前言:帮学校的学长做了个Ubuntu的软件，需要给软件加密，用到了加密狗，在网上挑了很多，大都不支持Linux下ELF文件的加密，最后终于找到了Sentinel加密狗支持我们的需求，当然这个进口货也很贵，写一篇博客来记录一下使用方法。

环境配置

购买Sentinel的加密狗一般包括两个U盘，一个是主锁(Master key)，一个是子锁。主锁只能用来加密，不能用来解密；子锁只能用来解密，不能用来加密。例如下图，我购买的产品，蓝色的是主锁，紫色的子锁。一般而言，主锁比较贵(例如我们购买的主锁400多RMB)，子锁相对便宜一些(我们购买的子锁150多RMB)。并且，在一家供应商购买的主锁，对应的子锁也都只能在同一家供应商购买，这一点还是不太方便的。

有了主锁和子锁之后，我们还需要一个Linux下的SDK工具包，这个工具包可以问你的供应商索要。一般供应商会提供一个Windows下的工具包，在Windows电脑安装后，从其中可以提取出Linux工具包。工具包的名字一般叫Sentinel-LDK.tar.gz。有了这个工具包之后，我们需要把这个压缩包移动到Linux设备下并解压。我这里是拖动到了Ubuntu虚拟机里面。Linux工具包解压后，会得到一个叫Linux的文件夹，文件夹里面有这样一些文件：

其中最后的那个HTML是Linux的说明文档，可以把它用浏览器打开，看相关的使用说明。
解压好工具包之后，我们还需要在Ubuntu中安装这个工具包，安装工具可以使用apt，安装包在Linux/Redistribute/Runtime/文件夹下。

然后找到你对应的Linux发行版本和设备类型对应的rpm或deb包，安装即可。我这里的Ubuntu系统，amd64设备，所以我就使用命令sudo apt install ./aksusbd_8.11-1_amd64.deb来安装。

安装完成之后，请在浏览器中打开http://localhost:1947，检查是否安装成功。正常情况下，安装成功后应该会显示Sentinel的管理后台。

在管理后台的左下方可以选择语言中文。然后我们点击上方的Sentinel 锁，可以查看已连接的U盘狗。例如我这里的#2就是连接的主锁。注意这里的#1是保留的序号，正常情况下可以忽略。

在使用主锁加密之前，我们需要导出主锁的Vendor code。具体方法是，进入Linux/VendorTools/VendorSuite目录，注意到其中的masterhasp文件，这是一个可执行文件，可以用chmod a+x ./masterhasp添加执行权限。添加完执行权限之后，请使用sudo ./masterhasp运行这个程序(运行程序时需要保证主锁已经插在电脑上，如果是虚拟机的话，U盘必须连接到虚拟机而不是主机)，之所以加sudo是因为这个程序需要读取连接的U盘，需要管理员权限才能进行。

执行程序后会弹出这样一个窗口

直接按默认选项，点击OK即可。然后看到下面这个窗口，我们选第一个(按他推荐的来)。

如果你的主锁正常连接到Linux的话，在新弹出的窗口中会自动读取到U盘狗的相关信息，直接点击next即可。然后，在下面的这个窗口，我们勾选所有的API选项，并点击next。

然后会进入漫长的下载过程。Sentinel的服务器在欧洲，并因为安全需求在国内没有镜像，但是下载速度还是可以接受的。

下载完成之后，直接点击Finish。
然后我们打开Linux的~/Documents目录，你会发现多了一个叫Gemalto/的文件夹。
在~/Documents/Gemalto/Sentinel LDK 8.0/VendorCodes目录下，有一个以.hvc结尾的文件，它就是你的Vendor Code文件。你需要妥善的保管它。

加解密方法

在加密时，我们进入一开始的那个Sentinel Linux工具包文件夹，进入Linux/VendorTools/Envelope目录，会发现其中有一个文件叫linuxenv，这是一个可执行文件，我们通过chmod a+x ./linuxenv给他添加执行权限，然后运行./linuxenv -h可以看到这个程序的使用说明，这个程序就是专门给软件加密用的。

我们用一个示例程序来进行加解密演示，这个程序的文件名叫test_program，它位于Linux/VendorTools/Envelope目录下。

在加密前，请把之前得到的Vendor Code文件复制到Linux/VendorTools/Envelope目录下，即上一步得到的在~/Documents/Gemalto/Sentinel LDK 8.0/VendorCodes目录下的那个以.hvc结尾的文件，复制到Linux/VendorTools/Envelope目录下，我们假设您的Vendor code文件名叫DEMO.hvc(实际上，这个Vendor code文件名应该每个用户都不同)。

然后请您确认在Linux/VendorTools/Envelope目录下是否有这几个文件：

• linuxenv (加密程序)
• DEMO.hvc (Vendor code文件，每个人的文件名都不同)
• test_program (要加密的软件程序，以你自己需要加密的程序名为准)

有了上面这些文件之后，我们可以直接开始加密。
我们使用命令./linuxenv -v:DEMO.hvc test_program test_program_protected来对test_program进行加密。
这个命令中，-v的意思是指定Vendor code文件，test_program是要加密的程序，test_program_protected是加密后输出的程序名。(特别提醒：在执行这个命令时，需要保证您的主锁正常连接在了电脑上，可通过http://localhost:1947查看主锁连接情况)。

加密后，我们执行./test_program_protected，会发现弹出下面的提示窗口：

这是因为我们没有插上子锁进行解密，主锁只能用来加密不能用来解密。我们插上子锁后，重新执行./test_program_protected，会发现程序可以正常执行了，说明我们的保护是有效的。

并且，可以用readelf -a test_program_protected查看test_program_protected文件的elf头部信息，会发现读取错误，说明Sentinel对软件代码进行了混淆处理，这大大增加了软件逆向的难度，说明我们的加密方案强度是很大的。