Конференция VBStreets

[GPP]

Если будут свежие идеи моя ася: 235-971-475
Жду.

[pitbull]

masm.ru -
Молодежная организация Сароатов -Москва

[Amed]

Игра не стоит свеч.
Надо взломать - взломают.

[GPP]

FleX_2004
Большое спасибо за тестирование проги! Буду работать дальше... Уже есть кое-что покучирявей!

[Antonariy]

FleX_2004
Попробуй мой, если не лень

[pitbull]

Анонимный клуб хацкеров....
А никто не пробовал обращаться к кул хацкерам? Пусть на наших прогах тренируются....

[Antonariy]

да еще не понял что за РСА алго такой... ты его где выкопал??? =)

это обычный rsa64. копай поиск по форуму.

кстати а Getsetting зачем тебе...

хранить rsaшные ключи
------------------------------------------------------------------------
Вобщем вывод такой - простая проверка чего угодно на валидность - фуфло полное. Вижу единственный достаточно надежный способ защиты в следующем: выполнить какую-нибудь критичную для работы программы процедуру в виде java или vb скрипта, заодно в нем же можно проводить сравнение всяких серийников; предоставлять этот скрипт в зашифрованном виде в качестве "ключа активации"; в клиенте расшифровывать и скармливать скриптконтролу.
Ключем для шифрации может выступать серийник винта.

[kif]

FleX_2004
На сколько стойкой будет следующая защита:
В программе есть определенное количество функций. Человек запускает программу и ему предлагают зарегистрироваться, если согласен, то его серийник винта отсылается мне, я его шифрую (данный этап не важен) и возвращаю ему некую строку, которая просто записывается в текстовый файл. При выполнении функции в ее начале будет производиться проверка правильности строки в текстовом файлике и его наличия соответственно.

[Sirik]

имхо: больше времени тратиться на методы защиты, а не защиту защиты.
поясню: в любом случае вывод сообщение о неверном коде будет осуществлён через MsgBox или какое-то окно, типа собственной формой; берёшь дебагер (SoftIce например) отлавливаешь вызов данных функций + делаешь безусловный переход. и всё программа взломана.

[Antonariy]

kif
Еще раз повторяю: сравнение чего угодно или проверка чего-нибудь -ФУФЛО.
Тем более, что то, что я посылал и есть описанная тобой защита.

[kif]

ну, на крайний случай можно обойтись без сообщения пользователю, т.е. просто не выполнить функцию (на сколько я понял и это не защита).

встречный вопрос: так как же защищать свои программы. наверняка есть более-менее эффективные методы защиты.

[kif]

У меня есть программа, которая защищает exe файлы, в ключаемые опции.
1. Определение отладчика
2. Проверка контрольной суммы.
3. Очистка секции импорта.
4. Перенаправление API вызовов.
5. Антидампинг.

На сколько это эффективно?

[Sirik]

я не буду предлогать принципы защиты так как мне это не интересно
просто хотелось дать совет: будет ли шкурка вычинки стоить?

[Antonariy]

2Antonariy думаю что это тоже не сильно поможет

А rsa на что? Расшифровал ты скипт, пофтыкал в него, и что дальше? Знание алгоритма и открытого ключа не поможет тебе восстановить закрытый ключ, которым шифруется скрипт. А сервер активации тебе его ни за что не отдаст

[kif]

Antonariy
RSA 64 бита это тоже не защита, 512 бит уже сломали (вопрос только кому нужна твоя программа, если проект серьезный наверняка сломают ).

[kif]

И еще мысль...
Если сделать проверку регистрации, в каждой функции, т.е. впихнуть ее куда только можно (за исключением циклов, конечно, и им подобных).
В этом случае взломщик может просто зае.... устать ломать и делать переадресации, а если это еще и какой-то маленький проект, то мне кажется, что он так и останется не взломанным.
Нужно брать на измор .

[alibek]

Девелопер тоже задолбается в каждой процедуре писать проверку регистрации на полсотни строк.

[Konst_One]

господа, есть еще один занимательный вариантик.
если есть у проекта хоть одна форма, то защиту можно формить в виде OCX, который нужно положиь на главную форму, а в OCX встроить таймер и чекать каждый раз когда надо, прога , которую защищают, может даже и не знать ,что она под защитой.

[kif]

написал функцию, и вставляй ее где хочешь, чего тут такого? например, в блок условия взять весь код, находящийся в кнопках и при этом не выдавать никакого сообщения о НЕрегистрации программы. просто код не будет отрабатывать, а в файле read.me описать все это дело.

чем не защита?

[Antonariy]

прога , которую защищают, может даже и не знать ,что она под защитой

Зато об этом узнает хацкер

RSA 64 бита это тоже не защита, 512 бит уже сломали

Вопрос во времени и трудоемкости. Вычислить и поменять пару байтов в ехе проще, чем подобрать пару ключей к rsa.

Правда опять же ничто не мешает СГЕНЕРИТЬ новую пару.

[Andrey Fedorov]

ну, на крайний случай можно обойтись без сообщения пользователю, т.е. просто не выполнить функцию (на сколько я понял и это не защита).

Ну зачем не выполнить?

При запуске программы проверяем контрольную сумму ключа. Можно, например просто на четность его проверить. В зависимости от этого выдаем наг-скрин.

Во время работы программы (в зависимости от программы можно задать временную задержку от начала работы или при выполнении каких-либо действий) проверяем на правильность уже сам ключ (или какую-то его часть). Никаких окон при этом не выдается, но может измениться, например, надпись в отчете с предложением все же купить эту программу и ограничивается функциональность программы.

Таких проверок может быть несколько, с различными эффектами. И отлавливать их скорей всего будет достаточно муторно...