Этапы преодоления систем защиты программного обеспечения

С.А.Середа

В статье описывается обобщённая процедура анализа и деактивации систем защиты программного обеспечения (ПО) от несанкционированного использования и копирования. Знание методик, которые используются злоумышленниками ('crackers') для преодоления систем программной защиты, позволяет более точно определить слабые места существующих систем, а так же проектировать новые, более устойчивые к атакам ¹ . Нами предлагается описание унифицированной методики анализа и преодоления систем программной защиты, являющейся результатом обобщения и систематизации многочисленных приёмов "взлома" программ, публикуемых в современной литературе [ 1], а также, доступных в глобальной сети. По итогам проведённого исследования предложен комплексный критерий оценки устойчивости систем защиты программного продукта.

В настоящее время наиболее популярным средством борьбы с нелегальным распространением коммерческих программных продуктов остаётся программная защита их двоичного кода. Существуют системы защиты программного обеспечения разных типов [ 4, 6], все они постоянно развиваются. В то же время, имеются и средства, позволяющие исследовать защищённые программы и отключать системы их защиты [ 5]. В условиях такого динамического равновесия важным фактором, влияющим на стойкость систем защиты, является методическое обеспечение как специалистов по защите ПО, так и злоумышленников.

Мы считаем, что изучению методов, используемых для анализа и преодоления систем защиты ПО, не уделялось достаточного внимания, в то время как их знание позволяет в значительной мере сократить количество уязвимых мест в системах защиты.

Нами было проведено исследование современных подходов к программно-технической защите программных продуктов, а также подходов к преодолению такой защиты. В результате можно сделать вывод, что как с одной (защита), так и с другой ("взлом") стороны основное внимание уделялось и до сих пор уделяется прикладным приёмам защиты ПО или её преодоления [ 3]. В то же время, нам не удалось отыскать ни обобщённых методик проектирования и реализации систем программной защиты, ни аналогичных методик анализа и преодоления таких систем.

Анализ приёмов преодоления систем программной защиты различных типов позволил выявить ряд общих закономерностей. В данном случае, положительную роль сыграло многообразие описываемых злоумышленниками методик, различный уровень их сложности, а также их принадлежность к различным стадиям анализа систем защиты ПО. Таким образом, стало возможным систематизировать информацию по данному вопросу и описать обобщённую процедуру анализа и преодоления систем защиты программных продуктов.

По нашему мнению, любые приёмы и методы анализа и преодоления систем защиты ПО можно свести к ряду стандартных этапов. (См. блок-схему на Рис.1)

Первый этап - определение цели атаки. В первую очередь злоумышленнику необходимо определить цель, для достижения которой он будет атаковать систему защиты программного продукта. Среди возможных целей можно выделить следующие три: личное использование программного продукта; распространение средств, отключающих систему защиты продукта ('crack-files'); несанкционированное распространение самого программного продукта ('warez'). В зависимости от перечисленных целей подход к "взлому" системы защиты того или иного программного продукта может варьироваться. В частности, если злоумышленник планирует использовать программный продукт в личных целях, он может воспользоваться методами, требующими высокой квалификации пользователя, необходимой для работы с отключенной системой защиты. Если предполагается распространение средств отключения системы защиты конкретного продукта злоумышленнику необходимо ориентироваться на неквалифицированного в вопросах защиты ПО пользователя. Это может потребовать дополнительных усилий и затрат времени. Наконец, если злоумышленник планирует распространять "взломанный" программный продукт, ему, как правило, необходимо осуществить прямое отключение системы защиты, что значительно сложнее, чем просто её обход.

Второй этап - поиск проявлений системы защиты. Проявления работы систем защиты могут иметь следующий вид:

ограничение времени использования продукта ('trial/evaluation');

ограничение функциональности продукта ('demo/crippled');

регулярные напоминания о необходимости регистрации ('nag screens');

запрос регистрационного кода ('regcode');

генерация системных ошибок ('crash/GPF');

сбор и передача персональных данных ('spyware');

вредоносные действия ('malware');

внесение ошибок в обработку данных и др.

Возможны и комбинации перечисленных проявлений.

В зависимости от этих проявлений злоумышленник может применять различные подходы к исследованию системы защиты, а так же затрачивать разное время и усилия на её преодоление. Например, напоминания о необходимости регистрации направлены на чисто психологическое воздействие и их отключение обычно не представляет большой сложности. Программные продукты с ограничениями времени использования всегда уязвимы для атак. Продукты с ограничениями функциональности уязвимы, если есть возможность снять ограничения с помощью регистрационного кода, и отключённые подпрограммы не зашифрованы. Системы, отключающие защиту при вводе верного регистрационного номера, можно преодолеть при отсутствии шифрования кода ПО стойкими криптоал