Как защитить EXE от исследования?

Dragokas · Регистрация: 25.12.2011

Студворк — интернет-сервис помощи студентам

Всем привет !

Хотелось бы усложнить жизнь гипотетическому исследователю,
который не особо искушен в языке VB и отладчиках,
чтобы тяжело было отследить логику работы программы,
но в особенности чтобы нельзя было увидеть константных строк в явном виде,
напрямую декомпилировав EXE.

Какими средствами и опциями компиляции следует воспользоваться?
Спасибо.

@Антихакер32 · 13.09.2014, 08:18

да мне пофиг как это по американски называется, не знаю и знать не хочу
у меня это называется шифровальщик, ...ну могу еще обозвать шифровальщик-32
зато если я его написал, то я единственный кто знает что он делает, и то главное
чтобы не я это знал, а та программа которая использует зашифрованные данные

Добавлено через 11 минут
вопрос то вообще как стоял..

Сообщение от Dragokas

Как защитить EXE от исследования?

можно просто не допускать запуск и работу EXE-шника, пока в системе
одновременно с ним запущенны мониторинговые программы..
держать в ресурсах например перечень процессов, при которых не следует
производить дешифровку.. а пользователя вежливо предупредить..
что программа не станет работать пока запущена
эта мониторящая программа использующая этот процесс

@gazlan · 13.09.2014, 09:57

Сообщение от Антихакер32

можно просто не допускать запуск и работу EXE-шника, пока в системе одновременно с ним запущенны мониторинговые программы

Умники из команды Skype также думали :-)

@The trick · 13.09.2014, 10:28

Сообщение от Антихакер32

а ведь можно сделать несколько констант величеной с килобайт
и использовать только кусок из какой либо константы.. более того можно этот ребус устроить так.. что из нескольких отвлекаящих констант выборочно брать фрагменты и использовать как
источник данных из разрозненных кусков непосредственно в режиме выполнения..
и чтоб чтото достоверно пере-проверить потребуется бесконечное количество времени

Вся твоя защита накроется как твоя строка пойдет на обработку.

Сообщение от Антихакер32

..ну это только идея, которую врят-ли кто заметит, потому что тут
одни и теже, и двое из них умиляются друг-другом, спасибки ставят.. бесит аж
неспособые воспринимать новое

Здесь никому не интересно что тебя бесит. И пока я заметил что воспринимать новое не можешь только ты.

Сообщение от Антихакер32

пущщай лучше расшифровка в режиме выполнения займет
минуту!

А вот потом можно и приступать к исследованию. (зачем раньше?)

Сообщение от Антихакер32

всё нужно делать ручками, своими руками, а не подсматривать
как шифруют данные другие, и тогда точно никто не смогёт ничего увидеть

Вообще-то люди для этого и обмениваются информацией чтобы почерпнуть что-то новое и применить в своих проектах.

Сообщение от Антихакер32

несколько ничем не связанных констант.. но они могут породить одно значение..
если какое-либо из слов, рассматривать как внутренний ключ для расшифровки

Когда строка будет расшифрована - ее без труда можно подсмотреть.

Сообщение от Антихакер32

Причем прежде чем расшифровать арбуз ...
нужно расшифровать грушу, а прежде чем расшифровать грушу..
нужно расшифровать яблоко.. тут-уж никто не станет заниматься
внешним перебором.. чтобы *подсмотреть* так-как проще повеситься

Ага, никто.

Сообщение от hoch

Если бы мне требовалось усложнить жизнь любопытному
Буратино, то я бы применил оператор GOTO. Большое
их количество (не обязательно рабочие) собьют спесь
любому хакеру!! Поверьте мне!

Посмотри дизассемблерированный листинг программы на VB6, там этих jmp'ов и без того много и они не создают особых проблем. Если ты вставишь хоть с десяток лишних - это ни в коем случае не усложнит реверсинг. Зато твой исходный код многократно усложнится и будет намного сложней для восприятия.

Сообщение от Антихакер32

можно просто не допускать запуск и работу EXE-шника, пока в системе
одновременно с ним запущенны мониторинговые программы..

CREATE_SUSPENDED и перехват нужных функций, пару кликов и модификаций и твоя защита уже не защита.

SoftIce · 13.09.2014, 11:45

Не по теме:

Сообщение от gazlan

Умники из команды Skype

До паранойи доходило у некоторых программ. Запускаешь, а она выдаёт "В Вашей системе установлена (даже не запущена!) программа SoftIce." и закрывается.

@gazlan · 13.09.2014, 11:55

Сообщение от SoftIce

установлена (даже не запущена!)

Не по теме:

Проверяли наличие видеодрайвера SI. Skype, к слову, делал умнее - вываливался только в момент звонка :-)

Dragokas · 13.09.2014, 12:06 **[ТС]**

Не по теме:

Сообщение от SoftIce

В Вашей системе установлена (даже не запущена!) программа SoftIce

SoftIce, , :D

@hoch · 13.09.2014, 13:57

Если бы мне было нужно досадить хакеру, то
я создал бы программу, которая сама бы не
выполняла заданной программы, а лишь была
исполнителем воли txt-файла, где и хранились
бы данные и команды. Это нечто десятичного
Ассемблера. Вот уж точно никто ничто не прочтет.
И хакер, смахнув рукавом скупую мужскую слезу,
проклянет тот день, когда он "сел за баранку
это пылесоса!!"

@gazlan · 13.09.2014, 21:06

Сообщение от hoch

проклянет тот день

Или напишет декомпилятор виртуальной машины. Есть примеры и бесплатных и коммерческих решений для самых разных сред и защит.

@Антихакер32 · 13.09.2014, 22:39

Сообщение от The trick

CREATE_SUSPENDED и перехват нужных функций, пару кликов и модификаций и твоя защита уже не защита.

запуск должен производится, строго из проводника..
с определенными аттрибутами за этим тоже нужно следить, во вторых..
а кто сказал что моя программа должна падать
нет, можно сделать чтоб она запустилась с наивысшими правами
и приоритетом реального времени, затем заморозить неугодные сторонние процессы
и уж после этого продолжить работу в обычном режиме, по окончанию выполнения
восстановить всё как было, визуально это будет почти незаметно..
разьве что у хакеров это будет выдавливать скупую слезу ...

Добавлено через 7 минут
В конце концов, можно распаралелить на 2 программы..
первая запускается и извлекает из себя, жутко обфусцированного
шустрого и агрессивного программу помошника, та замораживает неугодных
держит на крючке пару секунд пока первая прога у себя вычисляет ребус..
затем также быстро всё восстонавливает и удаляется

Добавлено через 6 минут
Даже такты можно посчитать.. если временные такты не соответствуют
значит.. тото и тото

@maxillion · 13.09.2014, 22:49

Ну на счет шифрования констант думаю уже все изложили. Правда поставить breakpoint в отладчике на функции обращения к реестру думаю сможет даже обычный студент. А это сводит всю защиту на нет. Тогда хотя бы замаскируйте простейшим образом вызов Api. Вот тогда я думаю будет уже на много труднее что то найти в вашей программе.

@Антихакер32 · 13.09.2014, 23:13

Такое уж точно усложнит просмотр..
есть еще пару идей.. например запускать несколько копий
программ одновременно сообща решая общую задачу
а основное управление у какой-то одной
..поди разберись что они там делают

Добавлено через 7 минут
2 копии это уже будет ужас.. а 16 скрытых копий?..

Добавлено через 8 минут
Причем необязательно чтобы они все одновременно работали..
первая копия поработала .001 секунду, передала управление второй,
вторая закрыла первую и тоже поработала .001 секунду передала управление третей
ну и тд

Добавлено через 2 минуты
даже если хакеру несказанно повезет просмотреть первую копию..
в этот момент уже будет работать 88-я...

Добавлено через 4 минуты
Таким образом у хакера неминуемо потеряется цепочка взаимосвязи

@maxillion · 13.09.2014, 23:15

Сообщение от Антихакер32

даже если хакеру несказанно повезет просмотреть первую копию..
в этот момент уже будет работать 88-я...

....

@Антихакер32 · 13.09.2014, 23:30

Ну раз -уж, коментариев особо нет.., значит дейсвительно в этом есть смысл..
хотя всегда можно сделать по другому, главное чтоб нельзя было
предугадать, подсмотреть и просчитать что делает твоя программа

@gazlan · 14.09.2014, 00:01

Все примитивные трюки, которые пришли (или еще только придут) вам в голову уже давно опробованы, исследованы... и заброшены. Проект Armadillo, например (программа, отлаживающая саму себя).

@Антихакер32 · 14.09.2014, 00:13

Это рекламма, или вы хотите сказать что и эту софтину писанную на с++
удалось ломануть тоже? ..
там много иностранного текста, не стал переводить до конца..

Добавлено через 1 минуту
Примитивного трюка будет достаточно, чтоб...

Сообщение от Dragokas

усложнить жизнь гипотетическому исследователю,
который не особо искушен в языке VB и отладчиках

Добавлено через 1 минуту
и надо так-же незабывать что действия по защите должны-быть соразмерны ценности твоей программы

@The trick · 14.09.2014, 00:25

Сообщение от Антихакер32

запуск должен производится, строго из проводника..
с определенными аттрибутами за этим тоже нужно следить, во вторых..

Я обычно запускаю в OllyDbg.

Сообщение от Антихакер32

нет, можно сделать чтоб она запустилась с наивысшими правами
и приоритетом реального времени, затем заморозить неугодные сторонние процессы
и уж после этого продолжить работу в обычном режиме, по окончанию выполнения
восстановить всё как было, визуально это будет почти незаметно..

Ага, я так и не понял как она это сделает будучи приостановленной?

Сообщение от Антихакер32

В конце концов, можно распаралелить на 2 программы..
первая запускается и извлекает из себя, жутко обфусцированного
шустрого и агрессивного программу помошника, та замораживает неугодных
держит на крючке пару секунд пока первая прога у себя вычисляет ребус..
затем также быстро всё восстонавливает и удаляется

Это только облегчит задачу хакеру, а тебе многократно усложнит.

Сообщение от Антихакер32

Даже такты можно посчитать.. если временные такты не соответствуют
значит.. тото и тото

Кто их будет считать? А если я поставлю заведомо маленькое значение? Для современных отладчиков столько плагинов есть, что эти все описанные методы обходятся на ура.

Сообщение от Антихакер32

Такое уж точно усложнит просмотр..
есть еще пару идей.. например запускать несколько копий
программ одновременно сообща решая общую задачу
а основное управление у какой-то одной
..поди разберись что они там делают

Давай, напиши такую. Да любая такая защита будет основана на каком-нибудь объекте синхронизации там она и спалится.

Сообщение от Антихакер32

2 копии это уже будет ужас.. а 16 скрытых копий?..

Ага, как ты их скрывать собрался? Видимо у тебя там уже проект по несколько тысяч строк. Я в этом не сомневаюсь ты же так хорошо знаешь WinAPI и тем более NativeAPI

Сообщение от Антихакер32

Причем необязательно чтобы они все одновременно работали..
первая копия поработала .001 секунду, передала управление второй,
вторая закрыла первую и тоже поработала .001 секунду передала управление третей
ну и тд

Ага, попробуй организуй алгоритм, и посмотри на производительность программы в таком случае.

Сообщение от Антихакер32

даже если хакеру несказанно повезет просмотреть первую копию..
в этот момент уже будет работать 88-я...

Хакер (точнее крекер) поставит точку останова и все что ему надо отследит.

Сообщение от Антихакер32

Таким образом у хакера неминуемо потеряется цепочка взаимосвязи

А еще она потеряется у разработчика такого ПО.

Сообщение от Антихакер32

Ну раз -уж, коментариев особо нет.., значит дейсвительно в этом есть смысл..
хотя всегда можно сделать по другому, главное чтоб нельзя было
предугадать, подсмотреть и просчитать что делает твоя программа

Так нельзя сделать в общем случае.

Сообщение от Антихакер32

Примитивного трюка будет достаточно, чтоб...

Вот именно, ключевое слово примитивного.

Dragokas · 14.09.2014, 00:27 **[ТС]**

Мне бы за такие трюки и обычные неискушенные пользователи отрезали бы голову.

@Антихакер32 · 14.09.2014, 00:38

Да-да, полностью с вами согласен коллега

Новые блоги и статьи Все статьи Все блоги /
[golang] Угол между стрелками часов alhaos 12.05.2026 По заданным значениям часа и минуты необходимо определить значение меньшего угла между стрелками аналогового циферблата часов. import "math" func angleClock(hour int, minutes int) float64 { . . .	Debian 13: Установка Lazarus QT5 ВитГо 09.05.2026 Эта инструкция моя компиляция инструкций volvo https:/ / www. cyberforum. ru/ blogs/ 203668/ 10753. html и его же старой инструкции по установке Lazarus с gtk2. . .	Нейросеть на алгоритме "эстафета хвоста" как перспектива. Hrethgir 06.05.2026 На десерт, когда запущу сервер. Статья тут https:/ / habr. com/ ru/ articles/ 1030914/ . Автор я сам, нейросеть только помогает в вопросах которые мне не известны - не знаю людей которые знали-бы. . .	Асинхронный приём данных из COM-порта Argus19 01.05.2026 Асинхронный приём данных из COM-порта Купил на aliexpress термопринтер QR701. Он оказался странным. Поключил к Arduino Nano. Был очень удивлён. Наотрез отказывается печатать русские буквы. Чтобы. . .
попытка написать игровой сервер на C++ pyirrlicht 29.04.2026 попытка написать игровой сервер на плюсах с открытым бесконечным миром. возможно получится прикрутить интерпретатор питон для кастомизации игровой логики. что есть на текущий момент:. . .	Контроль уникальности выбранного документа-основания при изменении реквизита Maks 28.04.2026 Алгоритм из решения ниже разработан на примере нетипового документа "ЗаявкаНаРемонтСпецтехники", разработанного в КА2. Задача: уведомлять пользователя, если указанная заявка (документ-основание). . .	Благородство как наказание Maks 24.04.2026 У хорошего человека отношения с женщинами всегда складываются трудно. А я человек хороший. Заявляю без тени смущения, потому что гордиться тут нечем. От хорошего человека ждут соответствующего. . .	Валидация и контроль данных табличной части документа перед записью Maks 22.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в КА2. Задача: контроль и валидация данных табличной части документа перед записью с учетом регламента компании. . .

Dragokas 18035 / 7738 / 892 Регистрация: 25.12.2011 Сообщений: 11,502 Записей в блоге: 16

	Как защитить EXE от исследования? 26.08.2014, 16:26. Показов 4911. Ответов 37 Метки нет (Все метки) Всем привет ! Хотелось бы усложнить жизнь гипотетическому исследователю, который не особо искушен в языке VB и отладчиках, чтобы тяжело было отследить логику работы программы, но в особенности чтобы нельзя было увидеть константных строк в явном виде, напрямую декомпилировав EXE. Какими средствами и опциями компиляции следует воспользоваться? Спасибо. 0

@hoch Заблокирован
	13.09.2014, 13:57
	Если бы мне было нужно досадить хакеру, то я создал бы программу, которая сама бы не выполняла заданной программы, а лишь была исполнителем воли txt-файла, где и хранились бы данные и команды. Это нечто десятичного Ассемблера. Вот уж точно никто ничто не прочтет. И хакер, смахнув рукавом скупую мужскую слезу, проклянет тот день, когда он "сел за баранку это пылесоса!!" 0

@maxillion 286 / 192 / 56 Регистрация: 25.12.2012 Сообщений: 640
	13.09.2014, 22:49
	Ну на счет шифрования констант думаю уже все изложили. Правда поставить breakpoint в отладчике на функции обращения к реестру думаю сможет даже обычный студент. А это сводит всю защиту на нет. Тогда хотя бы замаскируйте простейшим образом вызов Api. Вот тогда я думаю будет уже на много труднее что то найти в вашей программе. 0

@Антихакер32 1201 / 473 / 46 Регистрация: 06.01.2014 Сообщений: 1,797 Записей в блоге: 19
	13.09.2014, 23:13
	Такое уж точно усложнит просмотр.. есть еще пару идей.. например запускать несколько копий программ одновременно сообща решая общую задачу а основное управление у какой-то одной ..поди разберись что они там делают Добавлено через 7 минут 2 копии это уже будет ужас.. а 16 скрытых копий?.. Добавлено через 8 минут Причем необязательно чтобы они все одновременно работали.. первая копия поработала .001 секунду, передала управление второй, вторая закрыла первую и тоже поработала .001 секунду передала управление третей ну и тд Добавлено через 2 минуты даже если хакеру несказанно повезет просмотреть первую копию.. в этот момент уже будет работать 88-я... Добавлено через 4 минуты Таким образом у хакера неминуемо потеряется цепочка взаимосвязи 0

@Антихакер32 1201 / 473 / 46 Регистрация: 06.01.2014 Сообщений: 1,797 Записей в блоге: 19
	13.09.2014, 23:30
	Ну раз -уж, коментариев особо нет.., значит дейсвительно в этом есть смысл.. хотя всегда можно сделать по другому, главное чтоб нельзя было предугадать, подсмотреть и просчитать что делает твоя программа 0

@gazlan 3178 / 1937 / 312 Регистрация: 27.08.2010 Сообщений: 5,131 Записей в блоге: 1
	14.09.2014, 00:01
	Все примитивные трюки, которые пришли (или еще только придут) вам в голову уже давно опробованы, исследованы... и заброшены. Проект Armadillo, например (программа, отлаживающая саму себя). 0

Dragokas 18035 / 7738 / 892 Регистрация: 25.12.2011 Сообщений: 11,502 Записей в блоге: 16
	14.09.2014, 00:27 [ТС]
	Мне бы за такие трюки и обычные неискушенные пользователи отрезали бы голову. 2

@Антихакер32 1201 / 473 / 46 Регистрация: 06.01.2014 Сообщений: 1,797 Записей в блоге: 19
	14.09.2014, 00:38
	Да-да, полностью с вами согласен коллега 0