WO2010097382A1 - Procédé d'obscurcissement d'un programme d'ordinateur. - Google Patents
Procédé d'obscurcissement d'un programme d'ordinateur. Download PDFInfo
- Publication number
- WO2010097382A1 WO2010097382A1 PCT/EP2010/052276 EP2010052276W WO2010097382A1 WO 2010097382 A1 WO2010097382 A1 WO 2010097382A1 EP 2010052276 W EP2010052276 W EP 2010052276W WO 2010097382 A1 WO2010097382 A1 WO 2010097382A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- program
- value
- variable
- instruction
- line
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 238000004590 computer program Methods 0.000 title claims abstract description 14
- 230000006870 function Effects 0.000 description 3
- 230000009466 transformation Effects 0.000 description 2
- 238000000844 transformation Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000006837 decompression Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/14—Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
Definitions
- the invention is in the field of data protection and computer programs and more specifically relates to a method of obscuring a computer program to prevent disassembly thereof, i.e. rebuilding the source code from the executable code, and / or the modification (patch) by unauthorized persons.
- the invention also relates to a computer program recorded on a medium and comprising instruction lines which, when executed by a computer, make it possible to obfuscate said program.
- the invention also relates to a use of the method according to the invention for obscuring a computer program recorded on a medium and intended to perform the functions of a flight simulator when it is run on a computer.
- the obscuration techniques of known computer programs are essentially based on the use of utilities called "packers" whose function is to compress the executable program (.exe, .dll, .ocx, etc.) and to encrypt it simultaneously.
- the packers are made of two parts:
- Packers are more suitable for copy protection than darkening programs.
- the packers introduce transformations on the program to be protected which complicates the execution.
- An object of the invention is to achieve a simple and effective obfuscation of a program without complicating the execution.
- Another object of the invention is to hide the transformations of a program.
- the method according to the invention further comprises a step of assembling the new program line to obtain the opcodes and to use the opcodes obtained as operands of the operation providing the numerical value V.
- the method according to the invention comprises a step of replacing the value of said digital variable V by the result of the operation defined in step b)
- the digital coding of the instruction using the digital value V is replaced by the memory address pointed by the operation whose execution provides said digital value V.
- steps a), b) and c) of the method according to the invention are repeated recursively.
- the invention applies to the obfuscation of a computer program recorded on a medium and intended to perform, when executed by a computer, simulation functions, security data processing, or industrial process management.
- the method according to the invention is applicable to all computer programs comprising a plurality of lines of instructions written in a source language and intended to be translated by a compiler into a target language.
- the source language may be for example a high level programming language of abstraction and the target language is an assembly language or machine language called object code.
- the method according to the invention is used to obscure a computer program representing a flight simulator.
- the attached figure illustrates the essential steps of the method according to the invention.
- a particular line of the source code is selected.
- a line is selected containing an instruction or an essential data item of the program that is to be masked.
- step 4 it is verified that the selected line can be assembled independently of the other lines of the source code. If yes, we perform assembly of the selected line and replace it with these opcodes.
- step 8 a numerical variable V or an instruction with a numerical value V is chosen.
- step 10 an operation is defined whose execution provides said digital value V and at least one line of the program is substituted for hide by a new program line performing said operation.
- step 12 the assembly code representing the operation defined in step 10 is generated.
- step 14 if V is a numerical variable, the initialization of said variable is replaced by the expression that makes it possible to obtain it.
- step 16 if V is a constant numerical value, the assembly code representing the operation defined in step 10 is placed before the instruction chosen in step 8 and the numerical value is replaced. V by the register or the memory address containing the result of the operation defined in step 10.
- the first code shows that the numeric value 0x12 is replaced by a calculation using the "non-numeric" element located at the address 0x2, in this case an instruction opcode 0x89 to which it removes 0x77 to find the value 0x12.
- the original code is: 00000002 89ca mov edx, ecx
- the code modified by the method according to the invention is as follows:
- the original code is: 00000004 3IcO xor eax, eax 00000006 31db xor ebx, ebx
- 00000009 8b3d00200000 edi mov, [0x2000] 0000000f 2b3d04000000 sub edi, [0x4] 00000015 83ffl2 edi cmp, 0x12 00002000 75f353ec global value 0xec53f37.
Abstract
L' invention concerne un procédé d'obscurcissement d'un programme d'ordinateur. Ce procédé comporte les étapes suivantes : a - sélectionner une variable numérique V utilisée par ledit programme ou une instruction dudit programme utilisant ladite valeur numérique V, b - définir au moins une opération dont l'exécution fournit ladite valeur numérique V, c - substituer au moins une ligne dudit programme utilisant la variable numérique V par au moins une nouvelle ligne de programme réalisant l'opération fournissant la valeur de ladite variable numérique V.
Description
PROCEDE D'OBSCURCISSEMENT D'UN PROGRAMME D'ORDINATEUR
DOMAINE TECHNIQUE
L' invention se situe dans le domaine de la protection des données et des programmes d' ordinateur et concerne plus spécifiquement un procédé d'obscurcissement d'un programme d'ordinateur afin d'en empêcher le désassemblage, c'est-à-dire la reconstruction du code source à partir du code exécutable, et/ou la modification (patch) par des personnes non autorisées.
L' invention concerne également un programme d'ordinateur enregistré sur un support et comportant des lignes d'instructions qui lorsqu'elles sont exécutées par un ordinateur permettent d'obtenir l'obscurcissement dudit programme.
L' invention concerne également une utilisation du procédé selon l'invention pour obscurcir un programme d'ordinateur enregistré sur un support et destiné à réaliser les fonctions d'un simulateur de vol lorsqu'il est exécuté sur un ordinateur.
ÉTAT DE LA TECHNIQUE ANTÉRIEURE
Les techniques d'obscurcissement de programmes d'ordinateur connues sont essentiellement basées sur l'utilisation d'utilitaires appelés « packers » dont la fonction consiste à compresser le programme exécutable (.exe, . dll, .ocx, etc..) et à le crypter simultanément.
Les « packers » sont donc constitués de deux parties :
- la routine de compression/cryptage, extérieur au programme compressé ; - la routine de décompression/décryptage embarquée dans le programme compressé.
Les "packers" sont plus adaptés à la protection contre la copie qu'à l'obscurcissement des programmes. En outre, il existe des outils logiciels appelés "dépackers" qui sont capables de supprimer automatiquement la protection réalisée sur un programme au moyen d'un packer. Par ailleurs, les packers introduisent des transformations sur le programme à protéger qui en complexifient l'exécution. Un but de l'invention est de réaliser un obscurcissement simple et efficace d'un programme sans en complexifier l'exécution.
Un autre but de l'invention est de masquer les transformations d'un programme.
EXPOSÉ DE L'INVENTION
Ces buts sont atteints au moyen d'un procédé d'obscurcissement d'un programme d'ordinateur comportant les étapes suivantes : a - sélectionner une variable numérique V utilisée par ledit programme ou une instruction dudit programme utilisant ladite valeur numérique V, b - définir au moins une opération dont l'exécution fournit ladite valeur numérique V, c - substituer au moins une ligne dudit programme utilisant la variable numérique V par au moins une nouvelle ligne de programme réalisant
l'opération fournissant la valeur de ladite variable numérique V.
Dans un mode préféré de réalisation, le procédé selon l'invention comporte en outre une étape consistant assembler la nouvelle ligne de programme pour en obtenir les opcodes et à utiliser les opcodes obtenus comme opérandes de l'opération fournissant la valeur numérique V.
En outre, le procédé selon l'invention comporte une étape consistant à remplacer la valeur de ladite variable numérique V par le résultat de l'opération définie à l'étape b)
Grâce au procédé selon l'invention, il est impossible de distinguer entre les instructions du programme et les données utilisées par ces instructions .
Dans une première variante de mise en œuvre du procédé de l'invention, le codage numérique de l'instruction utilisant la valeur numérique V est remplacé par l'adresse mémoire pointée par l'opération dont l'exécution fournit ladite valeur numérique V.
Dans le mode préféré de mise en œuvre, les étapes a), b) et c) du procédé selon l'invention sont répétées de façon récursive.
BRÈVE DESCRIPTION DES DESSINS
D'autres caractéristiques et avantages de l'invention ressortiront de la description qui va suivre, prise à titre d'exemple non limitatif, en référence à figure annexée illustrant les étapes essentielles du procédé.
MODES DE REALISATION PARTICULIERS
L'invention s'applique à l'obscurcissement d'un programme d'ordinateur enregistré sur un support et destiné à réaliser, lorsqu' il est exécuté par un ordinateur, des fonctions de simulation, des traitements de données de sécurité, ou encore de gestion de processus industriels.
De manière générale, le procédé selon l'invention est applicable à tous les programmes d'ordinateur comportant une pluralité de lignes d' instructions écrites dans un langage source et destiné à être traduit par un compilateur en un langage cible. Le langage source peut être par exemple un langage de programmation de haut niveau d' abstraction et le langage cible est un langage d'assemblage ou langage machine appelé code objet.
Dans un exemple particulier, le procédé selon l'invention est utilisé pour obscurcir un programme d'ordinateur représentant un simulateur de vol.
La figure annexée illustre les étapes essentielles du procédé selon l'invention.
A l'étape 2, on sélectionne une ligne particulière du code source. Préférentiellement, on sélectionne une ligne comportant une instruction ou une donnée essentielle du programme que l'on souhaite masquer.
A l'étape 4, on vérifie que la ligne sélectionnée peut être assemblée indépendamment des autres lignes du code source.
Si oui, on exécute l'assemblage de la ligne sélectionnée et on la remplace par ces opcodes.
Sinon, on re-sélectionne une ligne comportant une instruction ou une donnée essentielle du programme que l'on souhaite masquer et on exécute l'étape 4.
A l'étape 8, on choisit une variable numérique V ou une instruction avec une valeur numérique V. A l'étape 10, on définit une opération dont l'exécution fournit ladite valeur numérique V et on substitue au moins une ligne du programme à masquer par une nouvelle ligne de programme réalisant ladite opération . A l'étape 12, on génère le code assembleur représentant l'opération définie à l'étape 10.
Dans une première variante de mise en œuvre du procédé selon l'invention représenté par l'étape 14, si V est une variable numérique, on remplace l'initialisation de ladite variable par l'expression qui permet de l'obtenir.
Dans une autre variante représentée par l'étape 16, si V est une valeur numérique constante, on place le code assembleur représentant l'opération définie à l'étape 10 avant l'instruction choisie à l'étape 8 et on remplace la valeur numérique V par le registre ou l'adresse mémoire contenant le résultat de l'opération définie à l'étape 10.
Les deux variantes de mise en œuvre sont illustrées respectivement par le premier exemple et le deuxième exemple décrits ci-après.
Dans le premier exemple, le premier code montre que la valeur numérique 0x12 est remplacée par un calcul utilisant l'élément "non-numérique" situé à l'adresse 0x2, dans ce cas un opcode d'instruction 0x89 auquel il retire 0x77 pour retrouver la valeur 0x12.
Le code original est le suivant : 00000002 89ca mov edx, ecx
00000012 83c612 add esi, 0x12
Le code modifié par le procédé selon l'invention est le suivant :
00000002 89ca mov edx, ecx
00000012 0fb63d02000000 movzx edi, byte ptr[0x2] 00000019 83ef77 sub edi, 00000077 0000001c Olfe add esi, edi
Dans le deuxième exemple, on remplace une valeur globale située à l'adresse 0x2000 valant 0x11223344 par la valeur 0xec53f375 à laquelle le code soustrait un élément non numérique. Dans ce cas, les opcodes des instructions à l'adresse 0x4 et 0x6 valant respectivement 3IcO et 31db résultent à 0x11223344, c'est à dire la valeur originale.
Le code original est : 00000004 3IcO xor eax, eax 00000006 31db xor ebx, ebx
00000008 90 nop
00000009 8b3d00000000 mov edi, [0x2000] 0000000f 83ffl2 cmp edi, 00000012 00002000 44332211 global value = 0x11223344
Le code modifié par le procédé selon l'invention est :
00000004 3IcO xor eax, eax
00000006 31db xor ebx, ebx
00000008 90 nop
00000009 8b3d00200000 mov edi, [0x2000] 0000000f 2b3d04000000 sub edi, [0x4] 00000015 83ffl2 cmp edi, 0x12 00002000 75f353ec global value = 0xec53f37.
Claims
1. Procédé d'obscurcissement d'un programme d'ordinateur, caractérisé par les étapes suivantes : a - sélectionner une variable numérique V utilisée par ledit programme ou une instruction dudit programme utilisant ladite valeur numérique V, b - définir au moins une opération dont l'exécution fournit ladite valeur numérique V, c - substituer au moins une ligne dudit programme utilisant la variable numérique V par au moins une nouvelle ligne de programme réalisant l'opération fournissant la valeur de ladite variable numérique V. d- assembler la nouvelle ligne de programme pour en obtenir les opcodes, et, e- utiliser les opcodes obtenus comme opérandes de l'opération fournissant la valeur numérique V.
2. Procédé selon la revendication 1 consistant à remplacer la valeur de ladite variable numérique V par le résultat de l'opération définie à 1' étape b) .
3. Procédé selon la revendication 2 consistant à remplacer le codage numérique de ladite instruction par l'adresse mémoire pointée par l'opération définie à l'étape b) .
4. Procédé selon l'une des revendications 1 à 3, dans lequel les étapes à e) sont répétées de façon récursive .
5. Programme d'ordinateur enregistré sur un support et comportant des lignes d' instructions permettant d'obtenir l'obscurcissement dudit programme conformément au procédé selon l'une des revendications 1 à 4.
6. Application de la revendication 5 sur un simulateur de vol.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP10709452A EP2401693A1 (fr) | 2009-02-24 | 2010-02-23 | Procédé d'obscurcissement d'un programme d'ordinateur. |
CA2752339A CA2752339C (fr) | 2009-02-24 | 2010-02-23 | Procede d'obscurcissement d'un programme d'ordinateur |
US13/201,503 US9239913B2 (en) | 2009-02-24 | 2010-02-23 | Method for obfuscating a computer program |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0951161 | 2009-02-24 | ||
FR0951161A FR2942558B1 (fr) | 2009-02-24 | 2009-02-24 | Procede d'obscurcissement d'un programme d'ordinateur. |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2010097382A1 true WO2010097382A1 (fr) | 2010-09-02 |
Family
ID=40852490
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/EP2010/052276 WO2010097382A1 (fr) | 2009-02-24 | 2010-02-23 | Procédé d'obscurcissement d'un programme d'ordinateur. |
Country Status (5)
Country | Link |
---|---|
US (1) | US9239913B2 (fr) |
EP (1) | EP2401693A1 (fr) |
CA (1) | CA2752339C (fr) |
FR (1) | FR2942558B1 (fr) |
WO (1) | WO2010097382A1 (fr) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160328539A1 (en) * | 2015-05-05 | 2016-11-10 | Nxp B.V. | Obscuring Software Code With Split Variables |
US10068070B2 (en) * | 2015-05-05 | 2018-09-04 | Nxp B.V. | White-box elliptic curve point multiplication |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1999001815A1 (fr) * | 1997-06-09 | 1999-01-14 | Intertrust, Incorporated | Techniques d'obscurcissement pour augmenter la securite de logiciels |
WO2005020068A2 (fr) * | 2003-08-20 | 2005-03-03 | Macrovision Europe Limited | Occultation de code et controle de processeur par emulation |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7430670B1 (en) * | 1999-07-29 | 2008-09-30 | Intertrust Technologies Corp. | Software self-defense systems and methods |
US7770016B2 (en) * | 1999-07-29 | 2010-08-03 | Intertrust Technologies Corporation | Systems and methods for watermarking software and other media |
US7287166B1 (en) * | 1999-09-03 | 2007-10-23 | Purdue Research Foundation | Guards for application in software tamperproofing |
US7757097B2 (en) * | 1999-09-03 | 2010-07-13 | Purdue Research Foundation | Method and system for tamperproofing software |
US8220058B2 (en) * | 2003-09-25 | 2012-07-10 | Oracle America, Inc. | Rendering and encryption engine for application program obfuscation |
US8312297B2 (en) * | 2005-04-21 | 2012-11-13 | Panasonic Corporation | Program illegiblizing device and method |
JP4971200B2 (ja) * | 2006-02-06 | 2012-07-11 | パナソニック株式会社 | プログラム難読化装置 |
EP2022207B1 (fr) * | 2006-05-31 | 2018-10-10 | Orange | Procédé cryptographique à chiffrement et révocation intégrés, système, dispositif et programmes pour la mise en oeuvre du procédé |
US8302188B2 (en) * | 2006-07-18 | 2012-10-30 | Panasonic Corporation | Instruction generation apparatus for generating a computer program resistant to unauthorized analyses and tampering |
US8321666B2 (en) * | 2006-08-15 | 2012-11-27 | Sap Ag | Implementations of secure computation protocols |
ATE432507T1 (de) * | 2006-12-21 | 2009-06-15 | Ericsson Telefon Ab L M | Verschleierung von computerprogrammcodes |
JP4905480B2 (ja) * | 2009-02-20 | 2012-03-28 | 富士ゼロックス株式会社 | プログラム難読化プログラム及びプログラム難読化装置 |
-
2009
- 2009-02-24 FR FR0951161A patent/FR2942558B1/fr not_active Expired - Fee Related
-
2010
- 2010-02-23 CA CA2752339A patent/CA2752339C/fr not_active Expired - Fee Related
- 2010-02-23 EP EP10709452A patent/EP2401693A1/fr not_active Withdrawn
- 2010-02-23 US US13/201,503 patent/US9239913B2/en not_active Expired - Fee Related
- 2010-02-23 WO PCT/EP2010/052276 patent/WO2010097382A1/fr active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1999001815A1 (fr) * | 1997-06-09 | 1999-01-14 | Intertrust, Incorporated | Techniques d'obscurcissement pour augmenter la securite de logiciels |
WO2005020068A2 (fr) * | 2003-08-20 | 2005-03-03 | Macrovision Europe Limited | Occultation de code et controle de processeur par emulation |
Non-Patent Citations (2)
Title |
---|
COHEN F B: "OPERATING SYSTEM PROTECTION THROUGH PROGRAM EVOLUTION", COMPUTERS & SECURITY, ELSEVIER SCIENCE PUBLISHERS. AMSTERDAM, NL, vol. 12, no. 6, 1 October 1993 (1993-10-01), pages 565 - 584, XP000415701, ISSN: 0167-4048 * |
COLLBERG C S ET AL: "Watermarking, tamper-proofing, and obfuscation - tools for software protection", IEEE TRANSACTIONS ON SOFTWARE ENGINEERING, IEEE SERVICE CENTER, LOS ALAMITOS, CA, US, vol. 28, no. 8, 1 August 2002 (2002-08-01), pages 735 - 746, XP011094684, ISSN: 0098-5589 * |
Also Published As
Publication number | Publication date |
---|---|
FR2942558B1 (fr) | 2014-05-30 |
FR2942558A1 (fr) | 2010-08-27 |
CA2752339C (fr) | 2018-01-02 |
EP2401693A1 (fr) | 2012-01-04 |
CA2752339A1 (fr) | 2010-09-02 |
US20120110349A1 (en) | 2012-05-03 |
US9239913B2 (en) | 2016-01-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9032526B2 (en) | Emulating mixed-code programs using a virtual machine instance | |
US20090235089A1 (en) | Computer object code obfuscation using boot installation | |
CA2752259C (fr) | Procede de protection du code source d'un programme d'ordinateur | |
US20080022405A1 (en) | Signature-free buffer overflow attack blocker | |
KR102433011B1 (ko) | Apk 파일 보호 방법, 이를 수행하는 apk 파일 보호 시스템, 및 이를 저장하는 기록매체 | |
US20120030758A1 (en) | Automated Diversity Using Return Oriented Programming | |
Zhang et al. | Android application forensics: A survey of obfuscation, obfuscation detection and deobfuscation techniques and their impact on investigations | |
CN104951674A (zh) | 用于应用程序的信息隐藏方法 | |
CA2752339C (fr) | Procede d'obscurcissement d'un programme d'ordinateur | |
US20130283396A1 (en) | System and method for limiting execution of software to authorized users | |
US11023567B2 (en) | Software intellectual property protection systems and methods for embedded platforms | |
Schrittwieser et al. | Covert Computation—Hiding code in code through compile-time obfuscation | |
Xue et al. | Exploiting code diversity to enhance code virtualization protection | |
Vidyarthi et al. | Identifying ransomware-specific properties using static analysis of executables | |
FR3056787A1 (fr) | Methode de protection d’un programme logiciel par offuscation par virtualisation | |
Tsai et al. | Physical forensic acquisition and pattern unlock on Android smart phones | |
Danger et al. | Hardware-enforced protection against buffer overflow using masked program counter | |
Lim et al. | Mal-Xtract: hidden code extraction using memory analysis | |
JP5389734B2 (ja) | 抽出装置及び抽出方法 | |
EP2966587A1 (fr) | Procédé de protection d'un programme logiciel par l'altération des blocs de mémoire et dispositif de mise en oeuvre de ce procédé | |
Anckaert | The State-Enhanced Control Flow Graph | |
EP3745638A1 (fr) | Procedes de mise en uvre et d'obfuscation d'un algorithme cryptographique a cle secrete donnee | |
Schmitt | A comparative study of CERBER, MAKTUB and LOCKY Ransomware using a Hybridised-Malware Analysis Framework | |
Togan et al. | Virtual machine for encrypted code execution | |
Petrov | Methods of executable code protection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
DPE2 | Request for preliminary examination filed before expiration of 19th month from priority date (pct application filed from 20040101) | ||
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 10709452 Country of ref document: EP Kind code of ref document: A1 |
|
WWE | Wipo information: entry into national phase |
Ref document number: 2752339 Country of ref document: CA |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
WWE | Wipo information: entry into national phase |
Ref document number: 2010709452 Country of ref document: EP |
|
WWE | Wipo information: entry into national phase |
Ref document number: 13201503 Country of ref document: US |