Программа ИБ Скрытие строк в С++


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 164
Репутация
8 293
сем привет.

Часто бывают ситуации, когда нужно скрыть используемую в программе строку от реверсера.

Давайте рассмотрем, где может-быть видна ваша строка, при исследовании кода:

1)В hex-редакторе, компилятор помещает вашу строку в .data - секцию исполняемого файла.
2)Если анализировать динамически код, т.е. после запуска, то после расшифровки ваша строка окажется в ОЗУ (в зависимости от реализации либо на стеке, либо в куче).

Теперь давайте посмотрим способы скрытия данных:

1)От статического анализа, тут всё просто, нужно шифровать строку, либо до компиляции (что неудобно), либо во время компиляции, в этом проекте это реализовано, т.е. строка будет шифроваться методм XOR на этапе сборки проекта.

2)Как-же защитить данные от динамического анализа, тут без запутывание реверсера необойтись, что сделано в этом проекте:

- Как сказано, что строка будет шифроваться на этапе сборки методом XOR, но этого мало, поэтому во время запуска программы уже зашифрованная строка зашифруется методом XTEA3, за основу была взята библиотека

Тем самым после расшифровки XTEA3 у нас в куче будет не оригинальная строка, а его зашифрованный вариант. Далее нам нужно расшифровать уже методом XOR.

Это уже небольшое запутывание кода, но и этого мне показалось мало.)

Генерация ключа, очень важный процесс в шифровании, рассмотрим как будет генерироваться ключ для расшифровки:

1.Для XOR, тут всё просто, это случайное число (Которое мы получим каждый раз разное, после пересборки проекта).

2.А вот для генерации ключа для XTEA3 мы будем использовать значение, который вернет треш-код из этого проекта: , в треш-код будет подаваться число полученное в первом пункте, т.е. после каждой пересборки у нас будут разные ключи и вообще программа будет немного по разному себя вести.

Алгоритм такой:

1.Шифрование строки методом XOR на этапе компиляции с рандомным ключем, полученным на этапе компиляции проекта;
2.Получение ключа для расшифровки, запутывая реверсера и последующее шифрование/расшифрование уже зашифрованной строки.

Что в итоге получили:

1)Наша строка небудет видна при статическом анализе кода.
2)Что-бы добраться до строки нужно исследовать код в рантайме.

Как использовать, пример:

//ВАРИАНТ1:

//Создаём класс с зашифрованной строкой
HIDE_STR(hide_str, "Hide String1");
//Получаем указатель на расшифрованную строку
uint8_t *decrypt_string = hide_str.decrypt();
MessageBoxA(0, (LPCSTR)decrypt_string, (LPCSTR)decrypt_string, MB_OK);
//Освобождаем память
hide_str.str_free(decrypt_string);

//ВАРИАНТ2:
//Более простой
MessageBoxA(0, (LPCSTR)PRINT_HIDE_STR("Hide String2"), (LPCSTR)PRINT_HIDE_STR("Hide String2"), MB_OK);

Первый вариант отличается от второго, тем-что мы можем потом очистить память расшифрованной строки и в первом варианте мы можем получить указатель на шифрованную строку.

Доступные методы класса:

Получит указатель на расшифрованную строку:
uint8_t *decrypt(void)

Получит указатель на зашифрованную строку:
uint8_t *crypt(void)

Освободит память класса:
str_free(uint8_t *ptr)

В репозитории есть пример (main.c) и собранный проект.

Проект в гите:
 

Edith Wooten

Уважаемый пользователь
Форумчанин
Регистрация
17.04.2019
Сообщения
108
Репутация
22
как быть с преобразованием с LPCSTR в PCWSTR ?
 

Edith Wooten

Уважаемый пользователь
Форумчанин
Регистрация
17.04.2019
Сообщения
108
Репутация
22
Придумал только через ATL
Код:
  USES_CONVERSION;
  auto sourceString_kernel32 = A2W((LPCSTR)PRINT_HIDE_STR("\\KnownDlls\\kernel32.dll"));
 

Edith Wooten

Уважаемый пользователь
Форумчанин
Регистрация
17.04.2019
Сообщения
108
Репутация
22
Так же не форсинлайнится деструктор
fLm8V4c.png


Хз как быть
Оставить как есть?
 

Edith Wooten

Уважаемый пользователь
Форумчанин
Регистрация
17.04.2019
Сообщения
108
Репутация
22
Касательно преобразования типов придумал такой костыль
C++:
#pragma warning (disable : 4996)
__forceinline const wchar_t *GetWC(const char *c)
{
  const size_t cSize = strlen(c) + 1;
  wchar_t *wc = new wchar_t[cSize];
  mbstowcs(wc, c, cSize);
  return wc;
}
 

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
704
Репутация
228
Так же не форсинлайнится деструктор
Они помечены __forceinline в коде, вообще это вроде нужно для ускорения, а так хз., можно убрать...

И ещё заметил, что-бы компилятор не заносил строки в дата секцию всегда нужно собирать с оптимизацией, это в вижуалке, если оптимизацию отключить, строки будут видны в дата секции в хекс-редакторе, почему так и как это побороть я незнаю.:(
 

Edith Wooten

Уважаемый пользователь
Форумчанин
Регистрация
17.04.2019
Сообщения
108
Репутация
22
Они помечены __forceinline в коде, вообще это вроде нужно для ускорения, а так хз., можно убрать...

И ещё заметил, что-бы компилятор не заносил строки в дата секцию всегда нужно собирать с оптимизацией, это в вижуалке, если оптимизацию отключить, строки будут видны в дата секции в хекс-редакторе, почему так и как это побороть я незнаю.:(
компилить без crt
 

Edith Wooten

Уважаемый пользователь
Форумчанин
Регистрация
17.04.2019
Сообщения
108
Репутация
22
На днях попытаюсь весь код переписать в один заголовочный файл и напишу тесты)
Планирую создать новый репо чтобы сохранить первоисточник
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 164
Репутация
8 293
Да можно ссылку потом выложить сюда, что-бы кто хотел могли скачать.)
 

Edith Wooten

Уважаемый пользователь
Форумчанин
Регистрация
17.04.2019
Сообщения
108
Репутация
22
Да можно ссылку потом выложить сюда, что-бы кто хотел могли скачать.)
сделал так

Начало положено, буду думать как сделать random int для каждой отдельной строки
 
Верх Низ