COM狗简介:
阻止逆向的最重要的一个环节就是反跟踪,这样就可以有效地阻止代码的动态分析,即阻止动态反汇编(人为debug,例如IDA和x64dbg等软件)。
因为任何加密方式(加壳或虚拟机)的软件都必须动态展开运行,凡是程序走过的地方叫做“程序区”,读写数据操作的区域被称为“数据区”,那么剩下的就是“垃圾区”,这里有从来没有运行过的“僵尸”程序,也有从未访问过的废弃数据,也有编译器为了位对齐留下的填充代码“int 3”等。
若想要阻止被跟踪,即反跟踪,就必须能够及时捕获跟踪者的行为(例如IDA等)。这个难度肯定很大。
但是一个只运行1mS的特定函数,却被无故地运行了3S,为何???
现在的操作系统都是多进程多线程,那么系统必然存在多任务(进程或线程)切换时间,如果某个任务被无故地切换3秒钟时间,合理吗?
如果合理,这个操作系统必然是垃圾一枚!!!
故这三秒的时间必然是被跟踪的时间,即有逆向者跟踪软件的运行。
COM狗采用双时钟截获,一个是系统时间,一个是高精度计时器。
前者用于任务的截获,即秒级截获,后者用于函数的截获,即毫秒级截获。
菜农在1991年**美国福禄克公司的硬件加密狗后,又被代码进行优化压缩(否则嵌入不了自己的反跟踪代码),利用正常运行和debug.com(当时的调试器)运行程序堆栈差值为10来捕获逆向跟踪者的。
现在的电脑和以前DOS时代大为不同,主要是低层未知数太多,很难把控,故采用时间差捕获是一种实用,通用(多平台)的方法。
windows提供了被跟踪的函数,菜农实测32位不错,64位不行。故肯定不通用。
小结和结论:
COM狗是非常实用,通用,应用资源很少的范例,它与COM盾(菜农命名为HotComLock,主要是域名不好搞,并准备好了网站:www.hotcomlock.com)和反篡改HotCRC(www.hotcrc.com,此计算器从2003年就在网上流传)以及反注册HotREG完美配合,实现了:
反跟踪,反篡改,反反汇编,反注册。
这些都是菜农在上世纪九十年代提出的“天下无贼论”的核心成员。
菜农多年推广未果,都说菜农吹牛,那么菜农在退休三年用软件展现出来!!!
“贼”最大的心愿就是:“天下无贼”!!!
菜农之心愿:COM盾是逆向的终结者…
三个月内拭目以待!!!
菜农HotPower@163.com 2022.9.17于西安雁塔菜地
|
楼主
标题置顶
标题高亮
