一种防逆向破解的加密方法及系统与流程

本发明涉及基于Linux内核的文件加密技术领域，具体而言，本发明涉及一种SO文件的防逆向破解的加密方法及系统。

背景技术：

现有的基于linux的系统越来越普及，带来的相应平台越来越多，黑客可以通过简单的逆向技术分析出该平台SO文件的行为，继而对相应平台上的SO文件造成严重的威胁。所谓SO(shared object)文件，也是ELF格式文件，共享库(动态库)，类似于DLL，其主要作用是节约资源，加快速度，代码升级简化。

现有技术中开发人员普遍通过代码混淆的方式对自己的SO文件进行保护，例如，申请号为201410659762.2，发明名称为SO文件的保护方法、装置及安卓安装包的加固方法和系统的中国发明专利申请，公开了一种SO文件的保护方法、装置及安卓安装包的加固方法和系统。其中，SO文件的保护方法包括：将待保护的SO文件作为代码数据写入壳程序文件中；对所述壳程序文件中的所述SO文件进行加保护处理。该发明提供的技术方案通过对SO文件的加壳处理和加保护处理，实现了对SO文件的多重保护，并进一步通过将安卓安装包的重要代码存入SO文件，以该被保护的SO文件为保护对象，实现了对安卓安装包的加固保护，可以有效阻止恶意程序对SO文件的反汇编分析，提高SO文件的内容的安全等级，进而提高安卓安装包的安全等级。

然而，经分析该发明的具体内容，所述对所述壳程序文件中的所述SO文件进行加保护处理包括如下中的一种或多种：去掉所述SO文件中的部分信息；对所述SO文件进行分段加密处理；对所述SO文件进行代码混淆处理；对所述SO文件进行反调试处理。可见，该发明中对SO文件的处理依然采用的是删减、加密、代码混淆、反调试等等传统方式。但是即使使用上述发明中的保护方法，黑客还是可以找到蛛丝马迹进行逆向破解，从而威胁到SO文件的安全。

技术实现要素：

鉴于上述问题，本发明提供一种克服上述问题或者至少部分地解决上述问题的防逆向破解的加密方法及系统。

本发明要解决的技术问题是为了克服现有技术中SO文件容易被简单的逆向技术进行破解的缺陷，提供一种SO文件的防逆向破解的加密方法及加密系统。

本发明是通过下述技术方案来解决上述技术问题的：

具体的，根据本发明的一个方面，本发明提供了一种防逆向破解的加密方法，包括以下步骤：

对SO文件进行格式分析以生成自定义格式；

对所述自定义格式进行加密以生成加密后的自定义格式；

将加密后的自定义格式嵌入到linker装载器里。

优选地，采用SO文件格式分析器对SO文件进行上述格式分析，所述格式分析包括以下四个子步骤：(1)、解析文件头部信息：读取SO文件的段头，根据所述段头定位SO文件的各个部分并装载到内存；(2)、解析动态段：根据所述段头得到动态段的信息，拆解动态段的各个部分，随后用自定义格式将动态段重新拼装；(3)、合并代码段：将自定义的格式和代码段重新合并；(4)、破坏原格式：使用随机数填充原格式。

优选地，采用嵌入式代码将加密后的自定义格式嵌入到linker装载器里。

优选地，所述SO文件为基于linux内核系统的SO文件。

优选地，在加密之前在所述自定义格式中嵌入保护代码。

根据本发明的另一个方面，本发明还提供了一种防逆向破解的加密系统，该系统包括以下模块：

解析模块，用于对SO文件进行格式分析以生成自定义格式；

加密模块，用于对所述自定义格式进行加密以生成加密后的自定义格式。

嵌入模块，用于将加密后的自定义格式嵌入到linker装载器里。

优选地，所述解析模块包括四个子模块：

头部解析模块，用于解析文件头部信息，读取SO文件的段头，根据所述段头定位SO文件的各个部分并装载到内存；

动态段解析模块，用于解析动态段，根据所述段头得到动态段的信息，拆解动态段的各个部分，随后用自定义格式将动态段重新拼装；

代码段合并模块，用于合并代码段，将自定义的格式和代码段重新合并；

原格式破坏模块，用于破坏原格式，使用随机数填充原格式。

根据本发明的再一个方面，本发明还提供了一种防逆向破解的加密方法，包括以下步骤：

在SO文件中添加系统关键代码修改入口函数；

对SO文件进行格式分析以生成自定义格式；

对所述自定义格式进行抽取操作，以生成抽取后的自定义格式；

对所述抽取后的自定义格式进行加密；

对所述修改入口函数进行修改操作，以生成修改后入口；

在加密后的自定义格式中嵌入保护代码；

将加密并嵌入保护代码后的自定义格式嵌入到linker装载器里。

优选地，采用SO文件格式分析器对SO文件进行上述格式分析，所述格式分析包括以下四个子步骤：(1)、解析文件头部信息：读取SO文件的段头，根据所述段头定位SO文件的各个部分并装载到内存；(2)、解析动态段：根据所述段头得到动态段的信息，拆解动态段的各个部分，随后用自定义格式将动态段重新拼装；(3)、合并代码段：将自定义的格式和代码段重新合并；(4)、破坏原格式：使用随机数填充原格式。

优选地，采用嵌入式代码将加密后的自定义格式嵌入到linker装载器里。

根据本发明的又一个方面，本发明还提供了一种防逆向破解的加密系统，该系统包括以下模块：

修改入口模块，用于添加系统关键代码修改入口函数；

解析模块，用于对SO文件进行格式分析以生成自定义格式；

抽取模块，用于对所述SO文件进行抽取操作，以生成抽取后的自定义格式；

加密模块，用于对所述自定义格式进行加密；

修改模块，用于对所述修改入口函数进行修改操作，以生成修改后入口；

保护代码模块，用于在加密后的自定义格式中嵌入保护代码；

嵌入模块，用于将加密并嵌入保护代码后的自定义格式嵌入到linker装载器里。

优选地，所述解析模块包括四个子模块：

头部解析模块，用于解析文件头部信息，读取SO文件的段头，根据所述段头定位SO文件的各个部分并装载到内存；

动态段解析模块，用于解析动态段，根据所述段头得到动态段的信息，拆解动态段的各个部分，随后用自定义格式将动态段重新拼装；

代码段合并模块，用于合并代码段，将自定义的格式和代码段重新合并；

原格式破坏模块，用于破坏原格式，使用随机数填充原格式。

本发明的有益效果在于：本发明通过对SO文件中的代码进行格式分析后再加密，防止SO文件被逆向破解，从而保护了现有SO文件的安全，提高了分析SO文件的技术门槛。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1为本发明的较佳实施例的SO文件的防逆向破解的加密方法的流程图。

图2为本发明的较佳实施例的格式分析的方法流程图。

图3为本发明的较佳实施例的SO文件的防逆向破解的加密系统的模块示意图。

图4为本发明的较佳实施例的解析模块的结构示意图。

图5为本发明的较佳实施例的SO文件的防逆向破解的加密方法中SO文件变化情况示意图。

图6为本发明的另一个实施例的SO文件的防逆向破解的加密方法的流程图。

图7为本发明的另一个实施例的格式分析的方法流程图。

图8为本发明的另一个实施例的SO文件的防逆向破解的加密系统的模块示意图。

图9为本发明的另一个实施例的解析模块的结构示意图。

图10为本发明的另一个实施例的SO文件的防逆向破解的加密方法中SO文件变化情况示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

图1示出了根据本发明一个实施例的一种防逆向破解的加密方法的流程示意图；如图1所示，本发明的SO文件的防逆向破解的加密方法包括以下步骤：

步骤S110、对SO文件进行格式分析以生成自定义格式。具体地，在该步骤中采用SO文件格式分析器对SO文件进行上述格式分析。

如图2所示，具体地，所述格式分析具体包括以下四个子步骤：S111、解析文件头部信息：读取SO文件的段头，根据所述段头定位SO文件的各个部分并装载到内存。S112、解析动态段：根据所述段头得到动态段的信息，拆解动态段的各个部分，随后用自定义格式将动态段重新拼装。S113、合并代码段：将自定义的格式和代码段重新合并。S114、破坏原格式：使用随机数填充原格式。

步骤S120、对所述自定义格式进行加密以生成加密后的自定义格式。

具体地，在加密之前还可以在所述自定义格式中嵌入保护代码。所述的加密方法可以使用现有的各种对文件加密的算法，例如DES(Data Encryption Standard)：数据加密标准，速度较快，适用于加密大量数据的场合；3DES(Triple DES)：是基于DES，对一块数据用三个不同的密钥进行三次加密，强度更高；RC2和RC4：用变长密钥对大量数据进行加密，比DES快；IDEA(International Data Encryption Algorithm)国际数据加密算法：使用128位密钥提供非常强的安全性；RSA：是一个支持变长密钥的公共密钥算法，需要加密的文件块的长度也是可变的；DSA(Digital Signature Algorithm)：数字签名算法，是一种标准的DSS(数字签名标准)；AES(Advanced Encryption Standard)：高级加密标准，是下一代的加密算法标准，速度快，安全级别高，目前AES标准的一个实现是Rijndael算法；BLOWFISH，它使用变长的密钥，长度可达448位，运行速度很快；其它算法，如ElGamal、Deffie-Hellman、新型椭圆曲线算法ECC等。

步骤S130、将加密后的自定义格式嵌入到linker装载器里。

具体地，在该步骤中采用嵌入式代码将加密后的自定义格式嵌入到linker里。Linker使用ElfRead类的load函数完成so文件的分析工作。该类的源代码在linker_phdr.cpp中。Load函数代码如下：

显然此函数依次调用ReadElfHeader、ReadProgramHeader等函数。

在本发明的具体实施过程中，所述SO文件为基于linux内核系统的SO文件。

图3为本发明的较佳实施例的SO文件的防逆向破解的加密系统的模块示意图。如图3所示，本发明的SO文件的防逆向破解的加密系统200，包括解析模块210、加密模块220以及嵌入模块230。

其中，所述解析模块210，用于对SO文件进行格式分析以生成自定义格式；具体地，该模块采用SO文件格式分析器对SO文件进行上述格式分析。如图4所示，所述解析模块210包括四个子模块：头部解析模块211，用于解析文件头部信息，读取SO文件的段头，根据所述段头定位SO文件的各个部分并装载到内存；动态段解析模块212，用于解析动态段，根据所述段头得到动态段的信息，拆解动态段的各个部分，随后用自定义格式将动态段重新拼装；代码段合并模块213，用于合并代码段，将自定义的格式和代码段重新合并；原格式破坏模块214，用于破坏原格式，使用随机数填充原格式。

所述加密模块220，用于对所述自定义格式进行加密以生成加密后的自定义格式。

所述嵌入模块230，用于将加密后的自定义格式嵌入到linker装载器里。具体地，在该模块中采用嵌入式代码将加密后的自定义格式嵌入到linker里。

图5为本发明的较佳实施例的SO文件的防逆向破解的加密方法中SO文件变化情况示意图。可见，在该实施例中，SO文件依次经格式分析、加密，进而嵌入linker装载器中，能够有效的防止SO文件被逆向破解，从而保护了现有SO文件的安全，提高了分析SO文件的技术门槛。

图6示出了根据本发明另一个实施例的一种防逆向破解的加密方法的流程示意图；如图6所示，本发明的SO文件的防逆向破解的加密方法包括以下步骤：

步骤S310、在SO文件中添加系统关键代码修改入口函数。通过这些关键代码修改入口函数，可以修改或增加一些关键代码，例如增加反调试代码，可以进一步增强SO文件的反调试能力。

步骤S320、对SO文件进行格式分析以生成自定义格式。

具体地，在该步骤中采用SO文件格式分析器对SO文件进行上述格式分析。

如图7所示，具体地，所述格式分析具体包括以下四个子步骤：S321、解析文件头部信息：读取SO文件的段头，根据所述段头定位SO文件的各个部分并装载到内存。S322、解析动态段：根据所述段头得到动态段的信息，拆解动态段的各个部分，随后用自定义格式将动态段重新拼装。S323、合并代码段：将自定义的格式和代码段重新合并。S324、破坏原格式：使用随机数填充原格式。

步骤S330、对所述自定义格式进行抽取(pump)操作，以生成抽取后的自定义格式；通过抽取操作，进一步改变SO文件获得新的自定义格式。

步骤S340、对所述抽取后的自定义格式进行加密。

具体地，所述的加密方法可以使用现有的各种对文件加密的算法，例如DES(Data Encryption Standard)：数据加密标准，速度较快，适用于加密大量数据的场合；3DES(Triple DES)：是基于DES，对一块数据用三个不同的密钥进行三次加密，强度更高；RC2和RC4：用变长密钥对大量数据进行加密，比DES快；IDEA(International Data Encryption Algorithm)国际数据加密算法：使用128位密钥提供非常强的安全性；RSA：是一个支持变长密钥的公共密钥算法，需要加密的文件块的长度也是可变的；DSA(Digital Signature Algorithm)：数字签名算法，是一种标准的DSS(数字签名标准)；AES(Advanced Encryption Standard)：高级加密标准，是下一代的加密算法标准，速度快，安全级别高，目前AES标准的一个实现是Rijndael算法；BLOWFISH，它使用变长的密钥，长度可达448位，运行速度很快；其它算法，如ElGamal、Deffie-Hellman、新型椭圆曲线算法ECC等。

步骤S350、对所述修改入口函数进行修改操作，以生成修改后入口，从而完成对所述SO文件的加密。通过修改操作，进一步增强了SO文件的防逆向破解能力。

步骤S360、在加密后的自定义格式中嵌入保护代码。通过嵌入保护代码，进一步保护SO文件，防止黑客的破解，提高破解难度。

步骤S370、将加密并嵌入保护代码后的自定义格式嵌入到linker装载器里。

具体地，在该步骤中采用嵌入式代码将加密后的自定义格式嵌入到linker里。Linker使用ElfRead类的load函数完成so文件的分析工作。该类的源代码在linker_phdr.cpp中。Load函数代码如下：

显然此函数依次调用ReadElfHeader、ReadProgramHeader等函数。

图8为本发明的另一个实施例的SO文件的防逆向破解的加密系统的模块示意图。如图8所示，本发明的SO文件的防逆向破解的加密系统400，包括如下模块：

修改入口模块410，用于添加系统关键代码修改入口函数。

解析模块420，用于对SO文件进行格式分析以生成自定义格式。具体地，在该模块中采用SO文件格式分析器对SO文件进行上述格式分析。如图9所示，所述解析模块420包括四个子模块：头部解析模块421，用于解析文件头部信息，读取SO文件的段头，根据所述段头定位SO文件的各个部分并装载到内存；动态段解析模块422，用于解析动态段，根据所述段头得到动态段的信息，拆解动态段的各个部分，随后用自定义格式将动态段重新拼装；代码段合并模块423，用于合并代码段，将自定义的格式和代码段重新合并；原格式破坏模块424，用于破坏原格式，使用随机数填充原格式。

抽取模块430，用于对所述SO文件进行抽取操作，以生成抽取后的自定义格式；

加密模块440，用于对所述自定义格式进行加密；

修改模块450，用于对所述修改入口函数进行修改操作，以生成修改后入口，从而完成对所述SO文件的加密。

保护代码模块460，用于在加密后的自定义格式中嵌入保护代码。

嵌入模块470，用于将加密并嵌入保护代码后的自定义格式嵌入到linker装载器里。

具体地，在该模块中采用嵌入式代码将加密后的自定义格式嵌入到linker里。

图10为本发明的另一实施例的SO文件的防逆向破解的加密方法中SO文件变化情况示意图。可见，在该实施例中，SO文件依次经添加修改入口、格式分析、抽取、加密、修改修改入口、嵌入保护代码，进而嵌入linker装载器中，能够比前述实施例更加有效的防止SO文件被逆向破解，从而保护了现有SO文件的安全，极大提高了分析SO文件的技术门槛。

需要说明的是：

在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固有相关。各种通用装置也可以与基于在此的示教一起使用。根据上面的描述，构造这类装置所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权

利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的虚拟机的创建装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。因此，本发明的保护范围应以所述权利要求的保护范围为准。