Навигация
Обмен ссылками

 

Как работают протекторы

автор: Art
Для того чтобы защитить исполняемый файл, протектор должен каким-то образом преобразовать его содержимое и добавить свой код, отвечающий за
правильную загрузку измененной программы в память. Практически для всех форматов исполняемых файлов были разработаны алгоритмы, позволяющие добавлять новый код таким образом, чтобы он выполнялся до основной программы, не нарушая при этом ее функциональности. Скорее всего, основные исследования в этой области были выполнены авторами вирусов, т. к. добавление тела вируса к программе является одним из основных методов заражения.
Код, данные и. ресурсы обычно защищаются с помощью шифрования. Используемый алгоритм не обязательно должен быть криптографически стойким, т. к. ключ шифрования все равно невозможно сохранить в абсолютной тайне. Очень часто до шифрования применяется сжатие данных, что позволяет компенсировать увеличение размера исполняемого файла, происходящее вследствие добавленыи кода протектора. А иногда результирующий защищенный файл даже уменьшается в размере по сравнению с исходным файлом.

При запуске защищенной программы управление сразу получает код протектора, который выполняет предусмотренные проверки и расшифровывает в памяти все необходимые области, а также проводит настройку таблицы адресов импортируемых функций. После успешного завершения процедуры настройки протектор передает управление на оригинальную точку входа (Original Entry Point, OEP) и начинается выполнение основной программы. Проверки, выполняемые протектором до начала работы программы, могут быть разного рода. Это могут быть проверки, касающиеся наличия лицензии (чтобы без лицензии программа просто не запускалась) или сравнения текущей даты со значением, после которого программа должна перестать работать, а также попытки определить наличие запущенного отладчика.


 
 
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
 
Авторизация
Топ новостей