Alexandr по подробнее

Форум — Ответы ( К темам )

? Miron: Alexandr по подробнее (15-04-2003 12:29:22)
Не совсем понятно!!!
Alexander (15-04-2003 12:59:46)

Единственный возможный контроль за установками программы — выдавать каждому юзеру пароль для нее (рег.код). Причем выдавать после того, как он запустит setup и твой setup вычислит для текущей установки "серийный номер" машины (придумай комбинацию серийный номеров винчестера, матери, еще чего-нибудь).
Этому серийному номеру должен соответствовать регистрационный код (алгоритм можно навернуть например с помощью разных xor-ов и т.д., а можно взять из стандартных шифровальных библиотек). Ты выдаешь пользователю рег.код, отмечая у себя, что данный юзер произвел установку (платит он, скажем, за установки). Каждому разрешаешь не более 3 переустановок за одну лицензию (купленную программу).
Осталась задача — защититься от взлома твоего алгоритма key-generation или его обхода (т.е. когда у тебя setup просто хакнут, чтобы он не проверял код, а шел дальше). Это например можно сделать так: для setup'a только exe-шник оставить нормальным, а остальное зашифровать (файлы дистрибутива на CD), чтобы только правильном комбинацией рег.кода к данному "серийному номеру" машины нормально расшифровывалось.
Да, это не так просто, однако я вот не смог аналогичную тему сломать — кончились переустановки, у меня был предыдущий "серийный номер" и рег.код к нему плюс соответственно новый "серийник". Сравнение шифрованных файлов на диске и хреново расшифрованных показало, что там идет какая-то комбинация xor-ов по ключу с чем-то еще (плюс переменная длина ключа). Бился я больше недели.
Это уже, как ты понимаешь, неплохо — многих остановит.
Причем тут есть еще нюанс, где ломают — setup выводит серийный номер и потом ждем ввода рег.кода. В этот момент поиском по памяти можно попытаться найти этот серийный номер и поменять его на известный (с известным рег.кодом). Защита от этого — не держать его последовательно в памяти, а разбросанным, проверять его CRC, проверять повторно при запуске самой программы.

Matt (16-04-2003 20:22:09)

Это усложнит только написание проги, а не взлом :).
Больше недели, говоришь, бился? Надо было еще посидеть...
Я аналогичную (как ты описал) защиту сломал месяца два назад.

Георгий (16-04-2003 22:09:48)

Я может и не прав, но тут идёт обсуждение того как надо заказчиков надо доить???
Если даётся дистрибутив программы, то зашищаться можно и нужно только от чайников.
А если дело идёт о штучной программе, то вообще никакой защиты не надо — вторая такая нигде не нужна.

Кстати — деньги надо брать на поддержке и сопровождении ПО — получается даже больше, чем при разработке ПО, а работы гораздо меньше (но это смотря как програма написана — если криво, то гемморой обеспечен)

Alexander (17-04-2003 16:34:50)

Речь идет о том, чтобы стоимость взлома была достаточно высокой (оплата квалифицированного хакера, например), чтобы проще было купить программу.

Matt (19-04-2003 20:03:16)

Что бы программу было дешевле купить, чем взломать достаточно сделать ее бесплатной :).
А если серьезно, то надо полазить по сайтам ориентированным на
защиту программного обеспечения, поискать новые технологии защиты, ознакомиться с основными приемами взлома, со взломом типовых защит, если есть возможность то обязательно проконсультироватся с профессионалами и т.д. И никогда (слышите НИКОГДА) не ставить такую защиту, которую уже когда-то сломали!!! Даже многоуровневая защита не спасет от взлома если каждый ее уровень был когда-то взломан!!! Это защита от начинающего но не от профи. Правда если кракеру заплатили за влом в определенный срок, то у него может просто не хватить времени... но на это рассчитывать не приходится т.к. обычно платят просто за взлом. А что бы не хватило времени до взлома следующей версии проги — это уже нонсенс! Но! Любая защита может быть сломана "из любви к искусству" (на это , кстати времени хватает всегда!). А вообще, шаровару в России продавть не рентабельно. Ну какой нормальный человек полезет в Инет платиь доже 0,5 баксов?
гораздо проще скачать кряк с ввв.любимого_сайта.ру и юзать потом его пока прога не сдохнет!!!

Matt (19-04-2003 20:07:44)

P.S. А кракуров в мире немеряно. Кто-нить гениальный найдется и взломает защиту,а потом поместит в Инете статью как он ломал и взлом такой защиты сразу станет типовым.

?	Miron: Alexandr по подробнее (15-04-2003 12:29:22)
Не совсем понятно!!!
Alexander (15-04-2003 12:59:46)
Единственный возможный контроль за установками программы — выдавать каждому юзеру пароль для нее (рег.код). Причем выдавать после того, как он запустит setup и твой setup вычислит для текущей установки "серийный номер" машины (придумай комбинацию серийный номеров винчестера, матери, еще чего-нибудь). Этому серийному номеру должен соответствовать регистрационный код (алгоритм можно навернуть например с помощью разных xor-ов и т.д., а можно взять из стандартных шифровальных библиотек). Ты выдаешь пользователю рег.код, отмечая у себя, что данный юзер произвел установку (платит он, скажем, за установки). Каждому разрешаешь не более 3 переустановок за одну лицензию (купленную программу). Осталась задача — защититься от взлома твоего алгоритма key-generation или его обхода (т.е. когда у тебя setup просто хакнут, чтобы он не проверял код, а шел дальше). Это например можно сделать так: для setup'a только exe-шник оставить нормальным, а остальное зашифровать (файлы дистрибутива на CD), чтобы только правильном комбинацией рег.кода к данному "серийному номеру" машины нормально расшифровывалось. Да, это не так просто, однако я вот не смог аналогичную тему сломать — кончились переустановки, у меня был предыдущий "серийный номер" и рег.код к нему плюс соответственно новый "серийник". Сравнение шифрованных файлов на диске и хреново расшифрованных показало, что там идет какая-то комбинация xor-ов по ключу с чем-то еще (плюс переменная длина ключа). Бился я больше недели. Это уже, как ты понимаешь, неплохо — многих остановит. Причем тут есть еще нюанс, где ломают — setup выводит серийный номер и потом ждем ввода рег.кода. В этот момент поиском по памяти можно попытаться найти этот серийный номер и поменять его на известный (с известным рег.кодом). Защита от этого — не держать его последовательно в памяти, а разбросанным, проверять его CRC, проверять повторно при запуске самой программы.
Matt (16-04-2003 20:22:09)
Это усложнит только написание проги, а не взлом :). Больше недели, говоришь, бился? Надо было еще посидеть... Я аналогичную (как ты описал) защиту сломал месяца два назад.
Георгий (16-04-2003 22:09:48)
Я может и не прав, но тут идёт обсуждение того как надо заказчиков надо доить??? Если даётся дистрибутив программы, то зашищаться можно и нужно только от чайников. А если дело идёт о штучной программе, то вообще никакой защиты не надо — вторая такая нигде не нужна. Кстати — деньги надо брать на поддержке и сопровождении ПО — получается даже больше, чем при разработке ПО, а работы гораздо меньше (но это смотря как програма написана — если криво, то гемморой обеспечен)
Alexander (17-04-2003 16:34:50)
Речь идет о том, чтобы стоимость взлома была достаточно высокой (оплата квалифицированного хакера, например), чтобы проще было купить программу.
Matt (19-04-2003 20:03:16)
Что бы программу было дешевле купить, чем взломать достаточно сделать ее бесплатной :). А если серьезно, то надо полазить по сайтам ориентированным на защиту программного обеспечения, поискать новые технологии защиты, ознакомиться с основными приемами взлома, со взломом типовых защит, если есть возможность то обязательно проконсультироватся с профессионалами и т.д. И никогда (слышите НИКОГДА) не ставить такую защиту, которую уже когда-то сломали!!! Даже многоуровневая защита не спасет от взлома если каждый ее уровень был когда-то взломан!!! Это защита от начинающего но не от профи. Правда если кракеру заплатили за влом в определенный срок, то у него может просто не хватить времени... но на это рассчитывать не приходится т.к. обычно платят просто за взлом. А что бы не хватило времени до взлома следующей версии проги — это уже нонсенс! Но! Любая защита может быть сломана "из любви к искусству" (на это , кстати времени хватает всегда!). А вообще, шаровару в России продавть не рентабельно. Ну какой нормальный человек полезет в Инет платиь доже 0,5 баксов? гораздо проще скачать кряк с ввв.любимого_сайта.ру и юзать потом его пока прога не сдохнет!!!
Matt (19-04-2003 20:07:44)
P.S. А кракуров в мире немеряно. Кто-нить гениальный найдется и взломает защиту,а потом поместит в Инете статью как он ломал и взлом такой защиты сразу станет типовым.