与破解过招，保护你的共享软件.txt

大量Delphi开发资料

顾名思义，这种方法就是模仿你的注册码生成算法或者逆向注册码验证算法而写出来的和你一模一样的注册机。这玩意威胁极大，被爆破了还可以升级。如果被写出注册机，呵呵，你的软件只好免费了。或者你必须更换算法，但以前注册过的合法用户都得被迫更换注册码了，累死你！呵呵...

上面的方法虽然可以避免爆破，但注册机的威胁还是存在的。Cracker要写注册机必须详细研究你软件的验证模块，这必须先将你的软件脱壳，再反汇编或者用调试器跟踪。市面上许多加壳和保护软件都吹嘘不可能被脱壳，令人可惜的是到目前为止没有一个软件兑现了它们的诺言。由于CPU最终执行的都是有效指令，所以等你的程序自解压完成后再从内存中Dump出来就可以实现脱壳。因此不要在壳上面花很多功夫，因为没有这个必要。

反汇编是和调试器跟踪也都是不可能防止的，因为所有的Win32程序都是必须通过API来调用Windows系统中的关键Dll的（如Kernel32.dll、GDI32.dll等），然而API是可以Hook的。我们只能从自己的代码着手来保护我们的劳动果实了。

为了自己调试和以后维护的方便，我们一般采用有意义的名字给我们的函数命名，可这给了Cracker可乘之机。例如这样的函数是什么意思大家应该是一目了然吧？IsRegistered(), IsLicensed(), LicenseVerify(), CheckReg()...这样Cracker就可以轻松地从数千个函数中找到他的目标---你的注册码效验函数！而且破解Delphi编写的软件还有一件TMG小组的破解利器---DeDe，它可以轻松看到你软件里的Form、Unit和函数名，还可以反汇编一部分代码，更是可以和Win32DASM合作反汇编更多的代码，对Delphi软件威胁极大。 

为了不给Cracker创造温馨舒适的破解环境，我们要混乱（Obfuscate）我们的代码，将软件中所有的函数名全部替换成随机生成的函数名。例如Func_3dfsa_fs32zlfv()这个函数是什么意思？恐怕只有天知道了。网上有现成的代码混乱器，你按你使用的编程语言的种类可以找到一些。但注意，只有当你要发布软件时才使用之，而且一定注意备份源代码。否则当你看不懂你自己的代码时可别怪我呀！:)

另外一定要使用公开密匙算法保护你的软件，RSA、DSA和El Gamal之类的算法都可以从网上找到。但注意：将你算法单元中的所有涉及到算法名称的字符串全部改名。避免被Cracker发现你用的算法而模仿写出注册机来！你还可以张冠李戴，明明用的DSA，将名字全部替换成RSA，呵呵，让他模仿去吧！:)

其它算法如对称算法和Hash算法都也要注意改名，否则这样：

EncryptedCode = Blowfish(MD5(UserName), MD5(Key)); 

//你的加密算法，使用了Blowfish（对称算法）和MD5（Hash算法） 

虽然我不了解Blowfish和MD5算法的原理，也不会逆向它们，但我了解你的效验算法的流程和算法名，我马上就可以从网上找到类似的Blowfish和MD5算法包，从而模拟你的软件仿造出注册机，啊？！真是……$&*&($#%@!

如果你用的什么其它不常见的算法（如Skipjack (NASA美国航天局标准算法), LOKI, 3-WAY, Safer之类不出名但强度很高的算法），并且全部改名，就让他们去研究软件中成堆的如下代码是什么加密算法吧！:)

0167:005B9F70 MOV EAX,[EBP-10]
0167:005B9F73 CALL 00404000
0167:005B9F78 PUSH EAX
0167:005B9F79 MOV EAX,[EBP-10]
0167:005B9F7C CALL 004041C4
0167:005B9F81 LEA ECX,[EBP-14]
0167:005B9F84 POP EDX 
0167:005B9F85 CALL 004B860C

当然，最好把Hash算法也全部改名，给会给他们制造更多的困难。但注意，MD5和SHA之类的Hash的初始值会被Cracker从内存中找到，这样他就知道了你用的Hash了。所有建议同时使用MD5的变形算法Ripe-MD（RMD）128或160和其它的Hash，如Tiger, Haval等算法。

另外，请注意要经常效验你的程序是否被修改（Hash效验），如果被修改则退出。但请注意，有些病毒会修改进程的句柄表和它指向的内核对象，这样病毒就可以直接修改运行中的PE文件而感染之了，另外还有网络传输错误的问题也会导致软件CRC出错。因此请不要认为可执行文件的CRC不符而此时程序已被脱壳了。

其实，程序被脱壳最明显的标志是其大小明显大于脱壳前。1M的PE文件被UPX、ASPack之类的软件压缩后通常只有400左右。如果你的软件在运行中发现自己的大小大于800K，我想你应该知道如何做了吧？呵呵... :)

还有一点，调试器对我们的威胁很大，我们不会肯定让Cracker们舒舒服服地使用SoftICE、TRW和OllyDbg来调试我们的程序。除了常用的MeItICE方法外，这里我给一个我写的方法：

{ 检查自己的进程的父进程是否为Explorer.exe，否则是被调试器加载了 }
{ 不过注意，控制台程序的父进程在WinNT下是Cmd.exe哦！}
{ 注意加载TlHelp32.pas单元 }

procedure CheckParentProc;
var //检查自己的进程的父进程
Pn: TProcesseNtry32;
sHandle: THandle;
H, ExplProc, ParentProc: Hwnd;
Found: Boolean;
Buffer: array[0..1023] of Char;
Path: string;
begin
H := 0;
ExplProc := 0;
ParentProc := 0;
//得到Windows的目录
SetString(Path,
Buffer,
GetWindowsDirectory(Buffer, Sizeof(Buffer) - 1));
Path := UpperCase(Path) + ‘\\EXPLORER.EXE‘; //得到Explorer的路径
//得到所有进程的列表快照
sHandle := CreateToolHelp32SnapShot(TH32CS_SNAPALL, 0);
Found := Process32First(sHandle, Pn); //查找进程
while Found do //遍历所有进程
begin
if Pn.szExeFile = ParamStr(0) then //自己的进程
begin
ParentProc := Pn.th32ParentProcessID; //得到父进程的进程ID
//父进程的句柄
H := OpenProcess(PROCESS_ALL_ACCESS, True, Pn.th32ParentProcessID);
end
else if UpperCase(Pn.szExeFile) = Path then
ExplProc := Pn.th32ProcessID; //Explorer的PID
Found := Process32Next(sHandle, Pn); //查找下一个
end;
//嗯，父进程不是Explorer，是调试器……
if ParentProc <> ExplProc then
begin
TerminateProcess(H, 0); //杀之！除之而后快耶！ :)
//你还可以加上其它什么死机代码来消遣消遣这位可爱的Cracker :)
end;
end;

你可以在Delphi或者VC中试试，呵呵，是不是把Delphi和VC杀掉了，因为你现在用的是Delphi和VC的内置调试器来运行你的程序的，当然它会六亲不认了，呵呵！调试的时候你还是把它注释掉吧，发布时别忘记激活哟！

最后一个问题，这也是一个非常重要的问题：保护你的字符串！！！字符串在注册模块中非常重要！当一个富有经验的Cracker破解你的软件时，首先做的就是摄取你的字符串。比如他会输入错误的注册码，得到你关于错误注册码的提示，通常是“无效的注册码，请重新输入！”或者“Invalid key, please input again!”等等，然后用OllyDbg下断点调试或者用WinDASM、IDA Pro等静态分析工具在被他脱壳后的程序中查找那个字符串，找到后进行分析。因此，请一定加密你的字符串！！！一定！！！ 使用时再临时解密出来，而且要尽量少使用消息提示框 ，避免被Cracker找到漏洞。加密字符串不需要太复杂的算法，随便找一个快速的对称算法就可以了。

最后提醒你一句，不要在加密上花太多的功夫！你应该把更多的时间和精力都用来完善你的软件，这样会更合算。借用一位前辈的话来忠告大家吧：花点时间考虑你自己的软件，看看它是否值得保护？如果没人用你的软件，保护也就没有意义了，不要过高估计你的软件“对世界的重要性”！