Ein bekanntes Oxymoron ist der Ausdruck „Weniger ist mehr“. Im Softwareschutz kann man diese Aussage mit „Als Hersteller möchte ich mit minimalen Aufwand den maximalen Schutz erreichen“ konkretisieren. Doch ist dies überhaupt möglich? Kann man mit wenig Aufwand einen guten Softwareschutz erreichen? Wibu-Systems hat dieses Paradoxon mit CodeMeter Protection Suite gelöst. Für alle gängigen Plattformen stehen automatische Tools zur Verfügung, um eine fertige Anwendung oder Bibliothek automatisch und sicher zu verschlüsseln. Diese Tools sind ganz konkret: AxProtector, AxProtector .NET und AxProtector Java. Für den perfekten Softwareschutz sollte die Anwendung in einzelne Teile zerlegt und zur Laufzeit dynamisch wieder zusammengesetzt werden. AxProtector .NET und AxProtector Java erledigen dies voll automatisch für Sie. Doch was ist mit nativen Anwendungen und Bibliotheken, die mit AxProtector geschützt werden? Der in AxProtector integrierte IxProtector übernimmt diesen Teil für Sie. Sie können dabei zwischen Halbautomatik und komplett manueller Steuerung wählen. Und hier betritt Translocated Execution die Bühne und fügt automatische Entschlüsselungsroutinen in Ihre Anwendung ein. Neben der einfachen Integration durch die Automatisierung verschiebt Translocated Execution den ausführbaren Code im Speicher. Dabei werden Funktionen zeitlich überlagert, so dass ein Auffinden einer dedizierten Funktion in einem Memory-Dump zu einer reinen Glücksache für einen potentiellen Angreifer wird. Ein systematischer Memory-Dump aller Funktionen ist somit praktisch nicht möglich. Translocated Execution bietet Ihnen als Hersteller zwei wesentliche Vorteile: Durch das automatische Entschlüsseln und Ausführen von Code wird Ihr manueller Aufwand auf ein Minimum reduziert. Durch Verschieben von Code im Speicher wird die Sicherheit gegen Memory-Dumps noch weiter erhöht. Lernen Sie die Theorie hinter Translocated Execution kennen, wie Sie es selber anwenden können, und erleben Sie Optimierungsmöglichkeiten und verfügbare Optionen. Eine Kombination mit weiteren Sicherheitsmechanismen wie zum Beispiel Fallen, die auch ein wesentlicher Bestandteil der Blurry Box-Technology sind, ist natürlich jederzeit möglich. Agenda Überblick CodeMeter Protection Suite Grundprinzip AxProtector Grundprinzip IxProtector Translocated Execution Sicherheitsbetrachtungen Sicherer Softwareschutz ist schon mit wenig Aufwand zu realisieren. AxProtector, IxProtector und Translocated Execution sind einfach anzuwenden, zerlegen Ihre Anwendung in viele kleine Teile, die zur Laufzeit dynamisch zusammengesetzt werden. Translocated Execution automatisiert den Aufwand für Sie als Softwarehersteller und erhöht die Sicherheit signifikant. Wenig Aufwand für viel Sicherheit ist mit CodeMeter Protection Suite kein Widerspruch. Webinar anschauen: https://youtu.be/02gtdX8TNWs

1. Alvaro Forero | Security Expert
alvaro.forero@wibu.com
Ruediger Kuegler | Security Expert
ruediger.kuegler@wibu.com
Virtuelles CodeMoving mit
Translocated Execution
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 1

2. Agenda
 Übersicht CodeMeter Protection Suite
 AxProtector
 IxProtector
 Translocated Execution
 Live Demo
 Zusammenfassung – Sicherheit
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 2

3. CodeMeter
Protection Suite
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 3

4. CodeMeter Protection Suite
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 4
CodeMeter Protection Suite
Automatischer Schutz
(IP Protection)
Anti-Debug Methoden
Verwendete
CodeMeter Variante
Individuelle
Funktionsverschlüsselung
Integritätsschutz
(Tamper Protection)
Authentizität der Software
(Secure Loader / Authenticity)
Java SE
Java EE
Embedded
Operating System
.NETPC (Windows,
Linux, macOS)
CodeMeter
Runtime
CodeMeter
Runtime
CodeMeter
Runtime
CodeMeter
Embedded
CodeMeter
Embedded
IxProtector
AxProtector
AxProtector .NET
AxProtector Java
AxProtector CmE
ExProtector

5. AxProtector
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 5

6. Protected Application
AxProtector
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 6
Compiled Application
Data Section
Resource Section
Code Section
AxProtector
Header
Data Section
Resource Section
Code Section
Header
Encrypted
Code Section
Encrypted
Data Section
Encrypted
Resource Section
AxEngine
(Security Engine)

7. Ungeschützte Anwendung
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 7

8. Geschützte Anwendung
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 8

9. Sicherheitsoptionen
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 9
 Ressource-Verschlüsselung
 Code-Modifikationen
 Statisch
 Dynamisch
 Debugger Check
 Basic
 Erweitert
 Generisch
 Sperren von Lizenzen

10. Keine Inter-Sektions Aufrufe (Option –a)
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 10
Protected ApplicationCompiled Application
Header
AxProtector
Header
Data Section
Resource Section
Code SectionCode Section
Data Section
Resource Section
Code SectionEncrypted
Code Section
Encrypted
Data Section
Encrypted
Resource Section
AxEngine
(Security Engine)

11. IxProtector
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 11

12. Protected Application
AxEngine
(Security Engine)
Compiled Application
IxProtector
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 12
IxProtector
Header
Data Section
Resource Section
Code Section
Function Function
Header
Code Section
Data Section
Resource Section
Function Function
Encrypted
Function
Encrypted
Function

13. Einzelne verschlüsselte Funktion
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 13

14. Verschlüsselter Code ergibt keinen Sinn
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 14
Unencrypted Code Encrypted (nonsense) Code

15. Protected Application
AxEngine
(Security Engine)
Compiled Application
AxProtector und IxProtector
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 15
AxProtector
IxProtector
Header
Data Section
Resource Section
Code Section
Function Function
Header
Code Section
Data Section
Resource Section
Function Function
Encrypted
Function
Encrypted
Function
Encrypted
Data Section
Encrypted
Resource Section
Encrypted
Code Section
Encrypted
Function
Encrypted
Function

16. IxProtector (Zur Laufzeit - Standard)
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 16
 Start der Anwendung
 …
 Aufruf WupiDecryptCodeId(n)
 Entschlüsselt Funktion n „in place“
 Ausführung Funktion n
 Aufruf WupiEncryptCodeId(n)
 Verschlüsselt Funktion n „in place“
 …
Protected Application
Header
Code Section
Data Section
Function Function
Encrypted
Function
Encrypted
Function
Encrypted
Data Section
Encrypted
Code Section
Encrypted
Function
Encrypted
Function
Encrypted
Resource Section
AxEngine
(Security Engine)

17. Translocated Execution
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 17

18. Protected ApplicationCompiled Application
IxProtector mit Translocated Execution
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 18
IxProtector
Header Header
Code Section
Function Function
Data Section
Resource Section
Code Section
Data Section
Resource Section
Function FunctionStub
Enc.
Function
Stub
Enc.
Function
Encrypted Functions
AxEngine
(Security Engine)

19. Protected ApplicationCompiled Application
AxProtector und IxProtector mit Translocated Execution
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 19
AxProtector
IxProtector
Header
Data Section
Code Section
Function Function
Header
Encrypted Functions
Resource Section
Code Section
Data Section
Resource Section
Function FunctionStub
Enc.
Function
Stub
Enc.
Function
Encrypted Code Section
Stub
Enc.
Function
Stub
Enc.
Function
Enc. Resource Section
Encrypted Data Section
AxEngine
(Security Engine)

20. IxProtector (During Runtime – With Translocated Execution)
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 20
 Start der Anwendung
 …
 Ausführung Funktion n
 Entschlüsselt Funktion n auf Heap
 Springt zu Funktion n (auf Heap)
 Entfernt (überschreibt) Funktion n
aus dem Heap
 Nächste Funktion an gleicher
Stelle
Protected Application
AxEngine
(Security Engine)
Header
Encrypted Functions
Code Section
Data Section
Stub
Enc.
Function
Stub
Enc.
Function
Encrypted Code Section
Stub
Enc.
Function
Stub
Enc.
Function
Encrypted Data Section
Heap
FunctionFunction
Enc. Resource Section

21. Verfügbare Optionen
 Automatisch (OOPE=1)
 Entschlüsseln, Ausführen, Löschen
 Manuell (OOPE=2)
 WupiDecryptCodeId, Ausführen, WupiEncryptCodeId
 Automatisch mit Cache (OOPE=5)
 Entschlüsseln, Ausführen, im Cache halten
 Löschen nach x Sekunden
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 21

22. Demo
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 22

23. Zusammenfassung –
Sicherheit
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 23

24. Sicherheit
 AxProtector entschlüsselt die komplette Anwendung beim Start
 Anti-Dumping, Code-Modifikationen und Ressource-Verschlüsselung
 Vermeidung von Inter-Sektions Aufrufen
 IxProtector lässt Funktionen verschlüsselt im Speicher
 Entschlüsselung dynamisch zur Laufzeit bei Bedarf
 Translocated Execution macht es noch schwerer diese Funktionen zur
Laufzeit zu finden
 Manuelle und automatische Entschlüsselung zur Laufzeit
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 24

25. Germany: +49-721-931720
USA: +1-425-7756900
China: +86-21-55661790
http://www.wibu.com
info@wibu.com
Vielen Dank für Ihre Aufmerksamkeit
06.09.2017 © WIBU-SYSTEMS AG 2017 - Virtuelles CodeMoving mit Translocated Execution 25