Защита проги

@artyoms · Регистрация: 28.10.2012

Author24 — интернет-сервис помощи студентам

Оцените защиту:
Получаю серийник железа, получаю список файлов из папки на сервере, проверяю есть ли файл с номером серийника, если есть, то получаю закодированное содержимое(срок лицензии), иначе предлагаю зарегистрироваться.
Видел в инете схему: отправляем инфу в php, тот сверяет с базой данной и возвращает ответ. Но я так понял, там так же всё легко перехватывается и получается уровень защиты такой же как у первого варианта?

@krapotkin · 13.01.2017, 09:25

уровень защиты определяется алгоритмом
если в программе есть
if (неправильныйключ) then Applcation.terminate
то можно просто поменять один байт (нужно только разобрать какой)) а обычно лень...) и условие станет
if (правильныйключ) then Applcation.terminate

так что не в хранении дело. а про базу данных ясно, что в инете ее хранить удобнее...
гуглите алгоритмы защиты программ

@artyoms · 14.01.2017, 02:25 **[ТС]**

А ещё такой вопрос, хранение важной инфы(в зашифрованном виде) в файле и потом дешифровка при старте программы, тоже извлекается на раз-два? Если да, то какой софт используют?

@Капитан Америка · 14.01.2017, 02:28

ida, ollydbg

@northener · 14.01.2017, 02:33

Сообщение от artyoms

получаю список файлов из папки на сервере, проверяю есть ли файл с номером серийника, если есть, то получаю закодированное содержимое

А кулхацкер и проверять сей список не станет. Нифига ему это нужно? Он в дизассемблере найдет команду проверки и изменит ее.

Сообщение от artyoms

Видел в инете схему: отправляем инфу в php, тот сверяет с базой данной и возвращает ответ. Но я так понял, там так же всё легко перехватывается и получается уровень защиты такой же как у первого варианта?

Правильно понял.

petrolium · 14.01.2017, 02:48

Где то встречал не помню где:
Запускается программа, обращается на сервер, с сервера раскачивается и загружается сразу в оперативку кусок кода, который что то про железо проверяет, и если получено соответствие - то скачивается "типа" декриптор, который расшифровывает кусок основной программы и запускает его, после - удаляется. При закрытии основной программы она снова криптуется новым алгоритмом(по типу XOR сегодняшенй даты +ен срийик чего то там). Был больной вопрос "что делать если внезапно отключили питание ПК?", но это то же как то решили
Данные из ОП тоже можно перехватить и подделать, но это уже не для слабонервных.

@northener · 14.01.2017, 03:06

Где-то встречал, и даже помню где, но придется озвучить банальную мысль, что без HW ключей с памятью, 100% защита нереальна!

petrolium · 14.01.2017, 03:10

Сообщение от northener

Где-то встречал, и даже помню где, но придется озвучить банальную мысль, что без HW ключей с памятью, 100% защита нереальна!

на 100% вас даже тампакс не защитит от протекания

@northener · 14.01.2017, 03:17

Сообщение от petrolium

на 100% вас даже тампакс не защитит от протекания

Не будьте таким однозначным.
100% защита вполне реальна. Но она не так проста как просто применение какого -либо способа.

@krapotkin · 14.01.2017, 10:40

защита держится на комплексе мероприятий.
для описания этого комплекса есть куча статей, о чем я написал в первом посте
никто не уложит это для вас в два абзаца на форуме
неужели трудно немного почитать
вот, выпало в гугле 3 или 4 строкой
https://www.z-oleg.com/secur/a... rotect.php

@UREK · 14.01.2017, 15:06

Все это снимается овер легко, нужен протектор по крайнер мере VMProtect
Процедуру проверки делай на виртуальной машине без выходов из нее.
Желательно критический момент программы перенести на сервер, цель сделать так что бы программа без сервера не могла работать, трафик шифруй при помощи AES а ключ аес при помощи RSA
Делай много подводных камней реверсерам.
Допустим где-то внутри проги через некий промежуток времени чекай лиц и если не валид тогда сделай так чтобы софт вылетел, в кряке будет как бы ошибка програмиста
Вот кусок кода для вылета

asm
hlt
end;

Получится privileged instruction

но основаная задача интеграция программы и сервера, если их смогут разьеденить все, все пропало, сломают на раз, стоит только кинуть софт нужным людям.

Добавлено через 1 минуту
Все что защищается все можно сломать, винда, фотошоп, и т.д тут зависит за сколько времени справятся, не ну если софт привяжете к серверу максимально без возможности скопировать сервер и отвязать от него, тогда возможно не взломают.

petrolium · 14.01.2017, 15:18

Касперски по моему писал, что ни кто не будет вскрывать программу если вскрытие будет стоить дороже самой программы =)

@D1973 · 14.01.2017, 15:47

Не по теме:

Сообщение от petrolium

если вскрытие будет стоить дороже самой программы

т.е. делать программу бесплатной - и ломать никому не надо будет :D

@UREK · 14.01.2017, 16:00

Сообщение от D1973

т.е. делать программу бесплатной - и ломать никому не надо будет

Не по теме:

обычно о защите думают когда пишут коммерческое приложение

@D1973 · 14.01.2017, 19:40

Не по теме:

UREK, Вы считаете, что какой-то говнокод, собранный из обрывков на разных форумах, не прошедший нормального тестирования, может иметь коммерческий успех? Я вот сомневаюсь...

@krapotkin · 14.01.2017, 20:12

если ничего не делать, тогда и вообще не сделается )

@UREK · 17.01.2017, 05:29

Сообщение от D1973

UREK, Вы считаете, что какой-то говнокод, собранный из обрывков на разных форумах, не прошедший нормального тестирования, может иметь коммерческий успех? Я вот сомневаюсь...

ну я хз, но видел различные бруты чекеры, например для амазона цена на такую приблуду составляла 30к руб.
и покупали ведь.

petrolium · 17.01.2017, 05:31

Сообщение от UREK

ну я хз, но видел различные бруты чекеры, например для амазона цена на такую приблуду составляла 30к руб.
и покупали ведь

где?

@UREK · 17.01.2017, 21:10

Сообщение от petrolium

где?

wwh-club

@Капитан Америка · 17.01.2017, 21:23

боты к играм вроде норма идут, за них нормально просят, хотя их даже собирают на конструкторах типо хайасм. вобщем дело не в говнокоде, а в агресивном маркетинге

@UREK 1 / 1 / 1 Регистрация: 16.01.2013 Сообщений: 57
	14.01.2017, 15:06	11
	Все это снимается овер легко, нужен протектор по крайнер мере VMProtect Процедуру проверки делай на виртуальной машине без выходов из нее. Желательно критический момент программы перенести на сервер, цель сделать так что бы программа без сервера не могла работать, трафик шифруй при помощи AES а ключ аес при помощи RSA Делай много подводных камней реверсерам. Допустим где-то внутри проги через некий промежуток времени чекай лиц и если не валид тогда сделай так чтобы софт вылетел, в кряке будет как бы ошибка програмиста Вот кусок кода для вылета asm hlt end; Получится privileged instruction но основаная задача интеграция программы и сервера, если их смогут разьеденить все, все пропало, сломают на раз, стоит только кинуть софт нужным людям. Добавлено через 1 минуту Все что защищается все можно сломать, винда, фотошоп, и т.д тут зависит за сколько времени справятся, не ну если софт привяжете к серверу максимально без возможности скопировать сервер и отвязать от него, тогда возможно не взломают. 0

@artyoms 1 / 1 / 0 Регистрация: 28.10.2012 Сообщений: 168
		1
	Защита проги 13.01.2017, 08:17. Показов 636. Ответов 19 Метки нет (Все метки) Оцените защиту: Получаю серийник железа, получаю список файлов из папки на сервере, проверяю есть ли файл с номером серийника, если есть, то получаю закодированное содержимое(срок лицензии), иначе предлагаю зарегистрироваться. Видел в инете схему: отправляем инфу в php, тот сверяет с базой данной и возвращает ответ. Но я так понял, там так же всё легко перехватывается и получается уровень защиты такой же как у первого варианта? 0

@krapotkin 5785 / 4527 / 1431 Регистрация: 14.04.2014 Сообщений: 20,157 Записей в блоге: 20
	13.01.2017, 09:25	2
	уровень защиты определяется алгоритмом если в программе есть if (неправильныйключ) then Applcation.terminate то можно просто поменять один байт (нужно только разобрать какой)) а обычно лень...) и условие станет if (правильныйключ) then Applcation.terminate так что не в хранении дело. а про базу данных ясно, что в инете ее хранить удобнее... гуглите алгоритмы защиты программ 1

@artyoms 1 / 1 / 0 Регистрация: 28.10.2012 Сообщений: 168
	14.01.2017, 02:25 [ТС]	3
	А ещё такой вопрос, хранение важной инфы(в зашифрованном виде) в файле и потом дешифровка при старте программы, тоже извлекается на раз-два? Если да, то какой софт используют? 0

@Капитан Америка 8 / 8 / 4 Регистрация: 18.12.2016 Сообщений: 104
	14.01.2017, 02:28	4
	ida, ollydbg 0

@northener пофигист широкого профиля 4733 / 3167 / 859 Регистрация: 15.07.2013 Сообщений: 18,252
	14.01.2017, 02:33	5
	Сообщение от artyoms получаю список файлов из папки на сервере, проверяю есть ли файл с номером серийника, если есть, то получаю закодированное содержимое А кулхацкер и проверять сей список не станет. Нифига ему это нужно? Он в дизассемблере найдет команду проверки и изменит ее. Сообщение от artyoms Видел в инете схему: отправляем инфу в php, тот сверяет с базой данной и возвращает ответ. Но я так понял, там так же всё легко перехватывается и получается уровень защиты такой же как у первого варианта? Правильно понял. 0

petrolium Нарушитель 99 / 33 / 10 Регистрация: 05.10.2013 Сообщений: 154 Записей в блоге: 1
	14.01.2017, 02:48	6
	Где то встречал не помню где: Запускается программа, обращается на сервер, с сервера раскачивается и загружается сразу в оперативку кусок кода, который что то про железо проверяет, и если получено соответствие - то скачивается "типа" декриптор, который расшифровывает кусок основной программы и запускает его, после - удаляется. При закрытии основной программы она снова криптуется новым алгоритмом(по типу XOR сегодняшенй даты +ен срийик чего то там). Был больной вопрос "что делать если внезапно отключили питание ПК?", но это то же как то решили Данные из ОП тоже можно перехватить и подделать, но это уже не для слабонервных. 0

@northener пофигист широкого профиля 4733 / 3167 / 859 Регистрация: 15.07.2013 Сообщений: 18,252
	14.01.2017, 03:06	7
	Где-то встречал, и даже помню где, но придется озвучить банальную мысль, что без HW ключей с памятью, 100% защита нереальна! 0

petrolium Нарушитель 99 / 33 / 10 Регистрация: 05.10.2013 Сообщений: 154 Записей в блоге: 1
	14.01.2017, 03:10	8
	Сообщение от northener Где-то встречал, и даже помню где, но придется озвучить банальную мысль, что без HW ключей с памятью, 100% защита нереальна! на 100% вас даже тампакс не защитит от протекания 0

@northener пофигист широкого профиля 4733 / 3167 / 859 Регистрация: 15.07.2013 Сообщений: 18,252
	14.01.2017, 03:17	9
	Сообщение от petrolium на 100% вас даже тампакс не защитит от протекания Не будьте таким однозначным. 100% защита вполне реальна. Но она не так проста как просто применение какого -либо способа. 0

@krapotkin 5785 / 4527 / 1431 Регистрация: 14.04.2014 Сообщений: 20,157 Записей в блоге: 20
	14.01.2017, 10:40	10
	защита держится на комплексе мероприятий. для описания этого комплекса есть куча статей, о чем я написал в первом посте никто не уложит это для вас в два абзаца на форуме неужели трудно немного почитать вот, выпало в гугле 3 или 4 строкой https://www.z-oleg.com/secur/a... rotect.php 1

	17.01.2017, 21:23

petrolium Нарушитель 99 / 33 / 10 Регистрация: 05.10.2013 Сообщений: 154 Записей в блоге: 1
	14.01.2017, 15:18	12
	Касперски по моему писал, что ни кто не будет вскрывать программу если вскрытие будет стоить дороже самой программы =) 0

@D1973
	14.01.2017, 15:47 #13
	Не по теме: Сообщение от petrolium если вскрытие будет стоить дороже самой программы т.е. делать программу бесплатной - и ломать никому не надо будет :D 0

@UREK 1 / 1 / 1 Регистрация: 16.01.2013 Сообщений: 57
	14.01.2017, 16:00	14
	Сообщение от D1973 т.е. делать программу бесплатной - и ломать никому не надо будет Не по теме: обычно о защите думают когда пишут коммерческое приложение 0

@D1973
	14.01.2017, 19:40 #15
	Не по теме: UREK, Вы считаете, что какой-то говнокод, собранный из обрывков на разных форумах, не прошедший нормального тестирования, может иметь коммерческий успех? Я вот сомневаюсь... 0

@krapotkin 5785 / 4527 / 1431 Регистрация: 14.04.2014 Сообщений: 20,157 Записей в блоге: 20
	14.01.2017, 20:12	16
	если ничего не делать, тогда и вообще не сделается ) 0

@UREK 1 / 1 / 1 Регистрация: 16.01.2013 Сообщений: 57
	17.01.2017, 05:29	17
	Сообщение от D1973 UREK, Вы считаете, что какой-то говнокод, собранный из обрывков на разных форумах, не прошедший нормального тестирования, может иметь коммерческий успех? Я вот сомневаюсь... ну я хз, но видел различные бруты чекеры, например для амазона цена на такую приблуду составляла 30к руб. и покупали ведь. 0

petrolium Нарушитель 99 / 33 / 10 Регистрация: 05.10.2013 Сообщений: 154 Записей в блоге: 1
	17.01.2017, 05:31	18
	Сообщение от UREK ну я хз, но видел различные бруты чекеры, например для амазона цена на такую приблуду составляла 30к руб. и покупали ведь где? 0

@UREK 1 / 1 / 1 Регистрация: 16.01.2013 Сообщений: 57
	17.01.2017, 21:10	19
	Сообщение от petrolium где? wwh-club 0