如何保护非托管应用程序中的字符串免受进程转储
How to protect strings in a unmanaged application from process dump
首先它不是 重复的 post!
请看完,你就明白了!
我正在开发一些应用程序,安全对我来说非常重要...
我搜索了很多,我做了很多方法,我测试了我找到的每一种方法,但差别不大!
◾️ 我需要在我的应用程序中保护一些非常重要的字符串,例如 AES256 或 Base64 加密的密钥和 IV 密钥。
我们都面临的两个事实:
We all know that the security of .NET is very low! In fact, A kid can crack it by a cellphone !!!
There is nothing as 100% security, we only reduce the speed of access to resources by making it harder and harder ...
但我现在面临的确实是一个严重的安全问题,它可能会伤害很多客户。
好的,是时候问了...
我需要知道如何让我的 AES 密钥 和 AES IV 免受 转储程序和内存提取器的攻击,即使我无法创建非常高的安全性,我也需要通过单击来保护它的打开!
My application is a Unmanaged C++
我做过和尝试过的事情:
A ) 使用 XOR 方法:
我使用 xor 方法创建我的字符串,但它可以通过 string2 dumper 一键提取!
阅读更多:https://github.com/Jyang772/XOR_Crypter
B ) 使用分隔字符串:
这是一个例子:
char Departed_String1[4];
int nmbr1 = 0;
char Departed_String1_dep[4];
int nmbr1_dep = 0;
Departed_String1[nmbr1++] = 'T';
Departed_String1_dep[nmbr1_dep++] = 'U';
Departed_String1[nmbr1++] = 'E';
Departed_String1_dep[nmbr1_dep++] = 'C';
Departed_String1[nmbr1++] = 'S';
Departed_String1_dep[nmbr1_dep++] = 'h';
Departed_String1_dep[nmbr1_dep++] = 'U';
Departed_String1[nmbr1++] = 'T';
Departed_String1_dep[nmbr1_dep++] = 'y';
Departed_String1_dep[nmbr1_dep++] = '8';
这个也可以用调试器轻松打开!
C) 我自己的方法:LostChars
const char* teststring_src = "HeVthsNiNVrtTuODkhPgDkmCxQApD:feSCiQDDWePakOTtFcLzTSbKTaZwsUnpeYMlndoYXJyXBpSSSNGsWblpQhUKKCzWUfHnNxQtNsXXnFzXtSGzIBYjCIlSMbEoqwJfArwrqfeLRANEYgjdknHuzSIzgiglRBFEDmFqDBBbgUQD VvDjnQPdFKDYTSxnDXTqKdHtOCayMbACkmQLJqgHtBtTj CoiXxETJwiIkgMgaVaskZtLiWDotsTldTHdBiJiGIfCmjjjBdAbIFiJFFhXPeAjiKbPuktOmiIuhqDkIhMxFBGZevIIjoOuKfddWgUmdFbNfShAIhphPYKhpxtimPhmDatYlOWCXBXQbkFDY QaKyRMhHznNJClQjDmevKUSnfoCXfWplSDzVWxMOkGkntVMmijf QzbalAbRokBAXXfDvevyHbOmAaUIKMBivJVrTxALngQjGShZdzTsZJwIooYLIuqxcTjELFPRFAAzqE fnIznpwtUzEXFBm";
std::string teststring = (std::string(1,teststring_src[468])+std::string(1,teststring_src[4])+std::string(1,teststring_src[230])+std::string(1,teststring_src[249])+std::string(1,teststring_src[174])+std::string(1,teststring_src[343])+std::string(1,teststring_src[239])+std::string(1,teststring_src[365])+std::string(1,teststring_src[41])+std::string(1,teststring_src[417])+std::string(1,teststring_src[227])+std::string(1,teststring_src[62])+std::string(1,teststring_src[469])+std::string(1,teststring_src[248])+std::string(1,teststring_src[220])+std::string(1,teststring_src[329])+std::string(1,teststring_src[504])+std::string(1,teststring_src[453])+std::string(1,teststring_src[223])+std::string(1,teststring_src[66])+std::string(1,teststring_src[156])+std::string(1,teststring_src[496])+std::string(1,teststring_src[29])+std::string(1,teststring_src[20]));
不完美仍然转储!
D ) 使用十六进制而不是字符串:
wchar_t string[7] = { 0x0118, 0x0154, 0x010C, 0x012C, 0x0154, 0x0084, 0x0000 };
for (unsigned int GUEvK = 0, GNsdj = 0; GUEvK < 7; GUEvK++)
{
GNsdj = string[GUEvK];
GNsdj = ((GNsdj << 14) | ( (GNsdj & 0xFFFF) >> 2)) & 0xFFFF;
string[GUEvK] = GNsdj;
}
wprintf(string);
好的 :) This guy 制作了一个软件来保护字符串...... 哇太棒了! 很划算 50 欧元 !但是这里有个小问题!
只需 2 次单击 和 1 秒即可通过 Process Explorer
转储
这是一个例子:
unsigned char myKey[48] = { 0xCF, 0x34, 0xF8, 0x5F, 0x5C, 0x3D, 0x22, 0x13, 0xB4, 0xF3, 0x63, 0x7E, 0x6B, 0x34, 0x01, 0xB7, 0xDB, 0x89, 0x9A, 0xB5, 0x1B, 0x22, 0xD4, 0x29, 0xE6, 0x7C, 0x43, 0x0B, 0x27, 0x00, 0x91, 0x5F, 0x14, 0x39, 0xED, 0x74, 0x7D, 0x4B, 0x22, 0x04, 0x48, 0x49, 0xF1, 0x88, 0xBE, 0x29, 0x1F, 0x27 };
myKey[30] -= 0x18;
myKey[39] -= 0x8E;
myKey[3] += 0x16;
myKey[1] += 0x45;
myKey[0] ^= 0xA2;
myKey[24] += 0x8C;
myKey[44] ^= 0xDB;
myKey[15] ^= 0xC5;
myKey[7] += 0x60;
myKey[27] ^= 0x63;
myKey[37] += 0x23;
myKey[2] ^= 0x8B;
myKey[25] ^= 0x18;
myKey[12] ^= 0x18;
myKey[14] ^= 0x62;
myKey[11] ^= 0x0C;
myKey[13] += 0x31;
myKey[6] -= 0xB0;
myKey[22] ^= 0xA3;
myKey[43] += 0xED;
myKey[29] -= 0x8C;
myKey[38] ^= 0x47;
myKey[19] -= 0x54;
myKey[33] -= 0xC2;
myKey[40] += 0x1D;
myKey[20] -= 0xA8;
myKey[34] ^= 0x84;
myKey[8] += 0xC1;
myKey[28] -= 0xC6;
myKey[18] -= 0x2A;
myKey[17] -= 0x15;
myKey[4] ^= 0x2C;
myKey[9] -= 0x83;
myKey[26] += 0x31;
myKey[10] ^= 0x06;
myKey[16] += 0x8A;
myKey[42] += 0x76;
myKey[5] ^= 0x58;
myKey[23] ^= 0x46;
myKey[32] += 0x61;
myKey[41] ^= 0x3B;
myKey[31] ^= 0x30;
myKey[46] ^= 0x6C;
myKey[35] -= 0x08;
myKey[36] ^= 0x11;
myKey[45] -= 0xB6;
myKey[21] += 0x51;
myKey[47] += 0xD9;
您只需要 运行 您的应用程序,在 Process Explorer 中右键单击您的应用程序并 单击完全转储
... 轰!!!所有字符串都在那里!
** 我尝试了很多其他方法,但仍然一切都在 Full Dump 中...**
真的没有办法防止这个安全漏洞吗?
感谢您的帮助!
首先,请记住,如果攻击者可以将调试器附加到您的进程,并且您的进程必须是负责解密的进程,那么您已经输了;你能得到的最好的是 "security through obscurity"。更安全的方法通常需要将部分工作卸载给攻击者无法访问的参与者——无论是外部的、防篡改的加密设备还是远程服务。
但最重要的是,任何方法都容易被转储,因为迟早你需要访问明文,它会在内存中准备好供任何有调试器的人读取。
也就是说,您可以通过仅按需解密您的字符串并在之后立即将其擦除来缓解最后一个问题;这减少了攻击者的 window 机会。因此,您不需要一个解密静态缓冲区的函数,而是一个用所需的秘密填充客户端提供的缓冲区的函数(并确保客户端在解除分配之前实际将此类缓冲区的内容清零 - 使用memset-like 它需要一个 volatile 指针来确保擦除没有被优化掉)。
至于将密钥实际存储到可执行文件中,您可以使用多种方法来制造混乱。使用普通初始化器初始化全局变量会将相关数据放入可执行文件的 .rodata 部分,这是我首先要查看的地方;任何具有足够高熵的字符串都将成为进一步调查使用它的地方的死胡同(IDA 反汇编器使这特别容易)。我想到的一种可能性是从一个函数中每次实际初始化一个字节的缓冲区(可能使指针指向缓冲区 volatile,以确保编译器不会使用奇怪的技巧);这应该将您的数据直接放入代码部分,这不太值得怀疑,并且由于与操作码交错,熵应该保持较低。
可以使用一些简单的技巧对这些数据进行进一步加密 - 例如,与简单 XorShift PRNG 的输出进行异或运算;这再次增加了混乱,但 XorShift 是在少数指令中实现的,因此您没有额外的依赖项或 "suspect" 代码。
另一个要点是,如果您要隐藏解密密钥,则不要使用操作系统提供的加密原语,而是 link 静态地使用您的实现,并且可能不使用 AES-NI 或其他明显的赠品。如果我首先尝试提取解密密钥,我会将所有相关的 CryptoAPI 连接到调试器中,然后查看可执行文件中的加密指令以找到最有趣的区域。
首先它不是 重复的 post!
请看完,你就明白了!
我正在开发一些应用程序,安全对我来说非常重要...
我搜索了很多,我做了很多方法,我测试了我找到的每一种方法,但差别不大!
◾️ 我需要在我的应用程序中保护一些非常重要的字符串,例如 AES256 或 Base64 加密的密钥和 IV 密钥。
我们都面临的两个事实:
We all know that the security of .NET is very low! In fact, A kid can crack it by a cellphone !!!
There is nothing as 100% security, we only reduce the speed of access to resources by making it harder and harder ...
但我现在面临的确实是一个严重的安全问题,它可能会伤害很多客户。
好的,是时候问了...
我需要知道如何让我的 AES 密钥 和 AES IV 免受 转储程序和内存提取器的攻击,即使我无法创建非常高的安全性,我也需要通过单击来保护它的打开!
My application is a Unmanaged C++
我做过和尝试过的事情:
A ) 使用 XOR 方法:
我使用 xor 方法创建我的字符串,但它可以通过 string2 dumper 一键提取!
阅读更多:https://github.com/Jyang772/XOR_Crypter
B ) 使用分隔字符串:
这是一个例子:
char Departed_String1[4];
int nmbr1 = 0;
char Departed_String1_dep[4];
int nmbr1_dep = 0;
Departed_String1[nmbr1++] = 'T';
Departed_String1_dep[nmbr1_dep++] = 'U';
Departed_String1[nmbr1++] = 'E';
Departed_String1_dep[nmbr1_dep++] = 'C';
Departed_String1[nmbr1++] = 'S';
Departed_String1_dep[nmbr1_dep++] = 'h';
Departed_String1_dep[nmbr1_dep++] = 'U';
Departed_String1[nmbr1++] = 'T';
Departed_String1_dep[nmbr1_dep++] = 'y';
Departed_String1_dep[nmbr1_dep++] = '8';
这个也可以用调试器轻松打开!
C) 我自己的方法:LostChars
const char* teststring_src = "HeVthsNiNVrtTuODkhPgDkmCxQApD:feSCiQDDWePakOTtFcLzTSbKTaZwsUnpeYMlndoYXJyXBpSSSNGsWblpQhUKKCzWUfHnNxQtNsXXnFzXtSGzIBYjCIlSMbEoqwJfArwrqfeLRANEYgjdknHuzSIzgiglRBFEDmFqDBBbgUQD VvDjnQPdFKDYTSxnDXTqKdHtOCayMbACkmQLJqgHtBtTj CoiXxETJwiIkgMgaVaskZtLiWDotsTldTHdBiJiGIfCmjjjBdAbIFiJFFhXPeAjiKbPuktOmiIuhqDkIhMxFBGZevIIjoOuKfddWgUmdFbNfShAIhphPYKhpxtimPhmDatYlOWCXBXQbkFDY QaKyRMhHznNJClQjDmevKUSnfoCXfWplSDzVWxMOkGkntVMmijf QzbalAbRokBAXXfDvevyHbOmAaUIKMBivJVrTxALngQjGShZdzTsZJwIooYLIuqxcTjELFPRFAAzqE fnIznpwtUzEXFBm";
std::string teststring = (std::string(1,teststring_src[468])+std::string(1,teststring_src[4])+std::string(1,teststring_src[230])+std::string(1,teststring_src[249])+std::string(1,teststring_src[174])+std::string(1,teststring_src[343])+std::string(1,teststring_src[239])+std::string(1,teststring_src[365])+std::string(1,teststring_src[41])+std::string(1,teststring_src[417])+std::string(1,teststring_src[227])+std::string(1,teststring_src[62])+std::string(1,teststring_src[469])+std::string(1,teststring_src[248])+std::string(1,teststring_src[220])+std::string(1,teststring_src[329])+std::string(1,teststring_src[504])+std::string(1,teststring_src[453])+std::string(1,teststring_src[223])+std::string(1,teststring_src[66])+std::string(1,teststring_src[156])+std::string(1,teststring_src[496])+std::string(1,teststring_src[29])+std::string(1,teststring_src[20]));
不完美仍然转储!
D ) 使用十六进制而不是字符串:
wchar_t string[7] = { 0x0118, 0x0154, 0x010C, 0x012C, 0x0154, 0x0084, 0x0000 };
for (unsigned int GUEvK = 0, GNsdj = 0; GUEvK < 7; GUEvK++)
{
GNsdj = string[GUEvK];
GNsdj = ((GNsdj << 14) | ( (GNsdj & 0xFFFF) >> 2)) & 0xFFFF;
string[GUEvK] = GNsdj;
}
wprintf(string);
好的 :) This guy 制作了一个软件来保护字符串...... 哇太棒了! 很划算 50 欧元 !但是这里有个小问题!
只需 2 次单击 和 1 秒即可通过 Process Explorer
转储这是一个例子:
unsigned char myKey[48] = { 0xCF, 0x34, 0xF8, 0x5F, 0x5C, 0x3D, 0x22, 0x13, 0xB4, 0xF3, 0x63, 0x7E, 0x6B, 0x34, 0x01, 0xB7, 0xDB, 0x89, 0x9A, 0xB5, 0x1B, 0x22, 0xD4, 0x29, 0xE6, 0x7C, 0x43, 0x0B, 0x27, 0x00, 0x91, 0x5F, 0x14, 0x39, 0xED, 0x74, 0x7D, 0x4B, 0x22, 0x04, 0x48, 0x49, 0xF1, 0x88, 0xBE, 0x29, 0x1F, 0x27 };
myKey[30] -= 0x18;
myKey[39] -= 0x8E;
myKey[3] += 0x16;
myKey[1] += 0x45;
myKey[0] ^= 0xA2;
myKey[24] += 0x8C;
myKey[44] ^= 0xDB;
myKey[15] ^= 0xC5;
myKey[7] += 0x60;
myKey[27] ^= 0x63;
myKey[37] += 0x23;
myKey[2] ^= 0x8B;
myKey[25] ^= 0x18;
myKey[12] ^= 0x18;
myKey[14] ^= 0x62;
myKey[11] ^= 0x0C;
myKey[13] += 0x31;
myKey[6] -= 0xB0;
myKey[22] ^= 0xA3;
myKey[43] += 0xED;
myKey[29] -= 0x8C;
myKey[38] ^= 0x47;
myKey[19] -= 0x54;
myKey[33] -= 0xC2;
myKey[40] += 0x1D;
myKey[20] -= 0xA8;
myKey[34] ^= 0x84;
myKey[8] += 0xC1;
myKey[28] -= 0xC6;
myKey[18] -= 0x2A;
myKey[17] -= 0x15;
myKey[4] ^= 0x2C;
myKey[9] -= 0x83;
myKey[26] += 0x31;
myKey[10] ^= 0x06;
myKey[16] += 0x8A;
myKey[42] += 0x76;
myKey[5] ^= 0x58;
myKey[23] ^= 0x46;
myKey[32] += 0x61;
myKey[41] ^= 0x3B;
myKey[31] ^= 0x30;
myKey[46] ^= 0x6C;
myKey[35] -= 0x08;
myKey[36] ^= 0x11;
myKey[45] -= 0xB6;
myKey[21] += 0x51;
myKey[47] += 0xD9;
您只需要 运行 您的应用程序,在 Process Explorer 中右键单击您的应用程序并 单击完全转储
... 轰!!!所有字符串都在那里!
** 我尝试了很多其他方法,但仍然一切都在 Full Dump 中...**
真的没有办法防止这个安全漏洞吗? 感谢您的帮助!
首先,请记住,如果攻击者可以将调试器附加到您的进程,并且您的进程必须是负责解密的进程,那么您已经输了;你能得到的最好的是 "security through obscurity"。更安全的方法通常需要将部分工作卸载给攻击者无法访问的参与者——无论是外部的、防篡改的加密设备还是远程服务。
但最重要的是,任何方法都容易被转储,因为迟早你需要访问明文,它会在内存中准备好供任何有调试器的人读取。
也就是说,您可以通过仅按需解密您的字符串并在之后立即将其擦除来缓解最后一个问题;这减少了攻击者的 window 机会。因此,您不需要一个解密静态缓冲区的函数,而是一个用所需的秘密填充客户端提供的缓冲区的函数(并确保客户端在解除分配之前实际将此类缓冲区的内容清零 - 使用memset-like 它需要一个 volatile 指针来确保擦除没有被优化掉)。
至于将密钥实际存储到可执行文件中,您可以使用多种方法来制造混乱。使用普通初始化器初始化全局变量会将相关数据放入可执行文件的 .rodata 部分,这是我首先要查看的地方;任何具有足够高熵的字符串都将成为进一步调查使用它的地方的死胡同(IDA 反汇编器使这特别容易)。我想到的一种可能性是从一个函数中每次实际初始化一个字节的缓冲区(可能使指针指向缓冲区 volatile,以确保编译器不会使用奇怪的技巧);这应该将您的数据直接放入代码部分,这不太值得怀疑,并且由于与操作码交错,熵应该保持较低。
可以使用一些简单的技巧对这些数据进行进一步加密 - 例如,与简单 XorShift PRNG 的输出进行异或运算;这再次增加了混乱,但 XorShift 是在少数指令中实现的,因此您没有额外的依赖项或 "suspect" 代码。
另一个要点是,如果您要隐藏解密密钥,则不要使用操作系统提供的加密原语,而是 link 静态地使用您的实现,并且可能不使用 AES-NI 或其他明显的赠品。如果我首先尝试提取解密密钥,我会将所有相关的 CryptoAPI 连接到调试器中,然后查看可执行文件中的加密指令以找到最有趣的区域。