如何隐藏exe或dll中的字符串？

Question

我发现可以从二进制文件中提取硬编码字符串。
例如，Process Explorer 的属性视图显示所有超过3 个字符。

这是我为了简单测试而编写的一个简单可执行文件的代码：

#ifndef _WIN32_WINNT
#define _WIN32_WINNT 0x0501
#endif
#include <stdio.h>
#include <tchar.h>
#include <Windows.h>

int _tmain(int argc, _TCHAR* argv[])
{
    _TCHAR* hiddenString1 =_T("4537774B-CC80-4eda-B3E4-7A9EE77991F5");
    _TCHAR* hiddenString2 =_T("hidden_password_or_whatever");
    for (int i= 0; i<argc; i++) {
        if (0 == _tcscmp(argv[i],hiddenString1)) {
            _tprintf (_T("The guid argument is correct.\n")); }
        else if (0 == _tcscmp(argv[i],hiddenString2)) {
            _tprintf (_T("Do something here.\n")); }
    }

    _tprintf (_T("This is a visible string.\n"));
    //Keep Running
    Sleep(60000);
    return 0;
}

可以清楚地从相应的可执行文件中提取字符串：

我认为找到字符串有点太容易了。

我的问题是：

1. 如何简单隐藏hiddenString1或hiddenString2 可执行的？
2. 有没有更安全的 使用“作弊代码”的方式比 一些晦涩的隐藏输入？

Answer 1

欢迎来到更广阔的防御性编程世界。

有几种选择，但我相信所有这些都依赖于某种形式的混淆； 尽管并不完美，但至少是一些东西。

1. 您可以以其他二进制形式（十六进制？）存储文本，而不是直字符串值。

2. 您可以加密存储在应用程序中的字符串，然后在运行时解密它们。

3. 您可以将它们拆分到代码中的各个点，然后稍后重新构建。

或者它们的某种组合。

请记住，某些攻击比查看实际的二进制文件更进一步。 有时他们会在程序运行时调查程序的内存地址空间。 MS 在 .Net 2.0 中提出了一种名为 SecureString 的东西。 目的是在应用程序运行时保持字符串加密。

第四个想法是不要将字符串存储在应用程序本身中，而是依赖验证代码提交到您控制的服务器。 在服务器上您可以验证它是否是合法的“作弊代码”。

Answer 2

有很多方法可以隐藏可执行文件中的数据。 这里的其他人已经发布了很好的解决方案——有些比其他的更强大。 我不会添加到该列表中。

请注意：这都是一场猫捉老鼠的游戏：不可能要保证没有人会发现你的“秘密”。

无论您使用多少加密或其他技巧； 无论你付出多少努力或金钱。 无论有多少“NASA/MIT/CIA/NSA”类型参与隐藏它。

这一切都归结为简单的物理学：
如果任何用户都不可能从可执行文件中提取您的秘密并“取消隐藏”它，那么计算机也将无法取消隐藏它，并且您的程序将无法使用它。 任何具有足够动力的中等技能开发人员都会找到揭开秘密的方法。

当您将可执行文件交给用户时，他们就拥有了找出秘密所需的一切。

你所能期望的最好的结果就是让揭开这个秘密变得非常困难，以至于你从知道这个秘密中获得的任何好处都变得不值得这么麻烦。

因此，如果公开数据只是“不好”，或者公开的后果只是“不方便”，那么尝试掩盖数据是可以的。 但是，甚至不要考虑在程序中隐藏“主客户端数据库的密码”、私钥或其他一些关键秘密。 你就是不能。

如果您拥有真正的关键秘密信息，您的程序在某种程度上需要这些信息，但永远不应该成为公共信息（如私钥），那么您将需要让您的程序与您控制下的远程服务器进行通信，应用适当的身份验证和授权控制（ 也就是说，确保只有经过批准的人员或计算机才能向服务器发出请求），并让该服务器保守秘密并使用它。

Answer 3

最简单的方法是使用 xor 或 rot-13 之类的简单方法对它们进行加密，然后在使用时即时解密。 这将消除随意观看它们的情况，但这不会阻止任何有丰富倒车经验的人。

Answer 4

除了这些方法之外，克里斯提到您还可以使用哈希算法。 如果您只想检查是否指定了正确的 ID，则实际上不需要将整个 ID 存储在程序中。

• 创建您想要比较的字符串/密码/ID 的哈希值（MD5、SHA 等），也许可以向其中添加“盐”值。 将其存储在您的程序中
• 当程序运行时，对输入字符串/密码/id 执行相同的算法，并比较两个哈希值以查看它们是否匹配。

这样，实际文本永远不会存储在您的程序中，并且他们无法对您的程序进行反向工程以找出原始文本是什么，因为哈希算法只是单向的。

Answer 5

我也想隐藏一些 http 请求的 URL。

如果您的应用程序正在发出请求，则没有必要隐藏它。 运行 fiddler、http 分析器等应用程序或其他数十种免费且现成的方法之一将显示您的应用程序正在创建的所有流量。

Answer 6

您能做的最好的事情就是将您的密码或其他要隐藏的字符串编码为字符数组。 例如：

std::string s1 = "Hello";   // This will show up in exe in hex editor
char* s2 = "World";   // this will show up in exe in hex editor
char s3[] = {'G', 'O', 'D'}; // this will not show up in exe in hex editor.

Answer 7

这是我为此目的使用的方法。 首先，我使用 Strings 工具https://learn.microsoft.com/en-us/sysinternals/" rel="nofollow noreferrer">Sysinternals 显示 EXE 或 DLL 中的字符串。
然后，我使用以下小工具（请参阅article) 将这些字符串替换为存储为算术表达式的加扰字符数组：示例：代替字符串：
“这是一个测试”
我将放置以下代码：（由此工具自动生成)

WCHAR T1[28];
 T1[22] = 69;
 T1[15] = 121 - 17;
 T1[9] = L':' + -26;
 T1[12] = L't' - 1;
 T1[6] = 116 - 1;
 T1[17] = 117 - 12;
 T1[3] = 116 - 1;
 T1[14] = L'' - 3;
 T1[13] = L'w' - 3;
 T1[23] = 69;
 T1[26] = L'Y' + 3;
 T1[19] = 111 + 0;
 T1[21] = L'k' - 34;
 T1[27] = L'\\' - 8;
 T1[20] = L'B' + 32;
 T1[4] = 42 + -10;
 T1[25] = L'm' - 17;
 T1[16] = L'H' + 18;
 T1[18] = L'A' + 56;
 T1[24] = 68;
 T1[1] = 105 - 1;
 T1[11] = L'k' - 6;
 T1[10] = 66 + 50;
 T1[2] = 105;
 T1[0] = 117 - 1;
 T1[5] = L'k' - 2;
 T1[8] = 89 + 8;
 T1[7] = 32;

这个问题有很多解决方案，但没有一个（包括我的）是完美的，但是有一些方法可以扰乱、伪装和隐藏敏感字符串。 您当然可以在运行时对它们进行加密和解密（请参阅本文），但我发现更重要的是使这些字符串在可执行文件的位和字节中消失并且它可以工作。 运行我的工具后，您不会在可执行文件中找到“这是一个测试”。

Answer 8

您的所有密码都是 GUID 还是这只是一个示例？

也许将您的秘密存储为二进制 guid：

const GUID SecretGuid =
    { 0x4537774B, 0xCC80, 0x4eda, { 0x7A, 0x9E, 0xE7, 0x79, 0x91, 0xF5 } };

然后将提供的 guid 从字符串转换为二进制格式并比较两个二进制 guid。

Answer 9

如果您不希望人们看到某个特定字符串，请对其进行加密并在运行时解密。

如果您不希望人们看到您的 GUID，请从字节构造它，而不是从字符串构造：

const GUID SecretGuid = 
      { 0x4537774B, 0xCC80, 0x4eda, { 0x7A, 0x9E, 0xE7, 0x79, 0x91, 0xF5 } };