Как защитить EXE от исследования?

Dragokas · Регистрация: 25.12.2011

Всем привет !

Хотелось бы усложнить жизнь гипотетическому исследователю,
который не особо искушен в языке VB и отладчиках,
чтобы тяжело было отследить логику работы программы,
но в особенности чтобы нельзя было увидеть константных строк в явном виде,
напрямую декомпилировав EXE.

Какими средствами и опциями компиляции следует воспользоваться?
Спасибо.

@Антихакер32 · 13.09.2014, 08:18

да мне пофиг как это по американски называется, не знаю и знать не хочу
у меня это называется шифровальщик, ...ну могу еще обозвать шифровальщик-32
зато если я его написал, то я единственный кто знает что он делает, и то главное
чтобы не я это знал, а та программа которая использует зашифрованные данные

Добавлено через 11 минут
вопрос то вообще как стоял..

Сообщение от Dragokas

Как защитить EXE от исследования?

можно просто не допускать запуск и работу EXE-шника, пока в системе
одновременно с ним запущенны мониторинговые программы..
держать в ресурсах например перечень процессов, при которых не следует
производить дешифровку.. а пользователя вежливо предупредить..
что программа не станет работать пока запущена
эта мониторящая программа использующая этот процесс

@gazlan · 13.09.2014, 09:57

Сообщение от Антихакер32

можно просто не допускать запуск и работу EXE-шника, пока в системе одновременно с ним запущенны мониторинговые программы

Умники из команды Skype также думали :-)

@The trick · 13.09.2014, 10:28

Сообщение от Антихакер32

а ведь можно сделать несколько констант величеной с килобайт
и использовать только кусок из какой либо константы.. более того можно этот ребус устроить так.. что из нескольких отвлекаящих констант выборочно брать фрагменты и использовать как
источник данных из разрозненных кусков непосредственно в режиме выполнения..
и чтоб чтото достоверно пере-проверить потребуется бесконечное количество времени

Вся твоя защита накроется как твоя строка пойдет на обработку.

Сообщение от Антихакер32

..ну это только идея, которую врят-ли кто заметит, потому что тут
одни и теже, и двое из них умиляются друг-другом, спасибки ставят.. бесит аж
неспособые воспринимать новое

Здесь никому не интересно что тебя бесит. И пока я заметил что воспринимать новое не можешь только ты.

Сообщение от Антихакер32

пущщай лучше расшифровка в режиме выполнения займет
минуту!

А вот потом можно и приступать к исследованию. (зачем раньше?)

Сообщение от Антихакер32

всё нужно делать ручками, своими руками, а не подсматривать
как шифруют данные другие, и тогда точно никто не смогёт ничего увидеть

Вообще-то люди для этого и обмениваются информацией чтобы почерпнуть что-то новое и применить в своих проектах.

Сообщение от Антихакер32

несколько ничем не связанных констант.. но они могут породить одно значение..
если какое-либо из слов, рассматривать как внутренний ключ для расшифровки

Когда строка будет расшифрована - ее без труда можно подсмотреть.

Сообщение от Антихакер32

Причем прежде чем расшифровать арбуз ...
нужно расшифровать грушу, а прежде чем расшифровать грушу..
нужно расшифровать яблоко.. тут-уж никто не станет заниматься
внешним перебором.. чтобы *подсмотреть* так-как проще повеситься

Ага, никто.

Сообщение от hoch

Если бы мне требовалось усложнить жизнь любопытному
Буратино, то я бы применил оператор GOTO. Большое
их количество (не обязательно рабочие) собьют спесь
любому хакеру!! Поверьте мне!

Посмотри дизассемблерированный листинг программы на VB6, там этих jmp'ов и без того много и они не создают особых проблем. Если ты вставишь хоть с десяток лишних - это ни в коем случае не усложнит реверсинг. Зато твой исходный код многократно усложнится и будет намного сложней для восприятия.

Сообщение от Антихакер32

можно просто не допускать запуск и работу EXE-шника, пока в системе
одновременно с ним запущенны мониторинговые программы..

CREATE_SUSPENDED и перехват нужных функций, пару кликов и модификаций и твоя защита уже не защита.

SoftIce · 13.09.2014, 11:45

Не по теме:

Сообщение от gazlan

Умники из команды Skype

До паранойи доходило у некоторых программ. Запускаешь, а она выдаёт "В Вашей системе установлена (даже не запущена!) программа SoftIce." и закрывается.

@gazlan · 13.09.2014, 11:55

Сообщение от SoftIce

установлена (даже не запущена!)

Не по теме:

Проверяли наличие видеодрайвера SI. Skype, к слову, делал умнее - вываливался только в момент звонка :-)

Dragokas · 13.09.2014, 12:06 **[ТС]**

Не по теме:

Сообщение от SoftIce

В Вашей системе установлена (даже не запущена!) программа SoftIce

SoftIce, , :D

@hoch · 13.09.2014, 13:57

Если бы мне было нужно досадить хакеру, то
я создал бы программу, которая сама бы не
выполняла заданной программы, а лишь была
исполнителем воли txt-файла, где и хранились
бы данные и команды. Это нечто десятичного
Ассемблера. Вот уж точно никто ничто не прочтет.
И хакер, смахнув рукавом скупую мужскую слезу,
проклянет тот день, когда он "сел за баранку
это пылесоса!!"

@gazlan · 13.09.2014, 21:06

Сообщение от hoch

проклянет тот день

Или напишет декомпилятор виртуальной машины. Есть примеры и бесплатных и коммерческих решений для самых разных сред и защит.

@Антихакер32 · 13.09.2014, 22:39

Сообщение от The trick

CREATE_SUSPENDED и перехват нужных функций, пару кликов и модификаций и твоя защита уже не защита.

запуск должен производится, строго из проводника..
с определенными аттрибутами за этим тоже нужно следить, во вторых..
а кто сказал что моя программа должна падать
нет, можно сделать чтоб она запустилась с наивысшими правами
и приоритетом реального времени, затем заморозить неугодные сторонние процессы
и уж после этого продолжить работу в обычном режиме, по окончанию выполнения
восстановить всё как было, визуально это будет почти незаметно..
разьве что у хакеров это будет выдавливать скупую слезу ...

Добавлено через 7 минут
В конце концов, можно распаралелить на 2 программы..
первая запускается и извлекает из себя, жутко обфусцированного
шустрого и агрессивного программу помошника, та замораживает неугодных
держит на крючке пару секунд пока первая прога у себя вычисляет ребус..
затем также быстро всё восстонавливает и удаляется

Добавлено через 6 минут
Даже такты можно посчитать.. если временные такты не соответствуют
значит.. тото и тото

@maxillion · 13.09.2014, 22:49

Ну на счет шифрования констант думаю уже все изложили. Правда поставить breakpoint в отладчике на функции обращения к реестру думаю сможет даже обычный студент. А это сводит всю защиту на нет. Тогда хотя бы замаскируйте простейшим образом вызов Api. Вот тогда я думаю будет уже на много труднее что то найти в вашей программе.

@Антихакер32 · 13.09.2014, 23:13

Такое уж точно усложнит просмотр..
есть еще пару идей.. например запускать несколько копий
программ одновременно сообща решая общую задачу
а основное управление у какой-то одной
..поди разберись что они там делают

Добавлено через 7 минут
2 копии это уже будет ужас.. а 16 скрытых копий?..

Добавлено через 8 минут
Причем необязательно чтобы они все одновременно работали..
первая копия поработала .001 секунду, передала управление второй,
вторая закрыла первую и тоже поработала .001 секунду передала управление третей
ну и тд

Добавлено через 2 минуты
даже если хакеру несказанно повезет просмотреть первую копию..
в этот момент уже будет работать 88-я...

Добавлено через 4 минуты
Таким образом у хакера неминуемо потеряется цепочка взаимосвязи

@maxillion · 13.09.2014, 23:15

Сообщение от Антихакер32

даже если хакеру несказанно повезет просмотреть первую копию..
в этот момент уже будет работать 88-я...

....

@Антихакер32 · 13.09.2014, 23:30

Ну раз -уж, коментариев особо нет.., значит дейсвительно в этом есть смысл..
хотя всегда можно сделать по другому, главное чтоб нельзя было
предугадать, подсмотреть и просчитать что делает твоя программа

@gazlan · 14.09.2014, 00:01

Все примитивные трюки, которые пришли (или еще только придут) вам в голову уже давно опробованы, исследованы... и заброшены. Проект Armadillo, например (программа, отлаживающая саму себя).

@Антихакер32 · 14.09.2014, 00:13

Это рекламма, или вы хотите сказать что и эту софтину писанную на с++
удалось ломануть тоже? ..
там много иностранного текста, не стал переводить до конца..

Добавлено через 1 минуту
Примитивного трюка будет достаточно, чтоб...

Сообщение от Dragokas

усложнить жизнь гипотетическому исследователю,
который не особо искушен в языке VB и отладчиках

Добавлено через 1 минуту
и надо так-же незабывать что действия по защите должны-быть соразмерны ценности твоей программы

@The trick · 14.09.2014, 00:25

Сообщение от Антихакер32

запуск должен производится, строго из проводника..
с определенными аттрибутами за этим тоже нужно следить, во вторых..

Я обычно запускаю в OllyDbg.

Сообщение от Антихакер32

нет, можно сделать чтоб она запустилась с наивысшими правами
и приоритетом реального времени, затем заморозить неугодные сторонние процессы
и уж после этого продолжить работу в обычном режиме, по окончанию выполнения
восстановить всё как было, визуально это будет почти незаметно..

Ага, я так и не понял как она это сделает будучи приостановленной?

Сообщение от Антихакер32

В конце концов, можно распаралелить на 2 программы..
первая запускается и извлекает из себя, жутко обфусцированного
шустрого и агрессивного программу помошника, та замораживает неугодных
держит на крючке пару секунд пока первая прога у себя вычисляет ребус..
затем также быстро всё восстонавливает и удаляется

Это только облегчит задачу хакеру, а тебе многократно усложнит.

Сообщение от Антихакер32

Даже такты можно посчитать.. если временные такты не соответствуют
значит.. тото и тото

Кто их будет считать? А если я поставлю заведомо маленькое значение? Для современных отладчиков столько плагинов есть, что эти все описанные методы обходятся на ура.

Сообщение от Антихакер32

Такое уж точно усложнит просмотр..
есть еще пару идей.. например запускать несколько копий
программ одновременно сообща решая общую задачу
а основное управление у какой-то одной
..поди разберись что они там делают

Давай, напиши такую. Да любая такая защита будет основана на каком-нибудь объекте синхронизации там она и спалится.

Сообщение от Антихакер32

2 копии это уже будет ужас.. а 16 скрытых копий?..

Ага, как ты их скрывать собрался? Видимо у тебя там уже проект по несколько тысяч строк. Я в этом не сомневаюсь ты же так хорошо знаешь WinAPI и тем более NativeAPI

Сообщение от Антихакер32

Причем необязательно чтобы они все одновременно работали..
первая копия поработала .001 секунду, передала управление второй,
вторая закрыла первую и тоже поработала .001 секунду передала управление третей
ну и тд

Ага, попробуй организуй алгоритм, и посмотри на производительность программы в таком случае.

Сообщение от Антихакер32

даже если хакеру несказанно повезет просмотреть первую копию..
в этот момент уже будет работать 88-я...

Хакер (точнее крекер) поставит точку останова и все что ему надо отследит.

Сообщение от Антихакер32

Таким образом у хакера неминуемо потеряется цепочка взаимосвязи

А еще она потеряется у разработчика такого ПО.

Сообщение от Антихакер32

Ну раз -уж, коментариев особо нет.., значит дейсвительно в этом есть смысл..
хотя всегда можно сделать по другому, главное чтоб нельзя было
предугадать, подсмотреть и просчитать что делает твоя программа

Так нельзя сделать в общем случае.

Сообщение от Антихакер32

Примитивного трюка будет достаточно, чтоб...

Вот именно, ключевое слово примитивного.

Dragokas · 14.09.2014, 00:27 **[ТС]**

Мне бы за такие трюки и обычные неискушенные пользователи отрезали бы голову.

@Антихакер32 · 14.09.2014, 00:38

Да-да, полностью с вами согласен коллега

Новые блоги и статьи Все статьи Все блоги /
[golang] Конкурентный fetcher с ограничением максимального количества одновременных HTTP запросов. alhaos 10.06.2026 Задача Реализовать конкурентный fetcher с ограничением максимального количества одновременных HTTP запросов. Сигнатура func Fetch(urls string, maxConcurrent int) Result Пример urls :=. . .	[golang] Состояние гонки (race condition) alhaos 10.06.2026 Состояние гонки (race condition) Состояние гонки (Race Condition) — это ошибка, возникающая при одновременном доступе нескольких горутин к одним и тем же данным без должной синхронизации. При этом. . .	Взрослые отношения, и почему они не получаются kumehtar 09.06.2026 Когда в детстве ребёнок не получает от родителей чего-то важного, он лишается не просто приятных переживаний, а основы для формирования определённых внутренних качеств и навыков. Если ребёнок не. . .	[golang] Worker Pool alhaos 09.06.2026 Worker Pool Worker Pool — паттерн конкурентной обработки задач в Go. Суть: фиксированное количество горутин-воркеров читают задачи из общего канала и пишут результаты в общий канал результатов. . . .
[golang] Pipeline alhaos 08.06.2026 Pipeline Pipeline — паттерн конкурентной обработки данных в Go. Суть: данные проходят через цепочку независимых стадий, каждая из которых работает в своей горутине и общается с соседями через. . .	Свет внутри себя kumehtar 07.06.2026 Пусть это будет здесь lIs4oanZS9Y	Программа для com-порта Uhbif79 05.06.2026 Всем привет, давно хотел изучить Qt, начинал, бросал, потом снова начинал. И сейчас вот смог написать свою первую программу. До этого имел опыт программирования микроконтроллеров, писал прошивки на. . .	Транскрипция 55-минутного видео через Whisper: WhisperDesktop облажался, спас Google Colab[ anaschu 01.06.2026 Понадобилось получить текст из свежезагруженного видео на YouTube. Казалось бы, задача на пять минут. Заняла полтора часа. Делюсь опытом — может кому пригодится последовательность решений. . . .

Dragokas 18035 / 7738 / 892 Регистрация: 25.12.2011 Сообщений: 11,502 Записей в блоге: 16

	Как защитить EXE от исследования? 26.08.2014, 16:26. Показов 4930. Ответов 37 Метки нет (Все метки) Всем привет ! Хотелось бы усложнить жизнь гипотетическому исследователю, который не особо искушен в языке VB и отладчиках, чтобы тяжело было отследить логику работы программы, но в особенности чтобы нельзя было увидеть константных строк в явном виде, напрямую декомпилировав EXE. Какими средствами и опциями компиляции следует воспользоваться? Спасибо. 0

@hoch Заблокирован
	13.09.2014, 13:57
	Если бы мне было нужно досадить хакеру, то я создал бы программу, которая сама бы не выполняла заданной программы, а лишь была исполнителем воли txt-файла, где и хранились бы данные и команды. Это нечто десятичного Ассемблера. Вот уж точно никто ничто не прочтет. И хакер, смахнув рукавом скупую мужскую слезу, проклянет тот день, когда он "сел за баранку это пылесоса!!" 0

@maxillion 286 / 192 / 56 Регистрация: 25.12.2012 Сообщений: 640
	13.09.2014, 22:49
	Ну на счет шифрования констант думаю уже все изложили. Правда поставить breakpoint в отладчике на функции обращения к реестру думаю сможет даже обычный студент. А это сводит всю защиту на нет. Тогда хотя бы замаскируйте простейшим образом вызов Api. Вот тогда я думаю будет уже на много труднее что то найти в вашей программе. 0

@Антихакер32 1201 / 473 / 46 Регистрация: 06.01.2014 Сообщений: 1,797 Записей в блоге: 19
	13.09.2014, 23:13
	Такое уж точно усложнит просмотр.. есть еще пару идей.. например запускать несколько копий программ одновременно сообща решая общую задачу а основное управление у какой-то одной ..поди разберись что они там делают Добавлено через 7 минут 2 копии это уже будет ужас.. а 16 скрытых копий?.. Добавлено через 8 минут Причем необязательно чтобы они все одновременно работали.. первая копия поработала .001 секунду, передала управление второй, вторая закрыла первую и тоже поработала .001 секунду передала управление третей ну и тд Добавлено через 2 минуты даже если хакеру несказанно повезет просмотреть первую копию.. в этот момент уже будет работать 88-я... Добавлено через 4 минуты Таким образом у хакера неминуемо потеряется цепочка взаимосвязи 0

@Антихакер32 1201 / 473 / 46 Регистрация: 06.01.2014 Сообщений: 1,797 Записей в блоге: 19
	13.09.2014, 23:30
	Ну раз -уж, коментариев особо нет.., значит дейсвительно в этом есть смысл.. хотя всегда можно сделать по другому, главное чтоб нельзя было предугадать, подсмотреть и просчитать что делает твоя программа 0

@gazlan 3178 / 1937 / 312 Регистрация: 27.08.2010 Сообщений: 5,131 Записей в блоге: 1
	14.09.2014, 00:01
	Все примитивные трюки, которые пришли (или еще только придут) вам в голову уже давно опробованы, исследованы... и заброшены. Проект Armadillo, например (программа, отлаживающая саму себя). 0

Dragokas 18035 / 7738 / 892 Регистрация: 25.12.2011 Сообщений: 11,502 Записей в блоге: 16
	14.09.2014, 00:27 [ТС]
	Мне бы за такие трюки и обычные неискушенные пользователи отрезали бы голову. 2

@Антихакер32 1201 / 473 / 46 Регистрация: 06.01.2014 Сообщений: 1,797 Записей в блоге: 19
	14.09.2014, 00:38
	Да-да, полностью с вами согласен коллега 0