Кому слабо взломать прогу мою?

@morphling · Регистрация: 26.06.2010

Author24 — интернет-сервис помощи студентам

Просто интересно можно ли ее взломать...
Вот файл *.exe
вот файл

@Thinker · 29.08.2011, 16:01

Сообщение от fasked

Не по теме:

Встретить вообще здесь человека увлекающегося ЗИ это большая редкость :)

Спасибо, faske

Добавлено через 1 минуту

Сообщение от fasked

Не по теме:

Даже лично мне более интересна организационная сторона ИБ.

Не по теме:

А мне доказательная база, на которой все основывается

Добавлено через 2 минуты

Сообщение от Vourhey

Ясно. Я с точки зрения программы рассматривал это... О том, что все эти шифры, которые "никто не может вскрыть" на практике ТС не помогут...

А с точки зрения программы пример с сервером гарантирует практическую надежность, то есть полный перебор. При хорошем ключе-это миллионы лет

Добавлено через 3 минуты

Сообщение от fasked

Не по теме:

Встретить вообще здесь человека увлекающегося ЗИ это большая редкость

Не по теме:

А ведь еще grizlik78 что-то умное говорил, тоже, наверное, интересуется:)

Vourhey · 29.08.2011, 16:02

Сообщение от Thinker

А с точки зрения программы пример с сервером гарантирует практическую надежность, то есть полный перебор.

зачем перебирать, если достаточно бит поменять на стороне клиента? Там нет никакой надежности даже с сервером. Это 5 минут

@Thinker · 29.08.2011, 16:05

Сообщение от Vourhey

зачем перебирать, если достаточно бит поменять на стороне клиента? Там нет никакой надежности даже с сервером. Это 5 минут

В смысле бит поменять? Если у вас доступа к серверу нет, а есть возможность передавать вариант ключа, а вам в ответ - да или нет. При длине ключа не менее 100 бит это ОЧЕНЬ накладно - не менее 2^100 вариантов. Это, согласитесь, не 5 минут, а тысячи лет

Vourhey · 29.08.2011, 16:09

Сообщение от Thinker

В смысле бит поменять?

В прямом

Сообщение от Thinker

Если у вас доступа к серверу нет,

А доступ к северу не нужен. Программа же локальная. Сервер нужен только для проверки.

Сообщение от Thinker

Это, согласитесь, не 5 минут, а тысячи лет

Поменять клиентскую прогу, чтобы она вообще забыла, что ей нужен сервер для какой-то проверки - пять минут. И хоть 512 бит ключ. Без разницы. Ей вообще никакие ключи не нужны будут

@fasked · 29.08.2011, 16:12

Сообщение от Vourhey

Поменять клиентскую прогу, чтобы она вообще забыла, что ей нужен сервер для какой-то проверки - пять минут. И хоть 512 бит ключ. Без разницы. Ей вообще никакие ключи не нужны будут.

Ну не, тогда понадобится какой-нибудь имитирующий сервер. Без сервера программа априори не должна работать. Это будет настолько трудоемкая работа, схожая с реинжинирингом алгоритма работы программы целиком с учетом черного ящика в виде сервера.

@Thinker · 29.08.2011, 16:13

Vourhey, подождите. Ситуация - на сервере очень секретная информация, там же есть программа, которая взаимодействует с программой на стороне клиента. Программа на стороне сервера анализирует запросы и выдает ответы. Так что вы тогда взломать хотели?

@fasked · 29.08.2011, 16:14

Ну а вообще, я уже говорил, что для анализа и выработки способов взлома нужна информация о конкретной системе, а так можно долго разговаривать. И каждый (из нас) будет придумывать все новые условия.

@Thinker · 29.08.2011, 16:17

Сообщение от fasked

Ну а вообще, я уже говорил, что для анализа и выработки способов взлома нужна информация о конкретной системе, а так можно долго разговаривать. И каждый (из нас) будет придумывать все новые условия.

И все же если нет прямого доступа к серверу, на котором расположен обработчик запросов, то кроме как приехать на танке или прямым перебором невозможно что-то сделать.

Vourhey · 29.08.2011, 16:18

Сообщение от Thinker

Ситуация - на сервере очень секретная информация

У ТС нет секертной инфы, он хочет прогу защитить. Допустим программа для работы с документами. Какую секретную инфу она должна хранить на сервере?

Сообщение от fasked

Без сервера программа априори не должна работать.

Это уже другая задача, не как у ТС.

В третьих, ничто не мешает дампнуть эту "секретную информацию" из памяти, когда ее дешифрует клиент. Более того, ничто не мешает потратить неделю на то, чтобы встроить в программу код, который пишет всю дешифрованную инфу в файл. Это не сложно, благо секции файла расширяются мануально.

Добавлено через 1 минуту

Сообщение от Thinker

И все же если нет прямого доступа к серверу, на котором расположен обработчик запросов, то кроме как приехать на танке или прямым перебором невозможно что-то сделать.

Получается, что вы просто сделали веб-службу а не программу

тогда и шифровать на фиг ничего не нужно

просто сделать веб-сайт и продавать акки - готово.

@Thinker · 29.08.2011, 16:21

Сообщение от Vourhey

У ТС нет секертной инфы, он хочет прогу защитить. Допустим программа для работы с документами. Какую секретную инфу она должна хранить на сервере?

Понял, мы о разном говорим

На сервере лежит секретное число, например, которое TC задумал.

Добавлено через 47 секунд

Сообщение от Vourhey

Получается, что вы просто сделали веб-службу а не программу

тогда и шифровать на фиг ничего не нужно

просто сделать веб-сайт и продавать акки - готово.

А никакого шифрования здесь нет

Vourhey · 29.08.2011, 16:25

Сообщение от Thinker

На сервере лежит секретное число, например, которое TC задумал.

Хм... Не до конца все равно понимаю... В локальной программе все равно произойдет момент, когда она его будет проверять. Достаточно поменять этот код и убрать проверку. И какое бы число не лежало на сервере - всегда будет саксес

Добавлено через 56 секунд

Сообщение от Thinker

А никакого шифрования здесь нет

Ну да, я знаю

@Thinker · 29.08.2011, 16:25

Сообщение от Vourhey

Хм... Не до конца все равно понимаю... В локальной программе все равно произойдет момент, когда она его будет проверять. Достаточно поменять этот код и убрать проверку. И какое бы число не лежало на сервере - всегда будет саксес

Да нет же. Это будет делать программа на сервере, которая получает запросы со стороны клиента. К той программе (на сервере) нельзя подобраться

@fasked · 29.08.2011, 16:27

Сообщение от Thinker

Да нет же. Это будет делать программа на сервере, которая получает запросы со стороны клиента.

Сервер возращает подтверждение - TRUE/FALSE. В клиентской программе где-то проверяется значение, возвращенное сервером. В этой же клиентской программе код изменяется на безусловный переход, независимо от того, что вернул сервер.

Vourhey · 29.08.2011, 16:28

Сообщение от Thinker

Да нет же. Это будет делать программа на сервере, которая получает запросы со стороны клиента

Хорошо. А что сделает программа на сервере после того, как проверит? Она же скажет клиенту "все ок, работай нормально"?

Добавлено через 22 секунды

Сообщение от fasked

Сервер возращает подтверждение - TRUE/FALSE

Вот... Ты мну опередил

@Thinker · 29.08.2011, 16:29

Сообщение от fasked

Сервер возращает подтверждение - TRUE/FALSE. В клиентской программе где-то проверяется значение, возвращенное сервером. В этой же клиентской программе код изменяется на безусловный переход, независимо от того, что вернул сервер.

Так в случае TRUE вам сервер вернет секретное число, вот о чем речь

Vourhey · 29.08.2011, 16:30

Сообщение от Thinker

Так в случае TRUE вам сервер вернет секретное число, вот о чем речь

а что с секретным числом сделает клиент?

@Thinker · 29.08.2011, 16:31

Сообщение от Vourhey

а что с секретным числом сделает клиент?

Обрадуется, что он его заполучил

В этом то и цель, как заполучить это секретное число. ТС вшил его в код программы, а можно вот так было сделать

@Thinker · 29.08.2011, 16:32

Просто мы все говорим на разных языках

Vourhey · 29.08.2011, 16:32

Сообщение от Thinker

Обрадуется, что он его заполучил

Вот, тот код, где он радуется мы и заменим, чтобы он радовался от любого числа

Вот это дело и займет 5-10 минут

@Thinker · 29.08.2011, 16:33

Сообщение от Vourhey

Вот, тот код, где он радуется мы и заменим, чтобы он радовался от любого числа

Вот это дело и займет 5-10 минут

Не-не-не, нам нужно именно то число

@Thinker 4267 / 2241 / 203 Регистрация: 26.08.2011 Сообщений: 3,802 Записей в блоге: 5
	29.08.2011, 16:01	41
	Сообщение от fasked Не по теме: Не по теме: Встретить вообще здесь человека увлекающегося ЗИ это большая редкость :) Спасибо, faske Добавлено через 1 минуту Сообщение от fasked Не по теме: Даже лично мне более интересна организационная сторона ИБ. Не по теме: А мне доказательная база, на которой все основывается Добавлено через 2 минуты Сообщение от Vourhey Ясно. Я с точки зрения программы рассматривал это... О том, что все эти шифры, которые "никто не может вскрыть" на практике ТС не помогут... А с точки зрения программы пример с сервером гарантирует практическую надежность, то есть полный перебор. При хорошем ключе-это миллионы лет Добавлено через 3 минуты Сообщение от fasked Не по теме: Встретить вообще здесь человека увлекающегося ЗИ это большая редкость Не по теме: А ведь еще grizlik78 что-то умное говорил, тоже, наверное, интересуется:) 0

Vourhey Почетный модератор 7393 / 2639 / 281 Регистрация: 29.07.2006 Сообщений: 13,696
	29.08.2011, 16:02	42
	Сообщение от Thinker А с точки зрения программы пример с сервером гарантирует практическую надежность, то есть полный перебор. зачем перебирать, если достаточно бит поменять на стороне клиента? Там нет никакой надежности даже с сервером. Это 5 минут 0

@Thinker 4267 / 2241 / 203 Регистрация: 26.08.2011 Сообщений: 3,802 Записей в блоге: 5
	29.08.2011, 16:05	43
	Сообщение от Vourhey зачем перебирать, если достаточно бит поменять на стороне клиента? Там нет никакой надежности даже с сервером. Это 5 минут В смысле бит поменять? Если у вас доступа к серверу нет, а есть возможность передавать вариант ключа, а вам в ответ - да или нет. При длине ключа не менее 100 бит это ОЧЕНЬ накладно - не менее 2^100 вариантов. Это, согласитесь, не 5 минут, а тысячи лет 0

Vourhey Почетный модератор 7393 / 2639 / 281 Регистрация: 29.07.2006 Сообщений: 13,696
	29.08.2011, 16:09	44
	Сообщение от Thinker В смысле бит поменять? В прямом Сообщение от Thinker Если у вас доступа к серверу нет, А доступ к северу не нужен. Программа же локальная. Сервер нужен только для проверки. Сообщение от Thinker Это, согласитесь, не 5 минут, а тысячи лет Поменять клиентскую прогу, чтобы она вообще забыла, что ей нужен сервер для какой-то проверки - пять минут. И хоть 512 бит ключ. Без разницы. Ей вообще никакие ключи не нужны будут 0

@fasked 5043 / 2622 / 241 Регистрация: 07.10.2009 Сообщений: 4,310 Записей в блоге: 1
	29.08.2011, 16:12	45
	Сообщение от Vourhey Поменять клиентскую прогу, чтобы она вообще забыла, что ей нужен сервер для какой-то проверки - пять минут. И хоть 512 бит ключ. Без разницы. Ей вообще никакие ключи не нужны будут. Ну не, тогда понадобится какой-нибудь имитирующий сервер. Без сервера программа априори не должна работать. Это будет настолько трудоемкая работа, схожая с реинжинирингом алгоритма работы программы целиком с учетом черного ящика в виде сервера. 0

@Thinker 4267 / 2241 / 203 Регистрация: 26.08.2011 Сообщений: 3,802 Записей в блоге: 5
	29.08.2011, 16:13	46
	Vourhey, подождите. Ситуация - на сервере очень секретная информация, там же есть программа, которая взаимодействует с программой на стороне клиента. Программа на стороне сервера анализирует запросы и выдает ответы. Так что вы тогда взломать хотели? 0

@fasked 5043 / 2622 / 241 Регистрация: 07.10.2009 Сообщений: 4,310 Записей в блоге: 1
	29.08.2011, 16:14	47
	Ну а вообще, я уже говорил, что для анализа и выработки способов взлома нужна информация о конкретной системе, а так можно долго разговаривать. И каждый (из нас) будет придумывать все новые условия. 0

@Thinker 4267 / 2241 / 203 Регистрация: 26.08.2011 Сообщений: 3,802 Записей в блоге: 5
	29.08.2011, 16:17	48
	Сообщение от fasked Ну а вообще, я уже говорил, что для анализа и выработки способов взлома нужна информация о конкретной системе, а так можно долго разговаривать. И каждый (из нас) будет придумывать все новые условия. И все же если нет прямого доступа к серверу, на котором расположен обработчик запросов, то кроме как приехать на танке или прямым перебором невозможно что-то сделать. 0

Vourhey Почетный модератор 7393 / 2639 / 281 Регистрация: 29.07.2006 Сообщений: 13,696
	29.08.2011, 16:18	49
	Сообщение от Thinker Ситуация - на сервере очень секретная информация У ТС нет секертной инфы, он хочет прогу защитить. Допустим программа для работы с документами. Какую секретную инфу она должна хранить на сервере? Сообщение от fasked Без сервера программа априори не должна работать. Это уже другая задача, не как у ТС. В третьих, ничто не мешает дампнуть эту "секретную информацию" из памяти, когда ее дешифрует клиент. Более того, ничто не мешает потратить неделю на то, чтобы встроить в программу код, который пишет всю дешифрованную инфу в файл. Это не сложно, благо секции файла расширяются мануально. Добавлено через 1 минуту Сообщение от Thinker И все же если нет прямого доступа к серверу, на котором расположен обработчик запросов, то кроме как приехать на танке или прямым перебором невозможно что-то сделать. Получается, что вы просто сделали веб-службу а не программу тогда и шифровать на фиг ничего не нужно просто сделать веб-сайт и продавать акки - готово. 0

@Thinker 4267 / 2241 / 203 Регистрация: 26.08.2011 Сообщений: 3,802 Записей в блоге: 5
	29.08.2011, 16:21	50
	Сообщение от Vourhey У ТС нет секертной инфы, он хочет прогу защитить. Допустим программа для работы с документами. Какую секретную инфу она должна хранить на сервере? Понял, мы о разном говорим На сервере лежит секретное число, например, которое TC задумал. Добавлено через 47 секунд Сообщение от Vourhey Получается, что вы просто сделали веб-службу а не программу тогда и шифровать на фиг ничего не нужно просто сделать веб-сайт и продавать акки - готово. А никакого шифрования здесь нет 0

Vourhey Почетный модератор 7393 / 2639 / 281 Регистрация: 29.07.2006 Сообщений: 13,696
	29.08.2011, 16:25	51
	Сообщение от Thinker На сервере лежит секретное число, например, которое TC задумал. Хм... Не до конца все равно понимаю... В локальной программе все равно произойдет момент, когда она его будет проверять. Достаточно поменять этот код и убрать проверку. И какое бы число не лежало на сервере - всегда будет саксес Добавлено через 56 секунд Сообщение от Thinker А никакого шифрования здесь нет Ну да, я знаю 0

@Thinker 4267 / 2241 / 203 Регистрация: 26.08.2011 Сообщений: 3,802 Записей в блоге: 5
	29.08.2011, 16:25	52
	Сообщение от Vourhey Хм... Не до конца все равно понимаю... В локальной программе все равно произойдет момент, когда она его будет проверять. Достаточно поменять этот код и убрать проверку. И какое бы число не лежало на сервере - всегда будет саксес Да нет же. Это будет делать программа на сервере, которая получает запросы со стороны клиента. К той программе (на сервере) нельзя подобраться 0

@fasked 5043 / 2622 / 241 Регистрация: 07.10.2009 Сообщений: 4,310 Записей в блоге: 1
	29.08.2011, 16:27	53
	Сообщение от Thinker Да нет же. Это будет делать программа на сервере, которая получает запросы со стороны клиента. Сервер возращает подтверждение - TRUE/FALSE. В клиентской программе где-то проверяется значение, возвращенное сервером. В этой же клиентской программе код изменяется на безусловный переход, независимо от того, что вернул сервер. 0

Vourhey Почетный модератор 7393 / 2639 / 281 Регистрация: 29.07.2006 Сообщений: 13,696
	29.08.2011, 16:28	54
	Сообщение от Thinker Да нет же. Это будет делать программа на сервере, которая получает запросы со стороны клиента Хорошо. А что сделает программа на сервере после того, как проверит? Она же скажет клиенту "все ок, работай нормально"? Добавлено через 22 секунды Сообщение от fasked Сервер возращает подтверждение - TRUE/FALSE Вот... Ты мну опередил 0

@Thinker 4267 / 2241 / 203 Регистрация: 26.08.2011 Сообщений: 3,802 Записей в блоге: 5
	29.08.2011, 16:29	55
	Сообщение от fasked Сервер возращает подтверждение - TRUE/FALSE. В клиентской программе где-то проверяется значение, возвращенное сервером. В этой же клиентской программе код изменяется на безусловный переход, независимо от того, что вернул сервер. Так в случае TRUE вам сервер вернет секретное число, вот о чем речь 0

	29.08.2011, 16:33

Vourhey Почетный модератор 7393 / 2639 / 281 Регистрация: 29.07.2006 Сообщений: 13,696
	29.08.2011, 16:30	56
	Сообщение от Thinker Так в случае TRUE вам сервер вернет секретное число, вот о чем речь а что с секретным числом сделает клиент? 0

@Thinker 4267 / 2241 / 203 Регистрация: 26.08.2011 Сообщений: 3,802 Записей в блоге: 5
	29.08.2011, 16:31	57
	Сообщение от Vourhey а что с секретным числом сделает клиент? Обрадуется, что он его заполучил В этом то и цель, как заполучить это секретное число. ТС вшил его в код программы, а можно вот так было сделать 0

@Thinker 4267 / 2241 / 203 Регистрация: 26.08.2011 Сообщений: 3,802 Записей в блоге: 5
	29.08.2011, 16:32	58
	Просто мы все говорим на разных языках 0

Vourhey Почетный модератор 7393 / 2639 / 281 Регистрация: 29.07.2006 Сообщений: 13,696
	29.08.2011, 16:32	59
	Сообщение от Thinker Обрадуется, что он его заполучил Вот, тот код, где он радуется мы и заменим, чтобы он радовался от любого числа Вот это дело и займет 5-10 минут 0

@Thinker 4267 / 2241 / 203 Регистрация: 26.08.2011 Сообщений: 3,802 Записей в блоге: 5
	29.08.2011, 16:33	60
	Сообщение от Vourhey Вот, тот код, где он радуется мы и заменим, чтобы он радовался от любого числа Вот это дело и займет 5-10 минут Не-не-не, нам нужно именно то число 0