网站安全之ASP程序加密/解密方法大揭密
- 本文导航
-
<<返回分页阅读
1
如今,用ASP技术构建的网站随处可见。由于ASP脚本是在服务器上解释执行的(无法编译),因此你辛苦开发出来的ASP代码,很容易被人拷去任意修改,如何保护ASP源代码呢?这是每个ASP站长都会遇到的难题,网上求解这类问题的帖子非常多,下面我们就来谈谈ASP程序的加密方法。
一、如何加密ASP程序?
目前对ASP程序的加密方法主要有三种:脚本编码器(SRCENC.EXE)加密、组件加密、自编程序加密,下面我们就来展开介绍这三种加密方法。
1、使用微软的MS Script Encode进行加密
微软提供了脚本编码器MS Script Encode(下载地址http://http://www.zjjv.com///itgene/download/download.aspID=232),可以对ASP程序进行加密。这是一个简单的命令行工具,其执行文件是SRCENC.EXE,需要在DOS下运行。它只加密页面中嵌入的脚本代码,把网页中之间的ASP代码转换成不可读的乱码,其他部分则保持原样不变。加密后的程序,必须使用Internet Explorer 5.0以上版本才能正常浏览。
用SRCENC加密之后,文件中被加密过的部分将变成只读类型,假如你修改了加密部分(哪怕只改动一个字),就会导致整个文件不能使用。对于 VBScript,加密后在源文件的第一行会显示:
(1)加密方法
单击“开始”/程序/附件/命令提示符,在MS-DOS 命令行中输入以下命令,即可对某个asp文件加密:
SRCENC [switches] <要加密asp文件名> <加密后的文件名>
其中[switches]项目可以选以下5个参数
[switches] 含义 举例
/s 可选。命令中带了该参数,加密过程中屏幕上就不会有输出。 screnc /s lacl.sct ulacl.sct
对当前目录中的脚本小程序lacl.sct加密,加密过程中屏幕不显示任何信息
/f 可选。指定输出文件是否覆盖同名输入文件。忽略,将不执行覆盖。 screnc /f lacl.asp
对文件 lacl.asp加密,并用编码后的同名文件覆盖原文件
/xl 可选。是否在.asp文件的顶部添加@Language指令。忽略,将添加。
/l defLanguage 可选。指定Script Encoder加密中选择的缺省脚本语言。文件中不包含这种脚本语言特性的脚本将被Script Encoder 忽略。
对于HTML文件,JScript为内置缺省脚本语言;对于ASP文件,VBScript为缺省脚本语言;对于扩展名为.vbs或.js的文件,Script Encoder也有自适应能力。 screnc /l vbscript lacl.htm ulacl.htm
对文件 lacl.htm加密,并生成输出文件 ulacl.htm,确保没有指定语言属性的脚本块使用 VBScript
/e defExtension 可选。指定待加密文件的文件扩展名。缺省状态下,Script Encoder能识别asa,asp,cdx,htm,html,js,sct和vbs文件。 screnc /e asp 11\*.* f:\labxw-jm
对11目录中的所有.ASP 文件进行加密,并把编码后的输出文件放在f:\labxw-jm目录中
(2)操作举例
例如要加密当前目录中的lacl.asp文件,生成加密文件ulacl.asp,则在DOS下输入命令:
screnc lacl.asp ulacl.asp
对当前目录中的所有 .ASP 文件进行加密,并把编码后的输出文件放在f:\labxw中,则使用命令:
screnc *.asp f:\labxw
2
2、使用组件加密asp
以上被screnc加密过的程序,是可以解密的(解密方法下文有介绍),如果你想彻底保护自己的asp代码,可以通过开发activex dll组件的方法进行保护。
Dll文件是被编译过的机器代码,如果没有源项目文件,是不可能被反编译的,所以组件加密这种方法最安全,也不可能被破解。下面我们来举例说明操作过程,例如你要保护以下asp代码:
以下是引用片段:
setrs=server.createobject("adodb.recordset")
sql="select*fromgqwherexs=1orderbydateasc"
rs.opensql,conn,1,1
ifrs.eofandrs.bofthen
response.write"<A HREF=new0.asp?lbid=gqx ><%= gqx %></A>"
else
Response.Write""
endif
setrs=nothing
conn.close
setconn=nothing
可以把它们改写成VB组件,然后在ASP文件中调用组件即可。操作步骤如下:
(1)新建一个vb6的activex dll项目
在属性窗口中,命名你的库模块和项目文件(例如项目名lacl,模块名disp),以后在asp文件中,调用的对象名将为lacl_disp
选择vb6中的项目菜单中的references ,选中microsoft activex data objects 2.0 library
(2)编写VB组件
接下来把<欲保护的asp代码>改写成VB组件,代码如下:
以下是引用片段:
publicfunctionhtml_combo(disp_tableasstring)asstring
dimoutstringasstring
dimconnasadodb.connection
dimrstasadodb.recordset
dimsqlstringasstring
setconn=createobject("adodb.connection")
setrst=createobject("adodb.recordset")
sqlstring="select*from"&disp_table&"wherexs=1orderbydateasc"
'以上是在VB中打开数据库操作,数据库中的表名、字段名,你可以根据自己的需要修改
conn.open"dsn=sumnet"
rst.opensqlstring,conn,3,3
ifrst.eofandrst.bofthen
outstring=""
else
rst.movefirst
outstring="<A HREF=new0.asp?lbid="&request("lbid") & "></A>"
endif
html_combo=outstring
rst.close
conn.close
endfunction
写好以上VB代码后,保存项目并开始编译。
(3)生成安装文件
打开visual studio 6中附带的package deployment wizard程序,选择刚才建立的activex项目文件lacl;选择package,选择要打包的脚本或使用默认脚本,选择标准安装,为生成的安装文件选择一个存放目录,选择single cab. 其他均默认;然后单击下一步,安装文件就自动生成了!
(4)在IIS服务器上安装组件
在IIS服务器上运行这个安装文件,把组件安装到服务器上。
3
(5)在网页中调用组件
以后在ASP文件中,通过调用该组件完成原来的功能。在网页中调用你制作的组件,方法如下:
以下是引用片段:
<%@language="vbscript"%>
<%
setdiaoyong=server.createobject("lacl_disp.disp")
%>
<html>
<body>
<%=diaoyong.html_combo("gq")%>
<br>
</body>
</html>
你看,现在Asp文件中的内容只是组件的调用(与以前完全不同),别人即使得到该文件,也无法编辑修改源代码,因为代码都被封装在VB组件中了,对于组件中的代码,外人是无法看到、也不能反编译的!
3、自己编写加密程序
组件加密方法虽然不可破解,但是要求你熟悉VB编程,需要把ASP代码改写成VB组件,工作量很大,所以建议大家自己编程来保护asp代码,其基本思路是:写一个加密函数base64Encode和解密函数base64Decode,先用加密函数处理<要保护的asp代码>,得到对应的密文hu;然后再用execute(base64Decode(hu))替换<欲保护的asp代码>。
例如我们要保护上面那段asp代码,可以这样操作:
(1)用WORD处理<要保护的ASP代码>
将<要保护的ASP代码>拷到WORD中;在WORD中,把代码里的段落标记(回车换行)全部替换成“水”这个汉字,方法是:点击“编辑”/替换,光标移到“查找内容”栏,点“高级”/特殊字符,选择“段落标记”;光标移到“替换为”栏,输入“水”,最后点“全部替换”。同法,把代码中的单引号也全部替换成“加”这个汉字。
(2)编写、运行加密程序
在FrontPage中编写加密程序,该程序中有初始化函数initCodecs、加密函数base64Encode(代码如下),把WORD处理后的代码,copy粘贴在inp = ""这句中,最后以test1.asp名存盘;在IE中输入http://127.0.0.1/test1.asp本地运行该文件;屏幕上会显示一大段乱码(例如c2V0IHJzPXNlcnZlci5jcmVhd...),这就是《要保护的asp代码》对应的密文!
以下是引用片段:
OPTIONEXPLICIT
constBASE_64_MAP_INIT="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"
dimnewline
dimBase64EncMap(63)
dimBase64DecMap(127)
diminp,hu,encode
callinitCodecs'初始化
inp=""'将要保护的asp代码用WORD处理,然后填在此处
hu=base64Encode(inp)'调用函数base64Encode进行加密,得到密文hu
Response.Write(hu)'显示密文
PUBLICSUBinitCodecs()'初始化函数initCodecs
newline="<P>" & chr(13) & chr(10)
dimmax,idx
max=len(BASE_64_MAP_INIT)
foridx=0tomax-1
Base64EncMap(idx)=mid(BASE_64_MAP_INIT,idx+1,1)
next
foridx=0tomax-1
Base64DecMap(ASC(Base64EncMap(idx)))=idx
next
ENDSUB
PUBLICFUNCTIONbase64Encode(plain)'加密函数base64Encode
iflen(plain)=0then
base64Encode=""
exitfunction
endif
dimret,ndx,by3,first,second,third
by3=(len(plain)\3)*3
ndx=1
dowhilendx<=by3
first=asc(mid(plain,ndx+0,1))
second=asc(mid(plain,ndx+1,1))
third=asc(mid(plain,ndx+2,1))
ret=ret&Base64EncMap((first\4)AND63)
ret=ret&Base64EncMap(((first*16)AND48)+((second\16)AND15))
ret=ret&Base64EncMap(((second*4)AND60)+((third\64)AND3))
ret=ret&Base64EncMap(thirdAND63)
ndx=ndx+3
loop
ifby3<len(plain)then
first=asc(mid(plain,ndx+0,1))
ret=ret&Base64EncMap((first\4)AND63)
if(len(plain)MOD3)=2then
second=asc(mid(plain,ndx+1,1))
ret=ret&Base64EncMap(((first*16)AND48)+((second\16)AND15))
ret=ret&Base64EncMap(((second*4)AND60))
else
ret=ret&Base64EncMap((first*16)AND48)
ret=ret'&"="
endif
ret=ret'&"="
endif
base64Encode=ret
ENDFUNCTION
4
(3)重新改写要保护的asp文件
改写原来的asp文件,在文件中增加UnEncode 和base64Decode函数,全部代码如下:
以下是引用片段:
DimHu,Hu2
'拷贝“欲保护asp代码”的密文将之存放到Hu变量中
Hu=”c2V0IHJzPXNlcnZlci5jcmVhdGVvYmplY3Qo12Fkb2RiLnJlY29yZHNldOMpICAgICDuc3FsPeNzZWxlY3QgKiBmcm9tIGdxICB3aGVyZSB4cz0xIG9yZGVyIGJ5IGRhdGUgYXNj1yAgICAgsnJzLm9wZW4gc3FsLGNvbm4sMSwxICAgICDuaWYgcnMuZW9mIGFuZCBycy5ib2YgdGhlbiDucmVzcG9uc2Uud3JpdGUTvSD7INAg5iAgILUgvyAFILITsmVsc2UgsiAgICAgUmVzcG9uc2UuV3JpdGUg1zxBIEhSRUY9bmV3MC5hc3A/bGJpZD0TJnJlcXVlc3Qo12xiaWQTKSAmIOM+PC9BPuPuZW5kIGlmICAgIL5zZXQgcnM9bm90aGluZyAgICAgICAgsmNvbm4uY2xvc2UgICAgICDuc2V0IGNvbm49bm90aGluZyAgIL4”
Hu2=base64Decode(hu)'还原要保护的ASP代码
execute(UnEncode(Hu2))'还原单引号、回车换行,并执行原代码
’解密函数base64Decode
FUNCTIONbase64Decode(scrambled)
iflen(scrambled)=0then
base64Decode=""
exitfunction
endif
dimrealLen
realLen=len(scrambled)
dowhilemid(scrambled,realLen,1)="="
realLen=realLen-1
loop
dimret,ndx,by4,first,second,third,fourth
ret=""
by4=(realLen\4)*4
ndx=1
dowhilendx<=by4
first=Base64DecMap(asc(mid(scrambled,ndx+0,1)))
second=Base64DecMap(asc(mid(scrambled,ndx+1,1)))
third=Base64DecMap(asc(mid(scrambled,ndx+2,1)))
fourth=Base64DecMap(asc(mid(scrambled,ndx+3,1)))
ret=ret&chr(((first*4)AND255)+((second\16)AND3))
ret=ret&chr(((second*16)AND255)+((third\4)AND15))
ret=ret&chr(((third*64)AND255)+(fourthAND63))
ndx=ndx+4
loop
ifndx<realLenthen
first=Base64DecMap(asc(mid(scrambled,ndx+0,1)))
second=Base64DecMap(asc(mid(scrambled,ndx+1,1)))
ret=ret&chr(((first*4)AND255)+((second\16)AND3))
ifrealLenMOD4=3then
third=Base64DecMap(asc(mid(scrambled,ndx+2,1)))
ret=ret&chr(((second*16)AND255)+((third\4)AND15))
endif
endif
base64Decode=ret
ENDFUNCTION
'还原单引号、回车换行函数UnEncode
functionUnEncode(cc)
fori=1tolen(cc)
ifmid(cc,i,1)<>"水"then
ifmid(cc,i,1)="加"then
temp=""""&temp
else
temp=Mid(cc,i,1)+temp
endif
else
temp=newline&temp
endif
next
UnEncode=temp
endfunction
将以上代码以test2.asp名存盘。
(4)用SRCENC加密test2.asp
用SRCENC加密test2.asp,然后把它发布到服务器上,这样别人即使得到该文件、破解了SRCENC加密,也无法看到原代码,因为原代码在test2.asp中是密文(Hu=”c2V0IHJzPXNlcnZlc...),所以ASP代码就被保护起来了!
5
二、加密过的asp程序如何解密?
如何对加密过的asp程序解密呢?首先我们要告诉大家,用组件法加密的asp程序是无法解密的,而screnc加密过的程序则可以解密,方法是:使用解密软件(ZWDECODE.EXE)。
ZWDECODE.EXE(下载地址http://http://www.zjjv.com///softdown/45/45183.html)可以对MS Script Encode加密的ASP文件进行解密,还原出源代码。
(1)解密方法
单击“开始”/程序/附件/命令提示符,在MS-DOS 命令行中输入以下命令,即可恢复原代码:
ZWDECODE <已加密asp文件名>
其中<已加密asp文件名>必需输入,该文件名可带目录路径;也必需输入,这是要生成的输出文件名,也可以带路径信息。
(2)举例
例如F:\22\lacl.asp曾被screnc加密处理过,现在要恢复其中的源代码,你可以在MS-DOS中输入以下命令:
ZWDECODE F:\22\lacl.asp d:\ulacl.asp
执行完毕,在D盘上就会生成一个ulacl.asp文件,打开该文件,你就能看到源代码了!
阅读关于 的全部文章
(作者:李红责任编辑:龙犊)
天极新媒体最酷科技资讯
扫码赢大奖
评论
* 网友发言均非本站立场,本站不在评论栏推荐任何网店、经销商,谨防上当受骗!