機共同使用印表機共享器上的一把加密鎖。(後面簡述對抗策略)

DEBUG:解密者DEBUG等反編譯程式,修改程式原始碼或跳過查詢比較。應用程式也就被解密了。

1.

硬體複製:複製硬體,即解密者複製Sentinel Superpro相同的加密鎖。由於加密鎖採用了彩虹公司專用的ASIC晶片技術,因此複製該加密鎖非常困難,且代價太大。

2.

監聽:解密者利用並口監聽程式,進行解密,其工作機制是:  監聽程式,記錄應用程式對並口發的查詢串和加密鎖發回的回響串。當移去加密鎖時,如果程式再對並口發查詢串確認身份時,監聽程式返回所記錄的回響串。程式認為加密鎖仍然在並口上,是合法用戶繼續運行,應用程式也就被解密了。

3.

印表機共享器:將加密鎖插在印表機共享器上,多台計算機共同使用印表機共享器上的一把加密鎖。(後面簡述對抗策略)

4.

DEBUG:解密者DEBUG等反編譯程式,修改程式原始碼或跳過查詢比較。應用程式也就被解密了。

幾種加密策略

1、針對上述監聽和DEBUG問題解密方法,本人推薦充分利用加密狗開發商的API函式調用的加密策略:  a、 針對並口監聽程式

1)對加密鎖進行算法查詢

正確的查詢回響驗證:用戶生成大量查詢回響對,如200對。在程式運行過程中對激活的加密算法單元隨機的傳送在200對之中的一對“345AB56E”―――“63749128”。查詢串“345AB56E”,哪么算法單元返回的下確的回響串應該是“63749128”,若是,則程式認為加密鎖在並口上,是合法用戶,繼續運行,反之終止程式。

隨機非激活算法驗證:我們對非激活的加密鎖算法單元發隨機生成的查詢串,如:“7AB2341”,非激活算法單元只要是有查詢就會有回響串。因此返迴響應串“7AB2341”,在程式中判斷回響串與查詢串是否相同,如果相同,則證明我們的加密鎖仍然在口上。繼續運行程式。

隨機激活算法驗證:假設監聽程式了解了上面的機制。即對非激活的加密算法我們發什麼查詢串則返回相同的回響串。哪么我也有對策。對激活的加密算法單元發隨機生成的查詢串,如:“345AB56E”由於是激活算法回響串肯定與查詢串肯定不等。所以假如返迴響應串“7253ABCD”,在程式中判斷回響串與查詢串是否不同,如果不同,則證明我們的加密鎖仍然在並口上,繼續運行程式。

1.

正確的查詢回響驗證:用戶生成大量查詢回響對,如200對。在程式運行過程中對激活的加密算法單元隨機的傳送在200對之中的一對“345AB56E”―――“63749128”。查詢串“345AB56E”,哪么算法單元返回的下確的回響串應該是“63749128”,若是,則程式認為加密鎖在並口上,是合法用戶,繼續運行,反之終止程式。

2.

隨機非激活算法驗證:我們對非激活的加密鎖算法單元發隨機生成的查詢串,如:“7AB2341”,非激活算法單元只要是有查詢就會有回響串。因此返迴響應串“7AB2341”,在程式中判斷回響串與查詢串是否相同,如果相同,則證明我們的加密鎖仍然在口上。繼續運行程式。

3.

隨機激活算法驗證:假設監聽程式了解了上面的機制。即對非激活的加密算法我們發什麼查詢串則返回相同的回響串。哪么我也有對策。對激活的加密算法單元發隨機生成的查詢串,如:“345AB56E”由於是激活算法回響串肯定與查詢串肯定不等。所以假如返迴響應串“7253ABCD”,在程式中判斷回響串與查詢串是否不同,如果不同,則證明我們的加密鎖仍然在並口上,繼續運行程式。

上面三種加密策略在程式同時使用,相符相承,相互補充。即使監聽程式記錄下來我們的部分查詢回響。

2) 分時查詢:用戶把查詢回響對分組,如120對分為4組。每30對一組。頭三個月使用第一組,第二個月三個月使用第二組以此類推,監聽程式就算記錄了頭三個月。第二個月三個月以後程式仍然無法使用。  也可以再生成100對“臨時委員”,每次運行隨意抽出1對與以上分組結合使用。使記錄程式在三個月內也無法記錄完全。程式也無法使用。

3) 隨機讀寫存儲單元:為了防監聽程式。我們的策略是:程式在啟動時,我們利用隨機函式隨機生成的一個數,假設是“98768964”。我們在指定的18#單元寫入這個數。哪么我們在程式運行中,每調用一個功能程式前讀取18#單元,數判定是否是我們寫入的數“98768964”。因為每次寫入的數是隨機生成的,所以監聽程式記錄不到當次啟動時寫入的隨機數,它返回的數肯定是一個不匹配的數。我們就可以就此判定是否是合法用戶。Sentinel Superpro加密鎖可以重複寫10萬次以上。也就是說每天寫三次也可以使用一百年。

2、 針對列印共享器的加密策略

為了防列印共享器。我們的策略是:程式在啟動時,我們利用隨機函式隨要生成的一個數,假設是“7762523A”。我們在指定的34#單元寫入這個數。哪么在程式運行中,每調用一個功能程式前讀取34#單元,以判定是否是我們寫入的數“7762523A”。以此判定是否是合法用戶。因為每次寫入的數隨機生成的,同時使用列印共享器的其他非法用戶的程式一進入也會寫入一個不同的隨機數。那么第一個用戶的程式在校驗是否是第一個用戶寫入的數時,就會被認為是非法的用戶。所以在一個階段也只是一個程式使用。(例如RAINBOW公司開的Sentinel Superpro加密鎖可以重複10萬次以上。也就是說每天寫三次也就可以使用一百年。)

3、 針對DEBUG跟蹤的加密鎖的安全策略

1)分散法:針對DEBUG跟蹤。在調用每個重要功能模組前,我們建議要對加密鎖進行查詢,校驗身份。如果只在程式開始部分校驗身份,DEBUG跟蹤程式部分可以輕易的跳過校驗部分,而一些不良用戶可以在驗證後可以將加密鎖拔下用在其它計算機。

2)延時法:針對某一具體查詢校驗,都有三步驟:

查詢得到回響串

比較回響串和查詢串是否匹配

執行相應的步驟

1.

查詢得到回響串

2.

比較回響串和查詢串是否匹配

3.

執行相應的步驟

我們建議以上三個步驟要延時執行。最好鞀三步驟相互遠離些,甚至放到不同的子程式或函式中。例如:我們執行“查詢得到回響串” 後,相隔50執行“比較回響串和查詢串是否匹配”。假如程式需要調用一個函式。哪么我們就在這個函數裡執行“執行相應的步驟”。這樣程式更難於被破解。

3)整體法:將回響串作為程式中數據使用。

例如:我們有返回值“87611123”,而我們程式需要“123”這個數。我們可以讓“87611123”減去“8761000”得到“123”。這樣以來任何對加密程式的修改都會使程式紊亂。

4)迷惑法:一般情況下我們的程式執行相應的驗證步驟。驗證是非法用戶就會退出。這樣很容易被發現代碼特徵。我們知道是非法用戶後繼續執行一些無用的操作使程式紊亂。以迷惑解密者。

以上為現如今軟體開發商使用硬體加密狗(加密鎖)進行軟體保護時可以使用的幾種切實可行的幾種加密策略。

相關詞條

熱門詞條

聯絡我們