Защита программ

         

Анализ средств преодоления систем защиты программного обеспечения


, Движение ПОтребитель

В работе рассмотрены вопросы анализа и классификации средств преодоления систем программной защиты ПО. Приведены функциональные возможности и способ применения конкретных видов программных средств. Описаны угрозы системам защиты ПО. По результатам проведенного анализа предметной области сделаны общие выводы о характере применения систем защиты ПО.



Проблемы защиты авторских прав на программное обеспечение в области контроля над его использованием и дальнейшим распространением в настоящее время принято решать при помощи программно-технических средств - систем защиты ПО. Анализ и классификация подобных средств приводятся в [ и др.]. В то же время для обхода и отключения подобных систем защиты существует множество инструментальных средств. Возникает задача сопоставить возможности средств защиты ПО (СЗПО) с возможностями средств их преодоления. Результаты такого анализа будут полезны для оценки рисков при производстве программных продуктов, а так же планировании и оценке уровня стойкости систем защиты ПО.

В рамках исследования проблем защиты программного обеспечения можно рассматривать три следующих глобальных вопроса:

1. Что защищать?

Вопрос связан с классификацией ПО и оценкой возможностей по защите ПО.

2. Как защищать?

Вопрос связан с анализом и классификацией мер и средств защиты ПО.



3. От чего защищать?

Вопрос связан с анализом и классификацией угроз ПО и средств их реализации.

Если первые два вопроса в настоящее время освещены хотя бы частично, третий вопрос представляет собой серьезное "белое пятно" в области исследований в сфере защиты ПО, хотя определенные исследования по этой теме велись []. С другой стороны, без четкого понимания угроз безопасности ПО и возможностей средств реализации подобных угроз сложно вообще говорить об эффективной защите программного обеспечения, что подтверждается существующей практикой в области защиты информационных систем. Следовательно, для серьезного исследования вопросов защиты ПО необходимо осуществить анализ и классификацию средств реализации атак на программное обеспечение.


Данная работа является попыткой осветить вышеописанные вопросы и рассматривает технические (программные) средства преодоления СЗПО.

Следует сразу отметить, что лишь малая часть из рассматриваемых типов программного обеспечения является специфическими программными средствами, предназначенными для несанкционированного отключения систем защиты ПО. Большинство же указанных средств относится к системному программному обеспечению и рассматривается как "инструментарий злоумышленника" в силу двойственности технологий.

В настоящее время существуют лишь неформальные классификации средств преодоления СЗПО, они основываются на традиционно сложившемся разделении программных средств в предметной области и в силу этого являются не совсем полными и частично противоречивыми.

В данной работе предлагается классификация по функциональному признаку (она частично совпадает с "традиционной" классификацией средств преодоления СЗПО), в ее рамках средства упорядочены по степени сложности и стадии анализа исследуемого ПО.


Программы-каталогизаторы, или файловые оболочки ОС.


В стандартные возможности таких программ входят функции просмотра атрибутов файлов (тип, дата создания/модификации, размер, флаги доступа и др.), подсчета их количества и общего объема в каталоге приложения, просмотра файлов и т.п. При помощи этого типа программных средств, как правило, реализуется предварительный анализ защищенных продуктов и первичная локализация СЗПО.



Примером подобного использования может быть сравнение дат создания всех файлов в каталоге установленного приложения (или системном каталоге). В случае использования системой защиты каких-либо динамических библиотек разница в датах их создания позволит легко локализовать файлы, относящиеся к СЗПО (как правило, даты создания "рабочих" файлов пакета совпадают, дата создания модулей СЗПО отличается от них, так как СЗПО часто поставляются отдельно как внешняя библиотека).

Аналогичным же образом локализуются и файлы, хранящие счетчики количества запусков ПО, даты этих файлов постоянно обновляются. А при помощи обычного текстового просмотра объектного модуля можно довольно легко определить тип и производителя СЗПО, так как обычно эта информация включается в тело защищенного модуля самой СЗПО.



Программы копирования областей ОЗУ в ВЗУ (Memory Dumpers)


Указанный тип программных средств предназначен для сохранения областей оперативной памяти, в том числе памяти выполняемых программ, на диск. В рамках исследования СЗПО данные средства позволяют произвести принудительное сохранение образа памяти защищенного приложения.

В случае использования механизмов шифрования/упаковки объектного кода защищаемого ПО, сохранение памяти активного процесса ОС позволяет получить копию (незначительно модифицированного загрузчиком ОС) кода защищаемого ПО в "открытом виде". В результате таких действий возможно либо сразу получить экземпляр незащищенного программного продукта, либо получить важную для дальнейшего анализа СЗПО информацию.

Очень большое число "защищенных" программных продуктов представляет собой упакованные и/или зашифрованные объектные модули без какой-либо серьезной внутренней алгоритмической защиты ПО.



Программы - мониторы активных задач, процессов, потоков и окон (Process/Windows Managers)


Указанный тип программных средств предназначен для отслеживания и управления объектами ОС (задачами, процессами, потоками, окнами и др.). Подобные программы обычно предоставляют возможности поиска необходимого объекта ОС, переключения на него управления, изменения его приоритета, уничтожения объекта, сохранения его параметров (а иногда и содержимого) на диске.

Применение мониторов задач дает возможность производить анализ модульной структуры СЗПО. Подобный анализ позволяет выяснить подробности организации СЗПО во время ее работы. Список динамически загружаемых процессом библиотек, данные о количестве создаваемых и уничтожаемых приложением потоков и окон, поведение ППр при попытке принудительно завершить процесс, содержащий СЗПО, позволяют существенно дополнить картину анализа функционирования системы защиты.



Программы - мониторы файловой системы (File Monitors)


Этот тип ПО позволяет отслеживать изменения, происходящие в файловой системе при запуске определенных программ. В большинстве таких программ предусмотрена система фильтров для формирования протоколов работы отдельных приложений. При помощи данного типа средств реализуется анализ работы СЗПО с файлами.

Например, подобные программы позволяют выяснить, что именно и где изменяют распознанные на этапах первичного и вторичного анализа модули СЗПО, либо определить модуль, производящий изменения в определенном файле. Эта информация позволяет точно локализовать счетчики количества запусков ПО, скрытые файлы систем "привязки" ПО, "ключевые файлы", файлы с информацией о функциях ПО, разрешенных для использования в рамках данной лицензии на продукт и т.п., а также модули и конкретные процедуры СЗПО, работающие с этими данными.



Программы - мониторы конвейеров


Средства данного типа предназначены для отслеживания сообщений, данных и вызовов подпрограмм, которыми обмениваются объекты ОС. Применение мониторов сообщений позволяет производить анализ межмодульного взаимодействия в рамках СЗПО (более специфично для ОС семейства Windows).

В результате такого анализа получается информация о протоколах обмена данными между различными частями системы защиты, условиях ее срабатывания и отключения, динамике функционирования защиты.



Программы - мониторы обмена данными с системными устройствами (портами) (Port Monitors)


В современной архитектуре ОС доступ ко всем системным устройствам (их контроллерам) осуществляется через т.н. "порты ввода/вывода". Все современные ОС виртуализируют эти порты, организуя таким образом совместный доступ нескольких приложений к одному и тому же порту (используя механизм очереди), а также осуществляя контроль доступа к портам в целях обеспечения безопасности ОС. Использование этого типа программных средств позволяет проводить анализ взаимодействия СЗПО с системными устройствами. Контролируя доступ и обмен данными через порты ввода/вывода программной и аппаратной частей СЗПО, можно анализировать и преодолевать механизмы таких типов защит, как СЗПО с электронными ключами, СЗПО с ключевыми дисками и СЗПО "привязки" к ЭВМ пользователя. См.



Программы - мониторы сетевого обмена данными (Network Traffic Monitors)


Рассматриваемый тип программ предназначен для отслеживания сетевой активности приложений в рамках ОС. Как правило, такие программы позволяют фильтровать/выделять приложения или сетевые соединения по вводимым критериям. Использование сетевых мониторов позволяет проводить анализ сетевого обмена СЗПО.

Целый ряд современных программных продуктов реализует проверку аутентичности пользователя путем запроса данных о состоянии лицензии для данной рабочей станции с "сервера лицензий" в ЛВС. Также в последнее время появились программные продукты, проверяющие аутентичность пользователя или срок своего использования через Интернет. Кроме указанных видов ПО, существуют также условно бесплатные программные продукты (ППр), в которых временные или функциональные ограничения заменены обязательным просмотром рекламной информации, получаемой через Интернет. Отслеживая сетевой обмен подобных ППр, можно анализировать механизмы систем их защиты.



Программы - мониторы системных файлов ОС (Registry Monitors)


Программные средства этого типа предназначены для отслеживания изменений, вносимых приложениями в конфигурационные файлы ОС. В рассматриваемом контексте данные программы позволяют реализовать анализ работы СЗПО с системными файлами (более специфично для ОС семейства Windows).

Рассматриваемые средства позволяют определять, работает ли СЗПО с файлами конфигурации ОС, какие изменения она туда вносит и какие данные использует. В результате подобного анализа становится возможным обнаружить скрытые счетчики количества запусков ПО, сохраненные даты первой установки ПО на ЭВМ пользователя, записи с лицензионными ограничениями функциональности ПО и т.п. Такой анализ дает результаты, подобные результатам анализа работы СЗПО с файлами.



Программы - мониторы вызовов подпрограмм ОС (API Monitors)


ПО этого типа предназначено для отслеживания вызова системных функций одним или несколькими приложениями с возможностью фильтрации/выделения групп отслеживаемых системных функций или приложений. Применение таких программ позволяет проводить анализ использования СЗПО системных функций.

Учитывая, что все действия ПО (и СЗПО), связанные с работой с файловой системой, работой с конфигурацией ОС, реализацией диалога с пользователем, работой с сетью и многим другим, реализуются посредством вызова функций ОС. Анализ использования СЗПО системных функций позволяет довольно подробно изучить механизмы работы систем защиты, найти их слабые места и разработать пути их обхода.

Например, практически все современные системы защиты от копирования оптических дисков базируются на довольно небольшом наборе системных функций по работе с данным видом накопителей информации, отслеживание этих функций позволяет найти и нейтрализовать механизмы проверки типа носителя внутри СЗПО.



Программы перехвата и протоколирования клавиатурного ввода (Keyboard Loggers)


Данный тип программных средств предназначен для сохранения информации, введенной в ЭВМ с клавиатуры в специальные файлы протокола, возможна фильтрация сохраняемых данных по дополнительно вводимым критериям. "Клавиатурные шпионы" никак не связаны с анализом СЗПО, но предоставляют возможность осуществить незаконное получение ключа регистрации/пароля к ПО, защищенному парольной СЗПО.



Программы побайтового копирования


Данный тип программных средств предназначен для создания максимально точных копий физической структуры носителей данных без учета их логической структуры. Обычно подобные программы предоставляют возможность сохранения таких "слепков" в виде файлов на диске. При помощи приведенного типа средств реализуется преодоление СЗПО от копирования, СЗПО с ключевыми дисками и СЗПО с "привязкой" к компьютерной системе пользователя (к жесткому диску).

В настоящий момент чрезвычайно популярными являются СЗПО от копирования для компьютерных игр, распространяемых на оптических дисках формата CD и Sony PS. Не меньшей популярностью пользуются и средства побайтового копирования оптических дисков (для создания "пиратских" дисков) и средства сохранения содержимого оптических дисков в виде файлов на жестких дисках (для получения возможности использования ПО, не занимая накопитель).



Программы поиска файлов и текстовых и двоичных последовательностей в текстовых и двоичных файлах.


Данный тип программ позволяет производить поиск заданной последовательности (маски поиска) в одном или сразу нескольких файлах с выдачей результатов в виде списка смещений относительно начала файла, по которым был найден искомый фрагмент; а также всех файлов, удовлетворяющих определенному критерию или содержащих вышеописанную последовательность. При помощи указанных средств реализуется вторичный анализ СЗПО и локализация ключевых фрагментов СЗПО.

Обычно средства файлового поиска используются для следующих целей: поиска известных сигнатур СЗПО в объектных модулях; поиска строк с сообщениями СЗПО (например, "Программа не зарегистрирована!" или "Спасибо за регистрацию!"), поиска файлов СЗПО с известными именами/сигнатурами.

Первый и последний виды использования рассматриваемого типа ПО ориентированы на отыскание стандартных элементов СЗПО, исследованных ранее и адаптации "типовых решений" к исследуемой версии СЗПО. Второй вид использования поисковых программ ориентирован на локализацию процедур СЗПО, отвечающих за идентификацию и аутентификацию легального пользователя ПО.

Большинство СЗПО реализует в процессе своей работы диалог с пользователем (как минимум на уровне сообщений об ошибках), локализация элементов этого диалога позволяет довольно легко локализовать "ядро" СЗПО, а иногда даже определить пароль легального пользователя.



Программы - распаковщики/дешифраторы (Unpackers/Decryptors)


Средства распаковки/дешифрации объектных модулей позволяют получать копии указанных модулей в том виде (или близком к таковому), в каком они были до их упаковки/шифрации. По функциональному содержанию эти программы близки к средствам сохранения областей ОЗУ на диске, но данный тип программных средств, во-первых, отличается высокой специализацией (то есть направленностью на какой-то один тип или класс средств упаковки/шифрации), а во-вторых, не всегда требует загрузки обрабатываемого объектного модуля в ОЗУ как процесса ОС.

При использовании подобных программ реализуется преодоление СЗПО пакующего или шифрующего типа. Как правило, распаковка/дешифрация защищенных объектных модулей ПО производится для получения возможности более глубокого дальнейшего анализа СЗПО.



Программы симуляции аппаратных


Программы симуляции аппаратных средств предназначены для создания виртуальных устройств, необходимых для функционирования ПО типов, а также обеспечения доступа к ним как к реальной аппаратуре.

Применение подобного ПО к защищенным программным продуктам делает возможным преодоление: СЗПО от копирования, СЗПО с электронными ключами, СЗПО с ключевыми дисками, СЗПО с "привязкой" к ЭВМ пользователя и СЗПО с ключевыми файлами и парольных СЗПО с авторизацией через сеть. Использование данного типа ПО также является совершенно легальным.



Программы восстановления удаленных файлов (Unerase/Undelete Utilities)


Подобные программные средства предназначены для восстановления файлов, которые были (ошибочно) удалены из доступной пользователю области файловой системы ОС и не были еще перезаписаны новыми данными.

Применение программ указанного типа к СЗПО позволяет принудительно восстанавливать временные файлы СЗПО, использованные ими в процессе работы; восстанавливать в полном объеме распакованные и частично удаленные дистрибутивы ПО и временные файлы ОС. Так реализуется повторное использование объектов СЗПО. Например, ряд СЗПО производит распаковку/дешифрацию объектных модулей ПО в специальные временные файлы, которые затем запускаются на выполнение, а после отработки стираются. Восстановление таких файлов позволяет преодолеть защиту ПО.



Средства декомпиляции объектных модулей ПО (Decompilers)


Декомпилирующие программы сходны дизассемблерам и даже иногда их используют в качестве своих подпрограмм. Задачей, стоящей перед данным типом программных средств, является "детрансляция" объектных модулей из машинного кода в исходный код на языке высокого уровня. Применение декомпиляторов к исследуемому ПО реализует статический анализ алгоритмов СЗПО по исходному коду.

Большинство существующих современных декомпиляторов ориентировано на обработку объектных модулей, написанных на языках интерпретирующего типа (FoxPro, Clipper, Visual Basic, Java), декомпиляторы для языков компилирующего типа встречаются крайне редко и обладают ограниченными возможностями в силу технических особенностей процесса компиляции.

Декомпиляция ПО дает доступ к его исходному коду (или его эквиваленту) и позволяет полностью распоряжаться программным продуктом, включая внесение в него функциональных изменений и повторную компиляцию.



Средства дизассемблирования объектных модулей ПО (Disassemblers)


Программы этого типа предназначены для "детрансляции" объектных модулей из машинного кода в мнемокод ассемблера. При применении средств дизассемблирования производится статический анализ алгоритмов СЗПО по мнемокоду.

Получение доступа к мнемокоду СЗПО дает превосходную возможность детального анализа программного и алгоритмического исполнения процедур СЗПО, а также нахождения конкретных путей обхода или модификации ключевых фрагментов СЗПО. Иногда появляется возможность использования элементов СЗПО во вновь создаваемых средствах их преодоления.



Средства генерации паролей и серийных ключей (Key Generators)


Средства подобного типа используются для генерации ключевых последовательностей, удовлетворяющих критериям используемых в СЗПО криптоалгоритмов. Указанный тип средств реализует преодоление парольных СЗПО, а также СЗПО с электронными ключами и ключевыми файлами.

Программы-генераторы различных ключей, кодов возврата и т.п., как правило, являются результатом предварительно проведенного криптоанализа СЗПО и позволяют получать "подходящие" к СЗПО значения ключей для "легального" отключения СЗПО.



Средства криптоанализа (Password Crackers/Bruteforcers)


Указанный тип программных средств предназначен для анализа и преодоления систем криптографического закрытия информации. Обычно в них реализуется несколько видов атак на шифры: атака с использованием известного открытого текста, исчерпывающий перебор, направленный перебор с эвристикой, перебор по словарю. Используя подобные средства, можно производить криптоанализ СЗПО с шифрацией и парольных СЗПО.

Так как объектные модули ПО состоят из инструкций машинного кода и последовательность таких инструкций иногда возможно предугадать, в ряде случаев возможно произвести атаку по известному открытому тексту, а также ряд других атак для преодоления СЗПО, использующих методы шифрации.



Средства ОС по контролю доступа к программам и данным (Access Rights Managers)


Средства обеспечения контроля и разделения доступа к данным и приложениям являются одной из основополагающих частей системы безопасности ОС. Данный тип программных средств, как правило, основывается на так называемой "матрице доступа", создаваемой администратором системы. Эта матрица содержит права на доступ к системным ресурсам различных категорий пользователей и прикладных программ (то есть пользователь трактуется как один из процессов ОС).

Применение подобных средств к защищенному ПО реализует системный мониторинг СЗПО. В частности, в ОС Windows NT, например, возможно блокирование доступа к файлам с данными СЗПО или доступа к файлам системной конфигурации (ключам реестра), блокирование созданных СЗПО временных файлов и т.п.

Как уже было отмечено выше, практически все перечисленные программные средства относятся к обычному пользовательскому или системному программному обеспечению. К "незаконным" средствам можно частично отнести лишь средства протоколирования клавиатурного ввода, средства статической модификации файлов и средства генерации серийных номеров ПО. В то же время даже эти типы программных средств способны использоваться (и реально используются) в областях, никак не относящихся к исследованию и преодолению СЗПО и нарушению авторских прав. Средства протоколирования клавиатурного ввода используются для обработки нажатий комбинаций клавиш в рамках функционирования пользовательских интерфейсов ПО, а также систем компьютерного обучения. Кроме того, они могут использоваться для архивирования всей информации, набранной с клавиатуры, с целью восстановления утерянной при сбое информации.

Средства модификации файлов используются в большом количестве областей, например, для оперативной модификации собственных программных проектов, служебных файлов и др.

Средства же генерации ключевых последовательностей могут легально использоваться для восстановления утерянной легальным пользователем ключевой информации (в случае отказа со стороны владельца авторских прав) либо в образовательных целях.


Таким образом, можно утверждать, что необдуманное запрещение использования перечисленных типов ПО (по аналогии с вредоносными программами) будет неэффективной мерой, так как повлечет за собой серьезные трудности либо полную невозможность использования ПО, необходимого для нормального функционирования компьютерных систем. Естественно, подобное запрещение неТаким образом, можно утверждать, что необдуманное запрещение использования перечисленных типов ПО (по аналогии с вредоносными программами) будет неэффективной мерой, так как повлечет за собой серьезные трудности либо полную невозможность использования ПО, необходимого для нормального функционирования компьютерных систем. Естественно, подобное запрещение не будет соблюдаться на практике из-за его невыполнимости.

Возможно законодательное запрещение "нецелевого использования" приведенных типов ПО, но на законодательном уровне практически невозможно регламентировать "целевые" и "нецелевые" виды использования ПО, что ведет к практической неприменимости (или высокой сложности и неоднозначности применения) подобных законодательных норм.

Из всего вышеперечисленного можно сделать вывод, что одни только технические меры защиты ПО, даже с учетом их законодательной поддержки, не способны обеспечить надлежащий уровень безопасности защищаемых программных продуктов. Следовательно, необходим более комплексный подход к защите ПО, с учетом многих других аспектов распространения, реализации и использования программного обеспечения.



Использованная литература:

Середа С.А. Материалы Международной конференции IPSIT'99, 1999. Середа С.А. Материалы Международной конференции аспирантов при Экономической Академии Республики Молдова, 1999. Материалы узла Fravia's Pages of Reverse Engineering. или

Защита программного обеспечения. Под ред. Д. Гроувера: Пер с англ. - М., Мир, 1992. Сяо Д., Керр Д., Мэдник С. Защита ЭВМ: Пер с англ. - М., Мир, 1982. Черней Г.А., Охрименко С.А., Ляху Ф.С. . - Кишинев, Ruxanda, 1996. Гудман С., Хидетниеми С.Введение в разработку и анализ алгоритмов: Пер с англ. - М., Мир, 1981. Расторгуев С.П. Программные методы защиты информации в компьютерах и сетях. - М., Яхтсмен, 1993. Щербаков А. Защита от копирования. - М., ЭДЕЛЬ, 1992.


Средства отладки объектных модулей (Debuggers)


В состав стандартных функций отладчиков входят возможности пошагового выполнения объектного кода, установки точек останова (в т.ч. срабатывающих по условию), просмотра объектного кода ПО в дизассемблированном виде, изменения последовательности выполнения объектного кода, редактирования памяти отлаживаемого процесса, отслеживания изменения данных процесса и др.

В рамках исследования СЗПО использование отладчиков реализует

динамический анализ алгоритмов СЗПО. Преодоление практически любой СЗПО в большинстве случаев невозможно без использования отладочных средств. При этом большая часть отладочных функций реализуется в архитектуре центрального процессора ЭВМ.



Средства пакетной обработки команд (Batch Processors/Script Engines)


Данный тип программных средств позволяет выполнять (последовательно или параллельно) сразу целый набор команд, предварительно заданный пользователем. В рамках пакетов заданий поддерживаются операторы цикла и ветвления. Подобные средства позволяют осуществлять создание виртуального окружения на время работы СЗПО.

Условно бесплатные ППр доступны для использования до их приобретения как такового. Как правило, такие продукты содержат ограничения по времени их использования, числу запусков либо функциональному наполнению. При помощи средств пакетной обработки команд возможно создание необходимого программного окружения (установка системной даты, изменение файлов данных СЗПО, изменение параметров ОС и др.) до запуска защищенного ПО с возможностью возврата к предыдущему состоянию окружения по завершении работы ППр.



Средства поиска и замены текстовых


Функционально такие программные средства предназначены для оперативного и простого внесения желаемых изменений в один файл или группу файлов. Многие подобные средства могут производить поиск по заданной маске.

При помощи средств поиска и замены выполняется статическая модификация кода СЗПО. Как правило, модификация СЗПО с целью лишения ее функциональности состоит в замене нескольких байт объектного кода. В то же время существуют СЗПО, для дезактивации которых требуется модификация большого числа (иногда непостоянных) последовательностей байт, что становится возможным при использовании этого типа программ.



Средства редактирования "ресурсов" объектных модулей (Resource Editors)


Подобные программы используются для редактирования текстовых, диалоговых, графических, аудио-, видео- и других ресурсов, содержащихся в области данных объектных модулей ПО. В рамках исследования СЗПО подобные средства позволяют производить редактирование ресурсов СЗПО.

Как правило, содержимое всех пунктов меню интерфейса программы, все текстовые сообщения и диалоги, выдаваемые программой, графические элементы интерфейса и др. содержатся в секции ресурсов области данных объектного модуля. Модификация этих ресурсов позволяет изменить интерфейс программы, в том числе активировать отключенные в рамках данной лицензии на ПО пункты меню, предотвратить выдачу приложением предупреждающих надписей о необходимости приобретения ПО, изменить диалоги и т.п. Иногда в текстовых ресурсах содержатся пароли/серийные номера защищенного ПО.



Средства симуляции центрального процессора и подпрограмм ОС (CPU/API Emulators)


Программы указанного типа производят виртуализацию центрального процессора ЭВМ и/или определенных функций ОС на время выполнения одного или группы приложений.

Данные средства реализуют изменение процесса выполняемой СЗПО. Симуляторы процессора или сервисов ОС производят предварительный анализ инструкций процессора или вызовов функций операционной системы и затем обрабатывают и выполняют (или игнорируют) их в соответствии с заложенными заранее правилами.



Средства симуляции операционных систем или ЭВМ целиком (OS/PC/Mac/... Emulators)


ПО этого типа предназначено для обеспечения выполнения приложений, созданных для одной программной/аппаратной платформы, на другой платформе. Большая часть подобных программ предоставляет также и отладочные возможности (сопоставимые с возможностями аппаратной отладки, а иногда и превосходящие их по функциональности).

Применение указанного типа программных средств к защищенному ПО позволяет осуществлять преодоление СЗПО произвольного типа.

Симуляторы ОС производят динамический анализ вызовов системных функций обрабатываемого приложения, их конверсию в вызовы текущей ОС и обратную конверсию кодов возврата в коды симулируемой ОС. Симуляторы процессоров делают то же самое, но на уровне машинного кода процессоров.

Несмотря на совершенно "мирные" цели, заключающиеся в обеспечении переносимости приложений между различными платформами, нестандартное использование средств этого типа позволяет преодолевать не только системы защиты программного обеспечения, но и схемы "управления цифровыми правами" (Digital Rights Management) на доступ к авторским произведениям, основанные на "привязке" к ЭВМ пользователя.



Средства загрузки и/или модификации контекста объектных модулей в регистрах ЦП


Этот тип программных средств предназначен для изменения состояния регистров центрального процессора ЭВМ во время выполнения определенного объектного модуля ПО. Данные средства реализуют изменение контекста процесса выполняемой СЗПО.

При помощи подобных средств возможно влиять на процесс выполнения объектного кода, не внося в него изменений. С юридической точки зрения, подобное управление центральным процессором не нарушает (да и не может нарушить) никаких законодательных норм, так как оно никак не затрагивает объектный код защищенного ПО, в то же время совершенно аналогичные действия являются составной частью работы ОС.



Средства загрузки объектных модулей


Этот тип программных средств предназначен для модификации памяти процесса ОС во время его выполнения в ОЗУ. За исключением особенностей модификации объектного кода в оперативной памяти, данные средства функционально подобны средствам поиска и замены в файлах.

При помощи таких программ осуществляется динамическая модификация кода СЗПО.

Обычно средства динамической модификации кода используются при высокой сложности или нерациональности распаковки/дешифрации объектных модулей защищенного ПО.



Четвёртый этап - предварительный


Проводя поверхностное исследование кода программного продукта, в большинстве случаев злоумышленник определяет тип, а иногда и производителя системы защиты. Становится возможным установить наиболее вероятное физическое расположение кода системы защиты в коде программного продукта. Для подобного исследования кода программы обычно используется шестнадцатеричный редактор с возможностью дизассемблирования машинных инструкций, поиска заданных байтовых последовательностей и др. Но, кроме средств просмотра машинного кода, злоумышленники используют и автоматические анализаторы исполняемых файлов. Эти программные средства по заложенным в них сигнатурам способны распознавать большинство популярных систем защиты ПО, а также определять производителя и версию компилятора, при помощи которого программа была собрана.

Полученная в результате информация, вкупе с данными мониторинга работы программного продукта, даёт злоумышленнику полную обзорную информацию об используемой в программном продукте системе защиты. Нередки случаи, когда дальнейший анализ системы защиты уже на данном этапе становится излишним и собранной информации достаточно для обхода или преодоления защиты.



Этапы преодоления систем защиты программного обеспечения


, Движение ПОтребитель

В статье описывается обобщённая процедура анализа и деактивации систем защиты программного обеспечения (ПО) от несанкционированного использования и копирования. Знание методик, которые используются злоумышленниками ('crackers') для преодоления систем программной защиты, позволяет более точно определить слабые места существующих систем, а так же проектировать новые, более устойчивые к атакам. Нами предлагается описание унифицированной методики анализа и преодоления систем программной защиты, являющейся результатом обобщения и систематизации многочисленных приёмов "взлома" программ, публикуемых в современной литературе [], а также, доступных в глобальной сети. По итогам проведённого исследования предложен комплексный критерий оценки устойчивости систем защиты программного продукта.

В настоящее время наиболее популярным средством борьбы с нелегальным распространением коммерческих программных продуктов остаётся программная защита их двоичного кода. Существуют системы защиты программного обеспечения разных типов [], все они постоянно развиваются. В то же время, имеются и средства, позволяющие исследовать защищённые программы и отключать системы их защиты []. В условиях такого динамического равновесия важным фактором, влияющим на стойкость систем защиты, является методическое обеспечение как специалистов по защите ПО, так и злоумышленников.

Мы считаем, что изучению методов, используемых для анализа и преодоления систем защиты ПО, не уделялось достаточного внимания, в то время как их знание позволяет в значительной мере сократить количество уязвимых мест в системах защиты.

Нами было проведено исследование современных подходов к программно-технической защите программных продуктов, а также подходов к преодолению такой защиты. В результате можно сделать вывод, что как с одной (защита), так и с другой ("взлом") стороны основное внимание уделялось и до сих пор уделяется прикладным приёмам защиты ПО или её преодоления []. В то же время, нам не удалось отыскать ни обобщённых методик проектирования и реализации систем программной защиты, ни аналогичных методик анализа и преодоления таких систем.

Анализ приёмов преодоления систем программной защиты различных типов позволил выявить ряд общих закономерностей. В данном случае, положительную роль сыграло многообразие описываемых злоумышленниками методик, различный уровень их сложности, а также их принадлежность к различным стадиям анализа систем защиты ПО. Таким образом, стало возможным систематизировать информацию по данному вопросу и описать обобщённую процедуру анализа и преодоления систем защиты программных продуктов.

По нашему мнению, любые приёмы и методы анализа и преодоления систем защиты ПО можно свести к ряду стандартных этапов. (См. блок-схему на )



Первый этап - определение цели атаки.


В первую очередь злоумышленнику необходимо определить цель, для достижения которой он будет атаковать систему защиты программного продукта. Среди возможных целей можно выделить следующие три: личное использование программного продукта; распространение средств, отключающих систему защиты продукта ('crack-files'); несанкционированное распространение самого программного продукта ('warez'). В зависимости от перечисленных целей подход к "взлому" системы защиты того или иного программного продукта может варьироваться. В частности, если злоумышленник планирует использовать программный продукт в личных целях, он может воспользоваться методами, требующими высокой квалификации пользователя, необходимой для работы с отключенной системой защиты. Если предполагается распространение средств отключения системы защиты конкретного продукта злоумышленнику необходимо ориентироваться на неквалифицированного в вопросах защиты ПО пользователя. Это может потребовать дополнительных усилий и затрат времени. Наконец, если злоумышленник планирует распространять "взломанный" программный продукт, ему, как правило, необходимо осуществить прямое отключение системы защиты, что значительно сложнее, чем просто её обход.



Пятый этап - оценка стойкости


После сбора информации о системе защиты производится оценка её стойкости и слабых мест, а также возможности применения стандартных средств и приёмов преодоления систем защиты данного типа. Злоумышленник, используя доступную информацию об устройстве и стойкости различных систем программной защиты, определяет стойкость системы защиты, реализованной в атакуемом программном продукте. Например, если в атакуемом продукте используется система защиты, ограничивающая время его использования, то уязвимостью является необходимость получения системного времени и даты. В системах с запросом регистрационного кода и/или ограничением функциональности продукта слабым местом является блок проверки корректности регистрационного кода. Системы, использующие ключевые файлы, диски или электронные ключи могут иметь слабые места в блоках проверки корректности ключевых данных или в блоках обмена данными. Другой уязвимостью для любых типов защиты является использование стандартных библиотек подпрограмм, при помощи которых реализуется система защиты ПО.

Оценив стойкость системы защиты, злоумышленник затем выбирает один или несколько эффективных способов её преодоления. На этот выбор влияет и исходная постановка цели, как это было указано выше. В частности, для случая с ограничением времени функционирования продукта злоумышленник может избрать три различных пути:

если он планирует самостоятельно использовать продукт, возможно, будет достаточно вручную изменять системную дату или переустанавливать программный продукт по истечении разрешённого срока его использования, стирая скрытые файлы и/или записи в системных файлах, сделанные системой защиты; при желании в дальнейшем распространять средство снятия защиты с продукта злоумышленнику потребуется исследовать алгоритмы системы защиты и разработать программное средство её статического или динамического преодоления; если же планируется "пиратская" реализация программного продукта, злоумышленник должен будет либо распространять его вместе со средством снятия защиты либо произвести полное статическое отключение системы защиты в программном продукте.

В зависимости от выбранного способа преодоления защиты изменяется и дальнейшее её исследование.



Седьмой этап - преодоление системы защиты.


На финальном этапе, учитывая поставленную цель, выбранный способ преодоления защиты и найденную техническую процедуру её обхода или преодоления, злоумышленник реализует преодоление защиты на практике. Под обходом системы защиты понимаются действия, напрямую не относящиеся к противодействию системе защиты атакуемого программного продукта. В качестве примера можно привести периодическую реинсталляцию программных продуктов с ограниченным сроком использования; изменение системной даты до запуска программы и установка корректной даты по завершении её работы; удаление/замену скрытых файлов со счётчиками запуска; удаление/замену соответствующих строк в системных файлах; написание и использование генераторов регистрационных кодов; отслеживание и автоматическое завершение диалогов с напоминанием о необходимости регистрации продукта и т.п.

Преодоление системы защиты может осуществляться тремя основными путями:

Статическая модификация кода программного продукта, приводящая к отключению системы защиты. Динамическая модификация кода программного продукта во время его выполнения. Эмуляция ключевого файла, диска или электронного ключа защиты.

В первом случае в объектный код программного продукта вносятся изменения, дезактивирующие систему его защиты. Как правило, они касаются команд условного перехода типа "зарегистрированная версия/незарегистрированная версия" или "верный регистрационный код/неверный регистрационный код". Иногда модифицируются элементы данных программы, содержащие определённые флаги, по которым система защиты судит о наличии регистрации программного продукта. Нередко, для статической модификации кода требуется его предварительная дешифрация или восстановление по образу в оперативной памяти. Такая операция часто обладает значительной трудоёмкостью и требует дополнительного исследования системы защиты. Поэтому злоумышленники прибегают к статической модификации объектного кода атакуемого продукта либо при условии, что код ПО не зашифрован, либо когда преследуют цель "пиратского" распространения ПО.
При этом распространяться может как программное средство, выполняющее статическую модификацию продукта, так и просто данные, позволяющие выполнить это вручную.

К динамической модификации кода злоумышленники прибегают в случаях, когда дешифрация или восстановление объектного кода программы требует слишком высоких затрат. Под динамической модификацией понимается изменение кода программы в оперативной памяти во время выполнения. Подобная модификация должна производиться при каждом новом запуске программы. Для реализации этого процесса злоумышленниками используются специальные программные средства, осуществляющие загрузку целевого приложения как своего дочернего процесса. Такая загрузка даёт доступ к адресному пространству приложения в оперативной памяти, а соответственно и возможность динамического изменения его кода. Как правило, программные средства, ориентированные на конкретный программный продукт, распространяются злоумышленниками в глобальной сети отдельно или вместе с самим продуктом.

Эмуляция используется, в основном, если система защиты включает в себя электронный ключ, реже, если присутствует ключевой диск или ключевой файл. Суть данного метода заключается в подделке ответов на запросы защищённого приложения к отсутствующему ключу, диску или файлу таким образом, что система защиты не обнаруживает его отсутствия. С одной стороны, использование эмуляции требует значительных усилий, связанных с исследованием протоколов обмена данными между блоками системы защиты, и программированием эмулятора (нередко в виде драйвера). С другой же стороны, эмуляция, как правило, не требует модификации кода ПО, а следовательно избавляет злоумышленника от необходимости дешифрации или исправления значительных участков программного кода. Чаще всего эмуляторы распространяются отдельно либо вместе с "пиратскими" копиями ПО.

Преодоление системы защиты атакуемого продукта является последним этапом процесса анализа и преодоления систем защиты. После этого злоумышленник начинает использование программного продукта, распространение средства отключения системы защиты или самого продукта.



Знание последовательности действий злоумышленника позволяет разрабатывать гибкую политику программно-технической защиты программных продуктов. Значительная доля современных систем защиты ориентирована на затруднение лишь части из описанных этапов их анализа и преодоления. Например, нередки случаи, когда система защиты обладает мощными механизмами противодействия дизассемблированию кода защищённого приложения и его отладке, но не способна противостоять мониторингу. Существуют, также, системы защиты, базирующиеся на шифровании объектного кода приложения, но обладающие чрезвычайно простой логикой, что позволяет злоумышленникам легко осуществлять динамическую модификацию кода. Кроме того, львиная доля систем защиты не только не маскирует своего присутствия, но и активно информирует о нём пользователя. Подобная стратегия в значительной мере облегчает злоумышленникам предварительный анализ системы защиты и её локализацию.

Таким образом, можно заключить, что правильно спроектированная система защиты, по крайней мере, должна затруднять своё первичное обнаружение, противодействовать мониторингу работы приложения, его отладке, дизассемблированию и/или декомпиляции, обладать сложной логикой работы, трудно поддающейся анализу, а так же создавать значительные трудности для динамической и/или статической модификации кода защищаемого программного продукта.

На основе высказанных выше соображений можно сформулировать частные критерии устойчивости защищаемого продукта к атакам. По нашему мнению, можно предложить следующие критерии:

Трудность распространения продукта (требуется пользовательская документация, необходимо специальное оборудование, объём продукта затрудняет его распространение по сети и т.п.) Устойчивость к поиску проявлений системы защиты (маскировка факта срабатывания системы защиты); Устойчивость к предварительному анализу защищённого продукта (маскировка функциональности системы защиты); Устойчивость к предварительному анализу программного кода (маскировка физического расположения системы защиты в коде продукта); Наличие уязвимостей в системе защиты; Устойчивость к статическому и динамическому анализу кода (противодействие анализу алгоритмов системы защиты); Устойчивость к обходу системы защиты (наличие логических ошибок в алгоритмах защиты); Устойчивость к преодолению системы защиты (трудность статической и динамической модификации кода продукта).



Исходя из данного набора частных критериев, можно построить комплексный критерий устойчивости программного продукта к атакам. Этот критерий формулируется следующим образом:

Kкомпл. = n



i=1
αi

ki  ,
где ki - частный критерий устойчивости, αi – весовой коэффициент частного критерия устойчивости, определяющий его важность, а n – количество частных критериев устойчивости.

Таким образом, с помощью метода экспертных оценок становится возможным сравнивать между собой различные варианты защиты одного программного продукта либо сравнивать реализации защиты различных программных продуктов одного класса. Сама реализация метода экспертных оценок может быть осуществлена двумя основными способами:

Если отсутствует статистика предыдущих оценок, возможно лишь сравнение различных вариантов между собой. В этом случае по единой методике оцениваются различные варианты реализации защиты программных продуктов. Лучшим считается вариант с максимальным значением комплексного критерия. При наличии статистики предыдущих оценок возможно выделение интервалов значений частных и совокупного критериев. Тогда варианты, не попадающие в необходимый интервал значений отбрасываются. Хотя и в данном случае лучшим считается вариант с максимальным значением комплексного критерия, данный способ позволяет оценить единственный вариант реализации защиты, не рассматривая его альтернатив.

Среди возможных направлений дальнейших исследований в данной сфере, по нашему мнению, следует отметить подробное изучение отдельных этапов преодоления систем программной защиты; выявление зависимости между сроком преодоления систем защиты разных типов и набором используемого злоумышленником программного инструментария; сбор статистических данных по стойкости систем защиты разных типов; разработку методик оценки стойкости систем защиты ПО и сроков гарантированной устойчивости подобных систем к атакам.


Литература:

Касперски Крис. - М.: Солон-Р, 1999. Майерс Гленфорд Дж. Искусство тестирования программ. - М.: Финансы и статистика, 1982. Расторгуев С.П., Дмитриевский Н.Н.Искусство защиты и раздевания программ. - М.: Совмаркет, 1991. - 94 с. Семьянов П.В., Зегжда Д.П. // КомпьютерПресс. - 1993. №11. Середа С.А. // ИНФОРМОСТ: Радиоэлектроника и Телекоммуникации. - 2002. №4(22). С. 11-16. Середа С.А. // КомпьюЛог. - 2000. №2.


Шестой этап - направленное исследование системы защиты.


На данной стадии злоумышленник выполняет статический и/или динамический анализ системы защиты атакуемого продукта. Статический анализ, в зависимости от языка программирования, на котором написана программа, может осуществляться при помощи дизассемблирования объектного кода или при помощи его декомпиляции. Применение дизассемблера даёт злоумышленнику возможность работы с последовательностью инструкций целевого процессора, в которую исходный текст программы был превращён при компиляции. В случае же декомпиляции объектного кода злоумышленник получает текст на языке высокого уровня в максимально близком к исходному виде. Получив текст программы на языке ассемблера или языке высокого уровня, злоумышленник анализирует его и определяет алгоритм преодоления защиты продукта.

В случае затруднений, связанных со статическим анализом, например, когда объектный код зашифрован или динамически изменяется, прибегают к его динамическому анализу. Как правило, динамический анализ систем защиты выполняется при помощи программного отладчика. При этом исследуемое приложение запускается в среде программы-отладчика и выполняется в пошаговом режиме или с использованием заданных точек останова. В режиме отладки становится возможным отслеживать изменения состояния программы, происходящие в процессе её выполнения (например, изменение содержимого регистров процессора, срабатывание команд условного перехода, параметры вызова подпрограмм, получаемые или передаваемые через порты ввода/вывода данные и др.). В этом же режиме выполняется прохождение алгоритмов, например, проверки/генерации корректного регистрационного кода.

Динамический анализ может также выполняться при помощи уже упоминавшихся выше мониторов активности приложения. Если на этапе предварительного анализа при помощи этих средств отслеживается общая направленность работы программы, то на этапе динамического анализа системы защиты отслеживается не только факты обращения к файлам, портам и системным сервисам, но и все параметры этих обращений: данные, записываемые/считываемые из скрытых и системных файлов, параметры вызова системных сервисов, протоколы обмена с портами ввода/вывода и др. В случае применения мониторов активности не имеет значения, реализованы ли в рамках системы защиты блоки противодействия отладке приложения или нет.

По завершении данного этапа анализа системы защиты злоумышленник обладает полной информацией о том, как технически осуществить обход или преодоление системы защиты программного продукта.



Третий этап - предварительный анализ работы защищённого продукта.


На начальном уровне исследования системы защиты злоумышленник отслеживает активность программы, связанную с созданием и удалением обычных и скрытых файлов; обращением к системным файлам, портам ввода/вывода. Также контролируется строка запуска программы, используемые сервисы операционной системы и другие параметры. При помощи подобного мониторинга работы программного продукта злоумышленник получает общее представление об используемом механизме защиты и возможных путях её преодоления. Как правило, системы защиты используют какой-то один из указанных видов активности программы для реализации своих функций. Например, для реализации ограничения времени использования продукта используется либо создание скрытых файлов, либо запись данных в системные файлы. В этом случае мониторинг работы защищённого приложения с различными файлами даёт важную информацию для дальнейшего исследования системы защиты. Некоторые системы защиты записывают данные в область ППЗУ, в неиспользуемые участки дорожек жёсткого диска или используют электронный ключ. Мониторинг работы приложения с портами ввода/вывода даёт возможность обнаружить подобные факты. Аналогичным образом, системы защиты, использующие регистрационный код, как правило, сохраняют его в собственных или системных файлах. Отслеживание неудачных попыток найти файл или найти запись в системном файле также даёт злоумышленникам предварительную информацию о механизме защиты программного продукта.



Второй этап - поиск проявлений системы защиты.


Проявления работы систем защиты могут иметь следующий вид:

ограничение времени использования продукта ('trial/evaluation'); ограничение функциональности продукта ('demo/crippled'); регулярные напоминания о необходимости регистрации ('nag screens'); запрос регистрационного кода ('regcode'); генерация системных ошибок ('crash/GPF'); сбор и передача персональных данных ('spyware'); вредоносные действия ('malware'); внесение ошибок в обработку данных и др.

Возможны и комбинации перечисленных проявлений.

В зависимости от этих проявлений злоумышленник может применять различные подходы к исследованию системы защиты, а так же затрачивать разное время и усилия на её преодоление. Например, напоминания о необходимости регистрации направлены на чисто психологическое воздействие и их отключение обычно не представляет большой сложности. Программные продукты с ограничениями времени использования всегда уязвимы для атак. Продукты с ограничениями функциональности уязвимы, если есть возможность снять ограничения с помощью регистрационного кода, и отключённые подпрограммы не зашифрованы. Системы, отключающие защиту при вводе верного регистрационного номера, можно преодолеть при отсутствии шифрования кода ПО стойкими криптоалгоритмами (DES, RSA, IDEA, etc.). Что же касается систем, генерирующих внутренние или системные ошибки, собирающих персональные данные или осуществляющих вредоносные действия, их анализ и преодоление, как правило, требуют дополнительных затрат времени, так как подобные проявления систем защиты носят неявный и нелокализованный характер.