Правильное лицензирование программы

Все привет. Имеется полностью работоспособная программа с выдачей лицензии, но имеются проблемы.
Есть 3 формы: основной софт, авторизация и регистрацию.
При запуске открывается форма авторизации, где требуется ввести логин и пароль, которые хранятся в текстовике на ФТП сервере. При нажатии на кнопку Авторизоваться софт сверяет Логин, Пароль и номер железа. Все было отлично, но мой софт на днях крякнули, как сказал автор кряка он просто удалил форму лицензии. Подскажите как можно защититься от такого простого кряка. Хотелось бы еще узнать как защитить программу от декомпилиции (получения исходников), софт был обфусифицирован(правильно написал или нет, извините).

0

Обфусцировать код нужно. И обфускатор должен ни в коем случае не просто переименовывать функции и переменные в рандомные имена, а запутывать code-flow, насыщая его рефлексией, перенося часть исполняемого кода в ресурсы и т.д. Как крякер скажу, что и для .NET есть такие обфускаторы, которые могут усложнить любые изменения. Я сталкивался с таким.

Лучше всего взять то, чем пользуются крякеры (обычно это .NET Reflector) и испытать самому.

Еще можно создать некую активную защиту - например, наделать флагов, по которым следующий код будет проверять, была ли вызвана каждая функция (если сам обфускатор этого не делает), и если не была - значит, она вырезана - надо выдавать Exception или завершаться, желательно делать так, чтобы сложно было это перехватить - например, если падать - то через WinAPI, а не System.Diagnostics.
Можно проверять не подключен ли к процессу дебаггер.
Правда, .NETовские дебаггеры зачастую не так просто выявить, разве что проверить наличие такого запущенного процесса и отказаться работать, пока не завершат - или молча завершить его или себя.
Можно сделать отдельный модуль, который будет запускаться приложением где-то в скрытом месте, и следить...

Еще одна уязвимость, это сеть. Сетевые запросы можно перехватить, а ответ сервера подменить - если известно что именно там должно быть. Сервер должен возвращать ответ вместе с его хешем в виде шифровки ассиметричным алгоритмом, несовпадение клиент должен рассматривать как отрицательный ответ.

Вообще по теме можно писать целую книгу.

2

Сообщение от Faiotti Как крякер скажу, что и для .NET есть такие обфускаторы, которые могут усложнить любые изменения. Я сталкивался с таким.

Faiotti, а есть какие-либо стандартные инструменты для того, чтобы вытащить exe-шник из памяти?

Например, есть протектор, который распаковывает exe в память. Как его оттуда достают крякеры?

0

netBool, Не знаю. Из памяти не вытаскивал. Ничего особо стандартного в 2 клика для этого нет, скорее всего)
Та же декомпиляция + дебаг при выполнении + ага, нашли byte[], сохраняем его дебаггером в файл или в HEX-редактор копируем все байты.

0

Сообщение от Gisok он просто удалил форму лицензии

в этом и ошибка. Размажьте проверку лицензии по коду. На входе форма так и останется, а потом в очередной неявный момент хоп - и проверка. Или проверка по времени, в зависимости от ... времени года)))
- Ввод лицензии - это лишь указание что программа платная. Продолжение кода вообще не должно быть привязано к одному месту.
- Делайте тайм бомбы - отключайте функционал по условию, или выкидывайте постоянную ошибку спустя время. Пользователь обратится что "не работает", переставляете дату - и обратно как бесплатный "патч". не ломайте данные, а именно вываливайтесь из программы. Или ещё хуже - просто NOP на критичных местах. И не слушайте восклицаний что "так нельзя". Нельзя - это когда ты сообщил пользователю способ защиты, а оно вам надо? ))
- Сделайте многофакторную проверку. Т.е. недостаточно иметь просто лицензию, надо ещё чтоб в коде была "именная" проверка. В этом случае маркером можно отследить "от кого утекла лицензия".
Всё вышеописанное делается на раз-два. Потом обфускатором и протектором => profit.

И не слушайте советов по поводу "защита замедлит код". Вы же не софтверный гигант, чтоб ваша программа была критично требовательна к компам или ещё каким ресурсам. Какие-то пару милисекунд погоды не сделают, тем более в грамотном месте а не при считывании базы данных на пару сотен тысяч записей)))

Добавлено через 2 минуты

Сообщение от netBool чтобы вытащить exe-шник из памяти

не заморачивайтесь вы на таких местах. Поверьте, если у вас супер-мега-крутая-защита в одном месте программы, то некий "крякер" Faiotti, из спортивного интереса ломанёт программу. И тот же "крякер" Faiotti, много раз подумает, прежде чем отследить ВСЕ возможные места проверок, а потом запросит сумму за взлом, сопоставимую со стоимостью лицухи (или выше). Ну, если только он лично на вас не будет иметь зуб)))

1

NET.Reflector его не может крякнуть (восклицательный красный знак в красном кругу).
Я пользуюсь обфускатором NET.Reactor и делаю все так как на скриншоте, может еще что за галочки отметить надо?
Какие обфускатором посоветуете пользоваться?

Миниатюры

 

0

Самая распространённая ошибка лицензирования - это красивый, последовательный класс для обработки лицензии в отдельной DLL ке))) Прям так и хочется взять, сесть и сделать не просто какой-то там взлом, а прям кейген накатать. Что и было проделано много раз вне зависимости от уровня фирмы производителя (есессно в спортивных интересах и с целью совершенствования своей защиты)

0

skilllab, да у меня были такие мысли, к примеру каждые минуты 2 сверять HWID. Если невенрный то программа закрывается, но лично я не увидел в этом смысла, т.к если программу крякнут, то есть получат доступ к коды, то эти проверки легко можно удалить как я понимаю. Я прав?

0

Сообщение от Gisok Я прав?

как писали ранее

Сообщение от Faiotti Вообще по теме можно писать целую книгу.

Я вам так скажу: лучшая защита - это видимое "отсутствие" защиты.
Ваш подход к ней из первого сообщения - тому пример.

Добавлено через 6 минут
Gisok, есть на форуме один никнейм, "никотин". Ща вроде модератор. Почитайте всё что он писал и в каких темах, по части IL и защит. Там уйма интересного, а не просто

иф(май_сериал_из_тру) вен {всё_ок}

Добавлено через 22 минуты

Сообщение от skilllab есть на форуме один никнейм

Он - https://www.cyberforum.ru/members/105416.html

1

Gisok, Защита интеллектуальной собственности , пожалуй , самое сложное...Все программы крякают , ну вот все. Я сижу на JetBrains Rider с локальными лицензионными серверами... Нормальных идей по защите Net кода нет , что касательно серверной части...Ты используешь FTP? А ssh ? Расскажите подробней как работает ваша серверная часть проверки лицензии.

0

Сообщение от RaevskiAnatoly Нормальных идей по защите Net кода нет

крайне упадническая точка зрения. Это как сказать что нет в природе материала, который нельзя сломать.
Есть же люди ломающие сосульки))) а есть которые с помощью суперприспособ сломают титановый стержень диаметром в пол-метра и те и другие будут рассказывать на форумах что "нет в природе материала, который нельзя сломать"?

Добавлено через 1 минуту
Те, которые ломают сосульки даже не возьмутся за титан, но обязок скажут что "он тоже ломается" ))).

1

skilllab, единственное на что наводит ваша мысль , что сломать можно что угодно , но с разным количеством усилий. Это так. Ну используй Net Native это все же лучше , чем простой IL - код(как компонент VS докачать можно), что сказать.Так описание работы серверной части будет?

0

Сообщение от RaevskiAnatoly Ну используй Net Native

Не буду, пока не появится desktop версия не только лишь для uwp

Добавлено через 29 секунд
И даже это не отменяет кодописания защиты.

1

skilllab, сам подумай. Продукт - код , получаешь код - получаешь все. Увеличение кол-ва проверок не даст сильного прироста в защите , просто больше времени понадобится , и тем более если проверки однотипные.Либо обфускация , либо написать элемент ядра на C++ нативном и там сделать проверки , тогда удаление элемента ядра просто убьет программу.

Добавлено через 2 минуты
skilllab, Зачем тебе защита кода , если ты не хочешь говорить о серверной части , а что-то мне подсказывает , что крякнуть эту часть будет куда проще.

0

Сообщение от RaevskiAnatoly сам подумай

Я уже думал, и уже делал. Пока норм.

Сообщение от RaevskiAnatoly просто больше времени понадобится

Я много чего уже написал выше в теме, твоё право читать это или нет. Но обращаясь по нику будь добр хотя б глаза поднять на сообщения. Спасибо.

Сообщение от RaevskiAnatoly Зачем тебе защита кода , если ты не хочешь говорить о серверной части

Ну так и поговори об этом с топикстартером, у него она.

0

Сообщение от skilllab Ну так и поговори об этом с топикстартером, у него она.

0

RaevskiAnatoly, на ФТП сервере save-data имеется файл license.db, при нажатии на кнопку авторизоваться этот файл качается проверяет есть ли в нем login:pass который ввел юзер и hwid, если нету то файл удаляется и высвечивается ошибка, если есть, то файл удаляется и открывается окно основной программы. Вы это хотели увидеть? Извеняюсь что долго не отвечал, доступа к интернету не было.

0

Gisok, если я правильно тебя понял , то в файле license.db есть логины\пароли других пользователей , а также ты не применяешь ssh. Это небезопасно. Просто прослушивая сеть , можно перехватить файл , как следствие пароли и логины других пользователей. Ничто не мешает модифицировать пакеты данных и , например, подсунуть программе фальшивый license.db . Лучше будет написать на php сервер. Клиент посылает(по https!) запрос с своим логином и паролем , а в ответ получает , допустим , 3 возможных состояния : активация лицензии , нет лицензии , лицензия уже активирована на другом устройстве (лучше ввести ограничение на кол-во копий программы , что можно активировать данной лицензией).

0

Сообщение от netBool есть какие-либо стандартные инструменты для того, чтобы вытащить exe-шник из памяти?

Естественно есть.

Добавлено через 4 минуты
Gisok, максимальную защиту даст только распределенное приложение (у которого часть основного кода будет на сервере). Вот тогда сломать его будет практически невозможно. Все остальное, так или иначе ломается.

0

Сообщение от insite2012 Естественно есть.

Какие, например?

0