Информационная безопасность. Курс лекций - А. Артемов

Отметим важную особенность – реализация средств защиты от ИСК существенно облегчается при наличии привилегированных режимов функционирования процессов в операционной системе.

Механизм защиты программного обеспечения, как показывает опыт работы в данной области, может включать следующие блоки:

– защиты от наблюдения;

– установки характеристик среды;

– сравнения характеристик среды;

– ответной реакции.

Блок защиты от наблюдения (БЗОН) представляет собой комплекс программных средств, ориентированных на исследование защищенного программного продукта. Главная функция БЗОН заключается в том, чтобы обеспечить надежную защиту от профессиональных любителей "раздевать" чужие программы, т. е. снимать защиту с пакетов программ. Ниже изложены некоторые способы, которые направлены на выявление и ликвидацию непредусмотренных внешних воздействий на защищаемую программу, характерных для средств снятия защиты.

Для снятия защиты используется комбинация двух основных методов нападения: статического и динамического.

Статические методы предусматривают анализ текстов защищенных программ. Динамические методы осуществляют слежение за выполнением программы с помощью специальных средств. Обработка результатов слежения может быть частично или полностью автоматизирована.

Среди мер противодействия статическим методам нападения следует упомянуть следующие:

– модификация и шифрование программного кода (типичные способы внесения особенностей в программную среду);

– включение в тело программы переходов по динамически изменяемым адресам и прерываниям, а также самогенерирующихся команд (например, команд, полученных с помощью сложения и вычитания);

– скрытый переход, когда вместо команды безусловного перехода ЗМР используется команда возврата из подпрограммы КЕТ (предварительно в стек записывается адрес перехода, который в процессе работы программы модифицируется непосредственно в стеке);

– включение в тело программы, если ее размер недостаточно велик, так называемой "пустышки", т. е. модуля, к которому имитируется, но не осуществляется передача управления. Этот модуль может содержать большое количество команд, не имеющих никакого отношения к логике работы программы. Но "ненужность" этих команд не должна быть очевидна потенциальному нарушителю;

– изменение начала защищаемой программы таким образом, чтобы стандартный дизассемблер не смог ее правильно восстановить.

Среди мер противодействия динамическим методам нападения следует отметить следующие:

– периодический подсчет в процессе выполнения программы контрольной суммы области оперативной памяти, занимаемой образом задачи, что позволяет своевременно обнаружить изменения, вносимые в загрузочный модуль при попытке ее "раздеть";

– проверка количества свободной памяти и сравнения с тем объемом, к которому "приучена" задача. Это действие позволяет застраховаться от явной слежки за программой с помощью резидентных модулей;

– проверка содержимого незадействованных для решения защищаемой программы областей памяти, которые не попадают под общее распределение оперативной памяти, доступной для программиста, что позволяет добиться "монопольного" режима работы программы;

– проверка содержимого векторов прерываний (особенно с кодами 13h и 21h) на наличие тех значений, к которым "приучена" задача. Иногда полезным бывает сравнение первых команд операционной системы, отрабатывающих эти прерывания, с теми командами, которые там должны быть (вместе с предварительной очисткой оперативной памяти проверка векторов прерываний и их принудительное восстановление позволяет избавиться от большинства присутствующих в памяти резидентных программ);

– переустановка векторов прерываний

– содержимое некоторых векторов прерываний копируется в область свободных векторов, соответственно изменяются и обращения к прерываниям. При этом слежение за известными векторами не даст нарушителю желаемого результата (например, первыми исполняемыми командами программы копируется содержимое вектора с кодом 21h в вектор с кодом 60h, а вместо команд int21h в программе везде записывается команда int60h, в результате в тексте программы не обнаружится ни одной команды работы с прерыванием 21h (обращение к функциям DOS);

– постоянное чередование команд разрешения и запрещения прерывания, что затрудняет установку отладчиком контрольных точек;

– контроль времени выполнения отдельных частей программы, что позволяет выявить "остановы" в теле исполняемого модуля.

Блок установки характеристик среды (БУХС) отвечает за первоначальное "знакомство" защищаемой программы с окружающей средой. Инициатором "знакомства" может выступать как сама защищаемая программа, так и специальный "Установщик". Последний заносит в тело защищаемого файла снятые им характеристики программно-аппаратной среды или, наоборот, подгоняет окружающую среду, например DOS, под защищаемую программу, если она изначально не способна функционировать в нормальном окружении.

Среди основных характеристик, на которые может ориентироваться "привыкающая" программа, исполняются особенности аппаратной среды ЭВМ; программной среды; психофизиологических характеристик оператора ЭВМ.

Если среда недостаточно индивидуальна, ее можно дополнить специальными "индивидуализирующими" признаками.

К особенностям аппаратной среды относятся:

– конфигурация конкретной ПЭВМ (наличие логических дисков, тип видеоадаптера – EGA, CGA или VGA, объем оперативной памяти и т. п.);

– контрольная сумма и дата создания микропрограмм базовой системы ввода-вывода (BIOS);

– измеряемые программой динамические характеристики различных компонентов компьютера и их соотношение между собой (основной проблемой при использовании динамических характеристик является их зависимость от температуры, продолжительности работы и других меняющихся условий, что делает затруднительным получение достаточно стабильных характеристик, индивидуальных для каждого устройства);

– специальная модификация BIOS путем перепрограммирования соответствующих ПЗУ;

– подключение специальных устройств (логических микросхем, дополнительных ПЗУ, подключаемых к ЭВМ через параллельный или последовательный интерфейс и т. п.);

– создание специальных "дефектов" на предъявляемых носителях данных, например на "ключевых" дискетах. Недостаток данного способа заключается в том, что совсем несложно сделать резидентную программу, которая будет перехватывать все обращения к устройству и возвращать в защищенный пакет все те коды завершения, которые тот рассчитывает получить. Этот недостаток можно ликвидировать, если обращения к внешнему устройству адресовать напрямую, а не через DOS.

К особенностям программной среды относятся:

– место физического размещения защищаемого файла на магнитном диске;

– порядок физического размещения файлов защищаемого программного средства на магнитном диске (при этом учитывается не только место физического размещения, но и положение файлов относительно друг друга);

– наличие на ПЭВМ "привычных" для пакета драйверов, таблиц, файлов; простой для реализации, но столь же простой для снятия защиты способ;

– наличие заданной последовательности вызовов определенных программ перед запуском защищаемого пакета;

– специально модифицированные программы операционной системы;

– проверка наличия уникальной даты, например даты инициализации диска;

– нестандартные способы организации данных на магнитных носителях;

– размещение в теле программы в зашифрованном виде данных, которые бы однозначно идентифицировали автора программы и пользователя, которому она официально продана. В качестве таких данных часто используется строка "© ФИО Дата" и системный номер программы; наличие таких данных позволят впоследствии применять юридические средства защиты.

Блок сравнения характеристик среды (БСХС) является одним из самых уязвимых мест защиты. Можно детально не разбираться с логикой защиты, а немного "подправить" результат сравнения, и защита будет снята. Иногда этот блок отсутствует и его выполняет человек (например, в некоторых системах с шифрованием информации сравнение производится человеком на этапе ее использования).

БСХС может иметь следующие варианты реализации:

– реализация множества операторов сравнения наличных параметров с ожидаемыми;

– генерация исполняемых команд в зависимости от результатов работы защитного механизма (например, в первом байте хранится исходная ключевая контрольная сумма BIOS, во второй байт в процессе выполнения записывается подсчитанная контрольная сумма в процессе выполнения задачи; суть блока сравнения – вычесть из первого байта значение второго байта, а полученный результат добавить к каждой ячейке оперативной памяти в области DOS; ясно, что если суммы не совпадут, то, вряд ли DOS продолжит функционирование);