آشنایی با چگونگی ساخت قفل های نرم افزاری (قسمت دوم)

● آشنایی با روتین های ضد دیباگ Anti Debug Procedures:
همان طوری که توضیح داده شد، روتین های ضد دیباگ جهت جلوگیری از اجرای برنامه های دیباگر و یا حداقل جهت مشکل تر کردن کار دستکاری قفل توسط قفل شکنان، استفاده می شود. در زیر چند روش به عنوان مثال آورده شده است:

الف) غیر فعال کردن وقفه ها جهت جلوگیری از اجرای مرحله به مرحله ( Trace کردن ) برنامه:

می توان وقفه های کنترلر 8359 را غیر فعال ساخت. (در مورد وقفه ها بحث های نسبتا مفصل و کاملی در سایت میکرو رایانه انجام شده برای مطالعه بیشتر دراین مورد به سایر مقالات سایت میکرو رایانه مراجعه نمایید) آدرس این کنترلر 21h بوده و IRQ های 7 0 را کنترل می کند IRQ1 همان وقفه مربوط به صفحه کلید می باشد. پس با غیر فعال کردن این وقفه می توان صفحه کلید را غیر فعال نمود. طریقه استفاده:

CS:0100 E421 IN AL,21

CS:0102 0C02 OR AL,02

CS:0104 E621 OUT 21,AL

ب) تغییر بردار وقفه ها

یکی از روش های ساده و راحت جهت ضد دیباگ کردن برنامه ها تغییر برداری است که دیباگر از آن استفاده می کند. (03 ) حتما بخاطر بسپارید که در پایان برنامه دوباره آدرس بردار وقفه تغییر داده شده را بازیابی کنید. طریقه استفاده:

CS:0100 EB04 JMP 0106

CS:0102 0000 ADD [BX+SI],AL

CS:0104 0000 ADD [BX+SI],AL

CS:0106 31C0 XOR AX,AX

CS:0108 8EC0 MOV ES,AX

CS:010A 268B1E0C00 MOV BX,ES:[000C]

CS:010F 891E0201 MOV [0102],BX

CS:0113 268B1E0E00 MOV BX,ES:[000E]

CS:0118 891E0401 MOV [0104],BX

CS:011C 26C7064C000000 MOV Word Ptr ES:[000C],0000

CS:0123 26C7064E000000 MOV Word Ptr ES:[000E],0000

ج) گیج کردن دیباگر

این راه یکی از قویترین تکنیک های ضد دیباگ بوده که در آن به وسط یک دستور، پرش می شود و اینکار باعث قفل کردن (Hang) دیباگر خواهد شد. طریقه استفاده:

CS:0100 E421 IN AL,21

CS:0102 B0FF MOV AL,FF

CS:0104 EB02 JMP 0108

CS:0106 C606E62100 MOV Byte Ptr [21E6],00

CS:010B CD20 INT 20

د) کنترل پرچم های CPU

این روش در برابر دیباگرها بسیار مفید می باشد و به این صورت است که ابتدا پرچم Trace از CPU را خاموش کرده و در بین برنامه آنرا کنترل کنیم. در صورتی که این پرچم روشن شده باشد، مشخص است که دیباگر در پشت صحنه در حال اجراست. طریقه استفاده:

CS:0100 9C PUSHF

CS:0101 58 POP AX

CS:0102 25FFFE AND AX,FEFF

CS:0105 50 PUSH AX

CS:0106 9D POPF

و در بین برنامه از دستورات ذیل استفاده کنید:

CS:1523 9C PUSHF

CS:1524 58 POP AX

CS:1525 250001 AND AX,0100

CS:1528 7402 JZ 152C

CS:152A CD20 INT 20

ه) متوقف ساختن دیباگر

این روش باعث متوقف شدن دیباگر می شود که با اجرای دستور ساده INT 03 می توان این کار را انجام داد. طریقه استفاده:

CS:0100 B96402 MOV CX,0264

CS:0103 BE1001 MOV SI,0110

CS:0106 AC LODSB CS:0107 CC INT 3

CS:0108 98 CBW

CS:0109 01C3 ADD BX,AX

CS:010B E2F9 LOOP 0106 *****

● روش های کد کردن اطلاعات Data Coding Procedures:

الف) افزودن یک عدد به کد های یک فایل

در این روش جهت کد کردن یک فایل، ابتدا آن را خوانده و سپس یک مقدار خاص، مثلا 20 را به مقدار هر بایت فایل اضافه می کنیم. این یکی از ساده ترین روش ها بوده و نسبتا کارایی خوبی نیز دارد. جهت خارج کردن فایل از حالت کد شده (Decode) نیز، کافیست مقدار فوق را از تمام بایت های فایل کم کنیم.

ب) XOR کردن کل فایل

در این روش نیز پس از خواندن کل فایل، تمام بایت های آن را با رشته کاراکتری یا عدد ثابت خاصی XOR کرده و سپس مقدار جدید را در فایل حاصل ضبط می نمائیم. جهت خارج کردن فایل از حالت کد شده، دقیقا عکس آن را انجام می دهیم.

● سایر مقالات مرتبط با این موضوع

آشنایی با چگونگی ساخت قفل های نرم افزاری (قسمت اول)

تا وقتی که قانون Copyright نرم افزار در ایران به صورت کامل اجرا نمی شود، لزوم پرداختن به بحث قفل های نرم افزاری بیشتر احساس می شود. در این مقاله سعی بر این است تا علاوه بر آشنایی با انواع قفل های نرم افزاری و بررسی اختلاف آن ها با قفل های سخت افزاری، بتوانیم به عنوان طراح یک قفل نرم افزاری از محصولات نرم افزاری خودمان حمایت کنیم. ضمنا علاوه بر آشنایی با مفاهیم فوق، نوشتن روتین های ضد دیباگ (Debug) و همچنین نحوه کد کردن اطلاعات نیز تا حدی مورد بررسی قرار خواهد گرفت. با ابن آموزش مفید و کاربردی در سایت سرزمین دانلود با ما همراه باشید.

● قفل های نرم افزاری و سخت افزاری:
قفل های نرم افزاری به برنامه هایی گفته می شود که کنترل کپی نمودن آنها فقط از طریق نرم افزار و بدون نیاز به سخت افزار اضافی، قابل انجام باشد. قفل های سخت افزاری به برنامه هایی اطلاق می شود که کنترل کپی نمودن آنها از طریق سخت افزار اضافی (که بر روی سیستم نصب می گردد) صورت می پذیرد.

با توجه به توضیحات فوق می توان به تفاوت قفل های سخت افزاری و نرم افزاری پی برد. قفل های سخت افزاری با اضافه کردن یک سخت افزار جدید به کامپیوتر (اغلب از طریق ارتباط با پورت چاپگر) برنامه خود را کنترل می کنند. برنامه قبل از اجرا، ابتدا با مراجعه به آدرس سخت افزار نصب شده (اضافه شده با استفاده از دستور Port) به سخت افزار مورد نظر خود مراجعه کرده و در صورت یافتن آن، تست های مختلف اعم از تست رمز، خواندن اطلاعات و ... را انجام داده و در نهایت می تواند تصمیم گیری نماید.

اما در قفل های نرم افزاری برنامه، بدون نیاز به سخت افزار اضافی و با کنترل رسانه ذخیره سازی، تصمیم گیری می کند. ضمنا لازم به توضیح است که هدف از طراحی قفل های نرم افزاری/سخت افزاری این نیست که هیچکس توانایی شکستن (باز کردن) آن را ندارد بلکه هدف بالا بردن سطح کنترل کپی های غیر مجاز تا حد ممکن می باشد.

● طریقه استفاده از قفل نرم افزاری:
در برنامه مورد نظر با توجه به نوع کاربرد برنامه (کوچک و قابل کپی بر روی یک دیسکت, تحت شبکه و ...) می توانیم از انواع روش هایی که جهت حفاظت از نرم افزار در نظر داریم (و متعاقبا توضیح داده خواهد شد) استفاده کنیم. اما مساله قابل بحث این است که چه قفلی را انتخاب نمائیم؟ جواب این سوال متغییر و وابسته به شرایط زیر می باشد:

الف) اعتقاد طراح نرم افزار به اینکه حتما باید کاربر آن را خریداری نماید تا از امکانات آن مطلع گردد. در این حالت قفل نرم افزاری در ابتدای شروع به کار برنامه کنترل می گردد حتی طراح می تواند در مواقع حساس نیز قفل را مجددا کنترل کند و یا حتی در حالتی که طراح واقعا سخت گیر باشد، می تواند در زمان های مشخصی نیز از وجود قفل اطمینان حاصل نماید (مثلا هر 4 ثانیه یک بار). البته در این حالت طراح باید روشی را که جهت کنترل قفل استفاده می کند، نیز در نظر بگیرد.

ب) اعتقاد طراح نرم افزار به این که کاربر می تواند از نرم افزار به عنوان نسخه نمایشی نیز استفاده کند. طراح در این حالت می بایست در مکان های خاصی از برنامه، قفل را کنترل کند. مثلا در یک برنامه حسابداری می توان تمام بخش های سیستم را آزاد گذاشت (یعنی در بخش های برنامه قفل وجود نداشته باشد) اما در گزارشگیری ها قفل گذاشت. یعنی در صورتی که کاربر مایل به استفاده از امکانات گزارشگیری سیستم باشد، قفل نرم افزاری در خواست گردد. مزیت این روش بر روش قبلی این است که دیگر نیاز به طراحی نسخه نمایشی خاصی جهت مشاهده کاربران وجود ندارد.

● آشنایی با نحوه قفل گذاری بر روی یک برنامه:

الف) طراح به سورس برنامه دسترسی دارد. در این حالت طراح پس از انتخاب روش قفل گذاری، کافی است آن را به زبان مورد نظر خود پیاده سازی نموده و در برنامه خود بگنجاند. (که مکان های قرار دادن قفل در عنوان قبلی توضیح داده شد.)

ب) طراح (مجری پروژه) به سورس برنامه دسترسی ندارد. گاهی اوقات به یک سری برنامه های ارزشمندی برخورد می کنیم که فاقد قفل هستند و بنا به دلایلی نیاز به قفل گذاری وجود دارد. (البته این حالت بیشتر در کشور ما و چند کشور دیگر که در آن ها قانون Copyright اجرا نمی شود، کاربرد دارد.)

جهت تزریق قفل به این گونه برنامه ها، نیاز به آشنایی کامل با ساختار فایل های اجرایی (EXE, COM, SYS, …) وجود دارد چرا که باید برنامه ای طراحی کنیم تا همانند یک ویروس کامپیوتری به فایل اجرایی مشخصی بچسبد. البته جهت این کار بهترین زبان برنامه نویسی، اسمبلی می باشد. (به دلیل توانایی دخالت در روند اجرای برنامه و برای مطالعه بیشتر در مورد برنامه نویسی اسمبلی به سایر مقالات سایت میکرو رایانه مراجعه نمایید) البته در رابطه با نحوه نوشتن این گونه برنامه ها، روش های زیادی وجود دارد که خود بحثی مجزا را می طلبد و از حوصله این مقاله خارج است.

ضمنا برای بالا بردن سطح امنیت برنامه، لازم است تا یکسری کد های ضد دیباگ نیز در برنامه گنجانده شوند. کدهای ضد دیباگ، دستوراتی به زبان اسمبلی هستند که در حالت اجرای عادی برنامه، هیچ تغییری در روند اجرا نمی گذارند بلکه در مواقعی که برنامه توسط دیباگرها اجرا می گردند، قادر هستند تا از اجرای آن جلوگیری نمایند.
با اضافه کردن کد های ضد دیباگ به ابتدای برنامه (یا قبل از کنترل قفل) می توان احتمال دست کاری در برنامه را پائین آورد. (نحوه نوشتن کد های ضد دیباگ در زیر آورده شده است.)

● آشنایی با روش های قفل گذاری و نحوه طراحی آن ها:

1) قفل گذاری با استفاده از شماره سریال اصلی دیسکت
همانطور که می دانید، سیستم عامل جهت هر دیسکت یک شماره سریال واحد (UNIQUE) اختصاص می دهد، بطوریکه شماره سریال هر دو دیسکت با هم یکی نیستند. بنابراین همین خود یک راه تشخیص دیسکت کلید (قفل) می باشد. جهت استفاده از این قفل می بایست شماره سریال دیسکت را خوانده و سپس در داخل برنامه آنرا کنترل نمائیم.

ضریب اطمینان این قفل در مورد دیسکت ها 5% بوده و در رابطه با هارد دیسک 60% می باشد. دلیل این اختلاف این است که در حالت قفل دیسکتی، با عمل کپی Boot Sector، قفل بر روی دیسکت دیگر قرار خواهد گرفت اما در رابطه با هارد دیسک اینکار به سادگی انجام پذیر نیست.

2) قفل گذاری با استفاده از مشخصات سیستم
در این نوع قفل نرم افزاری، برنامه قبل از اجرا ابتدا مشخصات سیستم را خوانده (که اینکار از طریق مراجعه به بخش های خاصی از حافظه و یا مراجعه به اطلاعات BIOS انجام می شود.) سپس آن را با فایلی که قبلا توسط نویسنده نرم افزار بر روی کامپیوتر کپی گردیده، مقایسه می کند و در صورت عدم برابری، اجرای برنامه پایان می پذیرد.

این نوع قفل هنوز هم در بسیاری از برنامه ها استفاده می گردد، اما نکته قابل ذکر این است که جهت اطمینان بیشتر به قفل، لازم است فایل حاوی مشخصات بصورت کد شده نوشته شده باشد تا امکان دستکاری آن توسط قفل شکنان به حداقل ممکن برسد. درصد اطمینان این نوع قفل 75% می باشد.

3) قفل با استفاده از موقعیت فایل روی هارد دیسک
این نوع قفل فقط بر روی هارد دیسک قابل استفاده بوده و به این صورت است که فایل اجرایی به موقعیت خود بر روی هارد حساس می باشد چرا که قبل از اجرا ابتدا موقعیت خود را از روی سکتورهای ROOT خوانده و سپس شماره کلاستر اشاره گر به خودش را بدست می آورد، سپس آن را با شماره کلاستری که قبلا توسط برنامه نویس بر روی یکی از فایل های برنامه (ممکن است به صورت کد شده باشد) قرار داده شده، مقایسه کرده و در صورت برابر بودن اجرا می شود.

این نوع قفل نسبت به قفل قبلی (شماره 2) استفاده کمتری دارد، چون در صورتی که برنامه از روی بخشی از هارد به ناحیه دیگری انتقال یابد، اجرا نخواهد شد و این از نظر کاربر بسیار ناپسند می باشد. (ضمنا امکان Defra, Scandisk, و ... نیز وجود ندارد چرا که شماره کلاستر اشاره گر به فایل تغییر خواهد کرد.) ضریب اطمینان این نوع قفل نیز 80% می باشد.

4) قفل با استفاده از فرمت غیر استاندارد
این شیوه یکی از رایج ترین قفل های نرم افزاری است که هنوز هم بصورت جدی مورد استفاده قرار می گیرد. برخی از دلایل اهمیت آن عبارتند از:

امکان استفاده از روش های متفاوت در این روش

راحتی و سرعت زیاد به هنگام استفاده از آن

وجود ضریب اطمینان بالا و انعطاف پذیری زیاد آن

عدم وجود نرم افزار خاصی جهت باز کردن این نوع از قفل ها

همان طور که می دانید سیستم عامل جهت دسترسی به اطلاعات یک دیسکت از فرمت خاصی (18 سکتور در هر تراک) استفاده می کند، اما اگر یه تراک به صورت غیر استاندارد فرمت شود، (مثلا 19 سکتور در تراک) سیستم عامل دیگر توانایی استفاده از سکتورهای غیرمجاز را نخواهد داشت (برای مطالعه بیشتر دراین مورد به سایر مقالات سایت میکرو رایانه مراجعه نمایید) و بنابراین تمام نرم افزارهای تحت سیستم عامل مزبور نیز از سکتورهای مخفی استفاده نکرده، در نتیجه امکان کپی برداری از آنها بسیار ضعیف است.

پیشنهاد ما استفاده از همین روش جهت طراحی قفل است. به طوری که تراک آخر دیسک را مثلا بهصورت یک سکتوری و با شماره 20 فرمت کنید. سپس جهت کنترل دیسکت به سکتور فوق مراجعه کرده و در صورت وجود آن کنترل و اجرای برنامه را پی بگیرد.

البته غیر از تغییر شماره سکتور می توان از اندازه غیر مجاز نیز استفاده کرد، یعنی بجای اینکه سکتورها را بصورت 512 بایتی فرمت کنیم، از اندازه 1024, 2048 و ... استفاده کنیم. ( قفل نرم افزاری Copy Control که معروفترین در نوع خود می باشد، از همین روش استفاده می کند.)

این قفل فقط جهت فلاپی دیسک قابل استفاده می باشد و در صد اطمینان در این روش حدود 85% می باشد.

5) قفل با استفاده از شماره سریال ساختگی
این روش قفل گذاری که قویترین قفل می باشد، بصورت مخلوطی از روش های 1 و 4 می باشد. یعنی ابتدا تراک خاصی را بصورت غیر استاندرد فرمت کرده و سپس اطلاعات خاصی را درون آن قرار می دهند (شماره سریال فرضی). این قفل فقط جهت فلاپی دیسک قابل استفاده بوده و ضریب اطمینان آن حدود 90% می باشد.

● سایر مقالات مرتبط با این موضوع

آموزش حذف ویروسی که Folder Options ویندوز را پاک می کند

ویروسی وجود دارد که باعث حذف شدن (مخفی شدن) Folder Options  در ویندوز می شود و باعث پنهان شدن آن از چشم شما می شود . این Folder Options در صفحه هایی که می خواهید فولدرها را ببینید قرار دارد مثلا در My Computer و در بخش Tools.

● این در صفحه:
این یک ویروس بسیار حرفه ای است که اساس طراحی این ویروس با Visual Basic 6.0 می باشد. برای اولین بار کمپانی سازنده آنتی ویروس BitDefender پادزهر آن را ساخت اما چون روشی خاص برای نابودی این کرم وجود دارد ، نرم افزار آنتی ویروس نمی تواند این کار را انجام دهد و فقط ویروس را شناسایی می کند.

به کسانی که با کامپیوتر آشنایی زیادی ندارند و مبتدی هستند توصیه می کنم که ویندوز خود را عوض کنند و تمام مطالبی که در زیر خواهم نوشت را نادیده بگیرند. اما کسانی که مدت زیادی است با کامپیوتر آشنایی دارند بهتر می توانند موفق شوند. در ابتدا خوب است کمی راجع به هنرنمایی های این ویروس بدانیم.

● کرم حذف کننده Folder Options چه کاری انجام می دهد ؟
کرمی که باعث ایجاد این ویروس می شود BronTok.A نام دارد و به پنهان کننده Folder Options معروف شده است. بهتر است بدانید که این ، تنها کار این کرم نیست. Registry Tools را قفل می کند ، Task Manager با Error مواجه می شود و اگر هم بر حسب اتفاق اجرا شود توانایی END کردن بسیاری از پروسه ها را نخواهد داشت ، محتویات My Document را پس از اجرا شدن نمایش می دهد ، اگر از طریق منوی Start گزینه Run را فعال کنیم و هر یک از عبارات RegEdt32 ، Regedit ، msconfig و CMD را اجرا کنیم سیستم بلافاصه Restart می شود ، کلیک بر روی Log Off یا Turn Off باعث Restart می شود ، سرعت سیستم را کاهش داده و مانع اجرای بعضی نرم افزارها می شود. این کرم آیکون یک پوشه معمولی را دارد و از طریق فایل inetinfo.exe در سیستم منتشر می شود. اکنون به آموزش روش حذف کامل و دقیق این مزاحم می پردازیم.

● روش از بین بردن ویروس حذف کننده Folder Options :
برای پاک کردن این ویروس دو نرم افزار BronTok.A Killer و Process Master 1.1 را باید داشته باشید و جهت حذف آن لازم است چند کار اولیه را انجام دهید:

ابتدا اگر آنتی ویروسی بر روی سیستم خود دارید یا آن را موقتا غیر فعال (Disable) کنید و یا اینکه کلا Uninstall کنید.

سپس دو نرم افزار لازم است که دانلود کنید که خوشبختانه حجم های بسیار کمی دارند BronTok.A Killer را با حجم 32 کیلوبایت و Process Master 1.1 را با حجم 733 کیلوبایت که به راحتی می توانید این دو نرم افزار را با کمی جستجو در اینترنت دانلود کنید.

هر نرم افزار یا صفحه اینترنتی و یا هر چیز دیگری که باز دارید ببندید.

پس از خارج کردن آنها از حالت فشرده (ZIP) ، نرم افزار Process Master را نصب کنید و Crack آن را طبق فایل راهنمای همراه آن انجام دهید. با BronTok.A Killer فعلا کاری نداشته باشید ولی از حالت ZIP خارجش کنید (راست کلیک و Extract).

همانطور که می دانید اساس کار بعضی فایل ها پیشبُرد روند اجرایی سیستم است که از آن جمله winlogon.exe ، lsass.exe و services.exe را می توان نام برد. در حالت معمولی (ویروسی نبودن) این سه فایل همیشه در حال اجرا هستند و از طریق Task Manager قابل مشاهده هستند. مسیر آنها نشان می دهد از پوشه System32 در Windows اجرا شده اند. اما وقتی به این ویروس دچار هستید دیگر Task Manager هم کار نمی کند و برای همین است که گفته شد به نرم افزار Process Master نیاز دارید. اکنون این نرم افزار را اجرا کنید. می بینید سه فایلی که همیشه در حال اجرا هستند اینجا به صورت جفتی اقدام نموده اند. یعنی دوتا lsass.exe و دوتا winlogon.exe و دوتا services.exe در حال اجرا می باشند. البته همه آنها ممکن است جفتی نباشند. تشخیص اینکه کدام اصلی است و کدام نتیجه تاثیر ویروس ، بسیار ساده است. آن هایی که مسیر اجرا شدنشان به شکل Windows/System32/... است اصلی هستند و آن هایی که از .../Documents and Settings/... اجرا شده اند مسیر ویروس هستند و طول آدرس آنها طولانی تر است. بر روی آنهایی که مسیر .../Documents and Settings/... را دارند راست کلیک کرده و Kill Process را بزنید. اگر به غیر از این سه فایل ، فایل های دیگری نیز بودند که مسیر اجرایی مشابه ویروس داشتند آن ها را نیز Kill Process کنید. فقط به آن هایی که مسیر Windows/System32/... دارند دست نزنید.

پس از Kill Process کردن فایل ها ، برنامه را ببندید. حالا برنامه BronTok.A را اجرا کنید. این برنامه به نصب نیازی ندارد. ممکن است برای بعضی ها این برنامه به محض کلیک کردن اجرا شده و پنجره کوچک آن نمایان می شود. اما برای عده دیگر تنها صدای Error به گوش می رسد و پنجره ای باز نمی شود. برای کسانی که با این مشکل مواجه می شوند توصیه زیر را داریم:

بر روی نرم افزار راست کلیک کرده و به Properties بروید. در پنجره باز شده از منوهای بالا ، Compatibility را انتخاب کنید. اکنون دو گزینه Disable Visual Themes و ...Turn off Advanced Text را با تیک زدن فعال کنید و سپس Apply و OK را بزنید. مشکل شما نیز بر طرف می شود. برنامه را اجرا کنید و با فشردن دکمه Kill منتظر بمانید Wizard تا انتها رفته و پیام Thank You بدهد. اکنون می توانید برنامه را ببندید.

از منوی Start گزینه Search را کلیک کنید. در پنجره باز شده در میان گزینه های سمت چپ ، All files and Folders را برگزینید. در قسمت All or part of files name تایپ کنید: Empty.pif و سپس از روی کیبورد دکمه Enter را بزنید. هر آنچه پیدا شد پاک کنید. حالا در همان مکان ، قبلی را پاک کنید و این بار تایپ کنید:

*.scr,*.exe

این بار هر کدام که آیکونش شبیه به آیکون پوشه زرد رنگ بود پاک کنید. تعداد فایل های پیدا شده زیاد است ، دقت کنید چیز دیگری را به اشتباه پاک نکنید. در مرحله بعد تایپ کنید:

job.*

تمام فایل های پیدا شده را پاک کنید. در صورتی که پاک نمی شوند ، یکی یکی پاک کنید. از بالا به پائین. سرانجام عبارت Born را تایپ کنید و هر فایل یا پوشه ای در این زمینه یافت شد پاک کنید. کامپیوتر را یکبار Restart کنید و با خیال راحت با آن کار کنید.

توجه داشته باشید اگر ویندوز را دو یا چند User کردید باید همه مراحل فوق در سایر User ها نیز انجام گیرد تا این ویروس به طور کلی از روی کامپیوتر شما حذف شود.