Алгоритм для лицензии

Всем доброго времени суток.

Мне нужно сделать проверку лицензии в программе.

Как я это вижу.
Пользователь получает ключ вместе с программой. Когда он её запускает, то программа на сервер отправляет Mac компьютера и, введённый пользователем, ключ на сервер. Сервер сравнивает ключ и Mac с тем, что находится в БД и возвращает ответ true/false.

Проблема заключается в том что:
1) Если зареверсинженерить программу у пользователя и прочитать код на ассемблере, то можно легко увидеть, что после проверки условия, если получает 1,то программа начинает работать, если нет, то заканчивает.
2) Можно вовсе убрать строчку с проверкой ключа

Как я могу от этого обезопасить свою программу?

0

Сообщение от GribBob Как я могу от этого обезопасить свою программу?

Наверное, никак. Посмотрите вокруг, "защищенные" программы ломанные на трекерах валяются.

1

Сообщение от Croessmah Наверное, никак. Посмотрите вокруг, "защищенные" программы ломанные на трекерах валяются.

Зато можно сделать процесс взлома сложным и/или геморройным.
Возможно ли вытащить информацию из приложения(думаю да) и как защитить данные от такого действия?
С другой стороны стоит ли вообще париться насчет взлома программы? Если это какой-то локальный и дешевый проект (типа БД для парикмахерской) который используется практически только в ней, то ее скорее всего даже пытаться взламывать не будут. Кому она сдалась? Другое дело если бы ты делал прорывное ПО, которое в итоге попадет на миллионы компьютеров или какую-нибудь GTA5.

0

Сообщение от GribBob Как я могу от этого обезопасить свою программу?

есть 100% способ:
вынести часть функционала программы на сервер.

Сообщение от Croessmah Посмотрите вокруг, "защищенные" программы ломанные на трекерах валяются

часто авторы сами кряки распространяют, это у них называется продвинутый способ пиара.

0

Старайтесь как можно меньше применять стандартные функции (особенно API-шные) и компоненты VCL. Так что Assembler, Assembler и еще раз Assembler
Применяйте нестандартный способ ввода пароля
Не храните введенный код в одном месте
Не храните введенный код открытым текстом
Ни в коем случае не анализируйте код сразу после его ввода
Не проверяйте код только в одном месте и не пишите для проверки функцию
Не проверяйте пароль одним алгоритмом
Ни в коем случае не предпринимайте никаких действий после проверки
Отвлекающие маневры
Не храните результатов проверки в переменной и не используйте ее для явного ограничения функций незарегистрированной программы
Не храните результатов проверки на диске или в реестре
Не определяйте дату и время стандартными способом
Не стоит хранить что-либо секретное в файлах или реестре
Не храните ничего важного открытым текстом, особенно сообщения типа "Это незарегистрированная версия ...", "Введенный пароль не верен ..."

1

есть 100% способ: вынести часть функционала программы на сервер.

К сожалению, вынести какой-либо функционал на сервер, кроме проверки ключа, невозможно.

Добавлено через 19 минут
Может есть какие-то способы, которые запрещают дизассемблировать программу вообще?
Даже, если только в теории, но тогда, где можно про это почитать?

0

Ну вообще говоря, можно смотреть дизассемблированные процессы запущенной на виртуальной машине операционной системы целиком. Так что смысла смотреть в этом направлении нет. Ответы сервера тоже могут отлавливаться/подменяться, так что ждать приёма просто true/false глупо, нужно проверять что-то нетривиальное и шифрованное.

Добавлено через 2 минуты
Но опять же, если полезность продукта средненькая, то заморачиваться с суперзащитой для него - "овчинка выделки не стоит"

0

Понятно... Спасибо тогда за советы

0

Сообщение от XLAT часто авторы сами кряки распространяют, это у них называется продвинутый способ пиара.

Емнип, в игре Game Dev Tycoon сделали очень просто ломающуюся защиту.
Но, еще добавили вторичную приколюху - если игра ломанная,
то ближе к концу из-за чудовищного уровня пиратства игру пройти невозможно.
И сидели себе тихо какое-то время, читая жалобы пользователей на форуме.

1

Сообщение от GribBob Может есть какие-то способы, которые запрещают дизассемблировать программу вообще?

вы изначально не в том направлении начали двигаться.
причём здесь дизассемблер?
"запретить" дизассемблирование возможно только в одном случае - если файл не имеет структуры PE.
но тогда и загрузчик windows не сможет загрузить этот файл в память.

во-первых, ваша программа должна быть написана так, чтобы от дизассемблирования не было никакого толка - чтобы реверсер увидел только обычные структуры, предопределенные функции и прочую мишуру от которой никакого толку без данных.
во-вторых, взлом программ осуществляется в динамике, т.е. тогда, когда ваша программа загружена в память и работает, и к ней есть данные.
обычно хакер покупает ключ/лицензию и дебажит её от ntdll.dll до OEP, прокладывая трассу.
далее из этой трассы убирается всё лишнее, пересобирается импорт и выкладывается ломаный файл.

и вот здесь вам и нужно думать над своей защитой, которая называется anti-debug.
для примитива - забейте в гугле anti-debug и смотрите примеры как скрывают Nt функции от отладчика.
такой способ подойдёт для защиты от мамкиных кулхацкеров, которые только и могут всего лишь открыть отладчик и ни черта не понять что там написано.
для более продвинутого anti-debug'а создают виртуальные машины и замусоривают код обфускацией.
в таком случае добраться до OEP могут только единицы.

понятное дело, что вирт вы не напишите, поэтому если ваш проект некомерс, скачайте vmprotect 3 версии и накройте вашу прогу защитой.

0