Седьмой этап - преодоление системы защиты.

На финальном этапе, учитывая поставленную цель, выбранный способ преодоления защиты и найденную техническую процедуру её обхода или преодоления, злоумышленник реализует преодоление защиты на практике. Под обходом системы защиты понимаются действия, напрямую не относящиеся к противодействию системе защиты атакуемого программного продукта. В качестве примера можно привести периодическую реинсталляцию программных продуктов с ограниченным сроком использования; изменение системной даты до запуска программы и установка корректной даты по завершении её работы; удаление/замену скрытых файлов со счётчиками запуска; удаление/замену соответствующих строк в системных файлах; написание и использование генераторов регистрационных кодов; отслеживание и автоматическое завершение диалогов с напоминанием о необходимости регистрации продукта и т.п.

Преодоление системы защиты может осуществляться тремя основными путями:

Статическая модификация кода программного продукта, приводящая к отключению системы защиты.

Динамическая модификация кода программного продукта во время его выполнения.

Эмуляция ключевого файла, диска или электронного ключа защиты.

В первом случае в объектный код программного продукта вносятся изменения, дезактивирующие систему его защиты. Как правило, они касаются команд условного перехода типа "зарегистрированная версия/незарегистрированная версия" или "верный регистрационный код/неверный регистрационный код". Иногда модифицируются элементы данных программы, содержащие определённые флаги, по которым система защиты судит о наличии регистрации программного продукта. Нередко, для статической модификации кода требуется его предварительная дешифрация или восстановление по образу в оперативной памяти. Такая операция часто обладает значительной трудоёмкостью и требует дополнительного исследования системы защиты. Поэтому злоумышленники прибегают к статической модификации объектного кода атакуемого продукта либо при условии, что код ПО не зашифрован, либо когда преследуют цель "пиратского" распространения ПО.
При этом распространяться может как программное средство, выполняющее статическую модификацию продукта, так и просто данные, позволяющие выполнить это вручную.

К динамической модификации кода злоумышленники прибегают в случаях, когда дешифрация или восстановление объектного кода программы требует слишком высоких затрат. Под динамической модификацией понимается изменение кода программы в оперативной памяти во время выполнения. Подобная модификация должна производиться при каждом новом запуске программы. Для реализации этого процесса злоумышленниками используются специальные программные средства, осуществляющие загрузку целевого приложения как своего дочернего процесса. Такая загрузка даёт доступ к адресному пространству приложения в оперативной памяти, а соответственно и возможность динамического изменения его кода. Как правило, программные средства, ориентированные на конкретный программный продукт, распространяются злоумышленниками в глобальной сети отдельно или вместе с самим продуктом.

Эмуляция используется, в основном, если система защиты включает в себя электронный ключ, реже, если присутствует ключевой диск или ключевой файл. Суть данного метода заключается в подделке ответов на запросы защищённого приложения к отсутствующему ключу, диску или файлу таким образом, что система защиты не обнаруживает его отсутствия. С одной стороны, использование эмуляции требует значительных усилий, связанных с исследованием протоколов обмена данными между блоками системы защиты, и программированием эмулятора (нередко в виде драйвера). С другой же стороны, эмуляция, как правило, не требует модификации кода ПО, а следовательно избавляет злоумышленника от необходимости дешифрации или исправления значительных участков программного кода. Чаще всего эмуляторы распространяются отдельно либо вместе с "пиратскими" копиями ПО.

Преодоление системы защиты атакуемого продукта является последним этапом процесса анализа и преодоления систем защиты. После этого злоумышленник начинает использование программного продукта, распространение средства отключения системы защиты или самого продукта.

Знание последовательности действий злоумышленника позволяет разрабатывать гибкую политику программно-технической защиты программных продуктов. Значительная доля современных систем защиты ориентирована на затруднение лишь части из описанных этапов их анализа и преодоления. Например, нередки случаи, когда система защиты обладает мощными механизмами противодействия дизассемблированию кода защищённого приложения и его отладке, но не способна противостоять мониторингу. Существуют, также, системы защиты, базирующиеся на шифровании объектного кода приложения, но обладающие чрезвычайно простой логикой, что позволяет злоумышленникам легко осуществлять динамическую модификацию кода. Кроме того, львиная доля систем защиты не только не маскирует своего присутствия, но и активно информирует о нём пользователя. Подобная стратегия в значительной мере облегчает злоумышленникам предварительный анализ системы защиты и её локализацию.

Таким образом, можно заключить, что правильно спроектированная система защиты, по крайней мере, должна затруднять своё первичное обнаружение, противодействовать мониторингу работы приложения, его отладке, дизассемблированию и/или декомпиляции, обладать сложной логикой работы, трудно поддающейся анализу, а так же создавать значительные трудности для динамической и/или статической модификации кода защищаемого программного продукта.

На основе высказанных выше соображений можно сформулировать частные критерии устойчивости защищаемого продукта к атакам. По нашему мнению, можно предложить следующие критерии:

Трудность распространения продукта (требуется пользовательская документация, необходимо специальное оборудование, объём продукта затрудняет его распространение по сети и т.п.)

Устойчивость к поиску проявлений системы защиты (маскировка факта срабатывания системы защиты);

Устойчивость к предварительному анализу защищённого продукта (маскировка функциональности системы защиты);

Устойчивость к предварительному анализу программного кода (маскировка физического расположения системы защиты в коде продукта);

Наличие уязвимостей в системе защиты;

Устойчивость к статическому и динамическому анализу кода (противодействие анализу алгоритмов системы защиты);

Устойчивость к обходу системы защиты (наличие логических ошибок в алгоритмах защиты);

Устойчивость к преодолению системы защиты (трудность статической и динамической модификации кода продукта).

Исходя из данного набора частных критериев, можно построить комплексный критерий устойчивости программного продукта к атакам. Этот критерий формулируется следующим образом:

Kкомпл. =

n

∑

i=1

αi

ki ,

где ki - частный критерий устойчивости, αi – весовой коэффициент частного критерия устойчивости, определяющий его важность, а n – количество частных критериев устойчивости.

Таким образом, с помощью метода экспертных оценок становится возможным сравнивать между собой различные варианты защиты одного программного продукта либо сравнивать реализации защиты различных программных продуктов одного класса. Сама реализация метода экспертных оценок может быть осуществлена двумя основными способами:

Если отсутствует статистика предыдущих оценок, возможно лишь сравнение различных вариантов между собой. В этом случае по единой методике оцениваются различные варианты реализации защиты программных продуктов. Лучшим считается вариант с максимальным значением комплексного критерия.

При наличии статистики предыдущих оценок возможно выделение интервалов значений частных и совокупного критериев. Тогда варианты, не попадающие в необходимый интервал значений отбрасываются. Хотя и в данном случае лучшим считается вариант с максимальным значением комплексного критерия, данный способ позволяет оценить единственный вариант реализации защиты, не рассматривая его альтернатив.

Среди возможных направлений дальнейших исследований в данной сфере, по нашему мнению, следует отметить подробное изучение отдельных этапов преодоления систем программной защиты; выявление зависимости между сроком преодоления систем защиты разных типов и набором используемого злоумышленником программного инструментария; сбор статистических данных по стойкости систем защиты разных типов; разработку методик оценки стойкости систем защиты ПО и сроков гарантированной устойчивости подобных систем к атакам.

Литература:

Касперски Крис. - М.: Солон-Р, 1999.

Майерс Гленфорд Дж. Искусство тестирования программ. - М.: Финансы и статистика, 1982.

Расторгуев С.П., Дмитриевский Н.Н.Искусство защиты и раздевания программ. - М.: Совмаркет, 1991. - 94 с.

Семьянов П.В., Зегжда Д.П. // КомпьютерПресс. - 1993. №11.

Середа С.А. // ИНФОРМОСТ: Радиоэлектроника и Телекоммуникации. - 2002. №4(22). С. 11-16.

Середа С.А. // КомпьюЛог. - 2000. №2.

Содержание раздела