[ОПРОС] Обфускация. За и против. Ваше мнение

Разговоры на любые темы: вы можете обсудить здесь какой-либо сайт, найти единомышленников или просто пообщаться...

Пользуетесь ли вы средствами защиты (обфускаторами) своих проектов?

Да, причем платными. К сожалению сейчас без этого никуда, а бесплатные аналоги плохо защищают :(
2
7%
Да, бесплатнами. Не вижу смысла (нет денег/необходимости/желания) использовать платные
5
17%
Нет, но я сам защищаю свои программы, т.к. не доверяю остальным
2
7%
Нет, мне нечего защищать :|
7
24%
Нет, по моему просто нет смысла: захотят сломать - сломают 8)
8
28%
Нет, я не знаю что такое обфускатор и/или не умею им пользоваться :oops:
5
17%
 
Всего голосов : 29

Joo
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 762
Зарегистрирован: 14.08.2008 (Чт) 11:55
Откуда: Казахстан

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение Joo » 22.12.2008 (Пн) 9:38

iGrok писал(а):
Scarabey писал(а):Гы. А ты ломать пробовал?

Стоят из последних:
Photoshop CS3 RU и CS4, Illustrator CS4 это от Adobe
Из MS, VS2008 RU PRO, Office 2007 + Visio 2007

Все это замечательно ломается )))

Встречный вопрос: Сам ломал, или использовал готовые "таблетки"?


PS CS3, VS2008 сам, остальное лень было )))
Хотя сейчас на студию у меня есть ключь ) и патчик уже не нужен стал )
"Им будет не просто, тем кто полагается на истину авторитета, вместо того чтобы полагаться на авторитет Истины"
Джеральд Месси, Египтолог

Joo
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 762
Зарегистрирован: 14.08.2008 (Чт) 11:55
Откуда: Казахстан

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение Joo » 22.12.2008 (Пн) 9:45

alibek писал(а):
Scarabey писал(а):Все это замечательно ломается )))

Ты сам ломал? Или все-таки пользовался готовым патчем?
Кроме того, даже в XP достаточно надежная система. Нелицензионный Windows на предприятиях себя практически изжил. То есть защита выполняет свои функции.


Да изжил, но программная ли защита тому заслуга???? Просто предприятия взяли, простите за яйца, поэтому они вынужденны ставить лицензионный софт.

Лично я ломаю только ради спортивного интереса, а полььзоваться стараюсь либо бесплатным либо лицензионным. Когда я ставлю программу и вижу что она просит активации или ключика, меня так и тянет посмотреть что там внутри ))
"Им будет не просто, тем кто полагается на истину авторитета, вместо того чтобы полагаться на авторитет Истины"
Джеральд Месси, Египтолог

Alexanbar
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1727
Зарегистрирован: 13.04.2004 (Вт) 23:04
Откуда: Волгоградская обл.

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение Alexanbar » 22.12.2008 (Пн) 10:41

MIT писал(а):Для системы, по большому счету, код до и после обфускации можно считать одинаковым (ну или эквивалентным), в то время как для взломщика код после обфускации представляет собой малочитаемый и, соответсвенно, плохопонятный листинг, который либо в принципе не переводится в ЯП, либо после перевода не компилируется. Также, некоторые обфускаторы делают код недекомпилируемым, т.е. встраивая в него ложный il команды, не имеющие смысла. Также в платных обфускаторых используется технология обфускации графа потока управления. Привожу текст из справки обфускатора
Наиболее сложной в плане реализации, но наиболее устойчивой к попыткам взлома (в частности преобразование ассемблерного кода (IL) в код языков высокого уровня) является обфускация графа потока управления. При обфускации данного типа используются следующие методы:

  • Обфускация условных переходов
    Данный метод заключается во внедрении в тело алгоритма различных ложных условий и рассеивании проверок существующих условий, циклов и безусловных переходов по телу функции. Подобные манипуляции разрушают стандартные схемы построения циклов и условий, используемые компиляторами высокоуровневых языков (C#, VB, ..), что не позволяет в дальнейшем преобразовать код программы в язык высокого уровня. В тоже время, даже анализ IL-кода, с учетом перемешивания и наличия ложных ветвей представляет собой довольно сложную задачу
  • Обфускация вызовов
    Данный метод заключается в размежевании кода вызова функции и кода помещения параметров этой функции в стек, что также препятствует восстановлению программы в виде алгоритма на языке высокого уровня.
  • Перемешивание случайным образом линейных участков кода


Возможно, данные методы и помогают в запутывании взломщика, но тут есть и обратная сторона медали. Алгоритм наверняка будет работать медленнее, чем оригинальный.

jangle
Википедик
Википедик
Аватара пользователя
 
Сообщения: 3013
Зарегистрирован: 03.06.2005 (Пт) 12:02
Откуда: Нидерланды

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение jangle » 22.12.2008 (Пн) 10:51

GPP писал(а):Прочитав весь пост... я пришел к выводу, что защитить программу написанную на .NET практически не реально! Я правильно понял?


Любую программу, которая исполняется защитить невозможно. Если человек готов вложить в ее взлом хотябы несколько сотен долларов, защита не устоит. Даже если он сам хреновый специалист, всегда можно нанять быдлокодеров и кракеров, которые сделают всю черновую работу.

GPP
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 351
Зарегистрирован: 02.11.2005 (Ср) 8:02
Откуда: г.Невельск о.Сахалин

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение GPP » 22.12.2008 (Пн) 12:20

Я имею в виду защиту исх. кода. Но вот хоть убейте! Не хочу я показывать исх. код. Как быть?

p.s: я начинаю тихо ненавидеть .NET :(
GPP(c) Gorlo Pavel Programming

MIT
Мега гуру
Мега гуру
Аватара пользователя
 
Сообщения: 2211
Зарегистрирован: 17.09.2006 (Вс) 22:46

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение MIT » 22.12.2008 (Пн) 12:42

Ну, полностью защитить .NET сборку сложно, но крайне затруднить анализ и пресечь некоторые попытки реинженеринга - пожалуйста. Перечитай весь топик вдумчиво, тут все описано.
Изображение
You can change your face, but can`t change your mind. No matter what you do.
Создайте еще более понятный интерфейс и мир создаст еще более тупого юзера. (с) Баш

Ramzes
Скромный человек
Скромный человек
Аватара пользователя
 
Сообщения: 5004
Зарегистрирован: 12.04.2003 (Сб) 11:59
Откуда: Из гробницы :)

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение Ramzes » 23.12.2008 (Вт) 18:41

GPP писал(а):Я имею в виду защиту исх. кода. Но вот хоть убейте! Не хочу я показывать исх. код. Как быть?

p.s: я начинаю тихо ненавидеть .NET :(

ничего, это пройдет :)

GPP
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 351
Зарегистрирован: 02.11.2005 (Ср) 8:02
Откуда: г.Невельск о.Сахалин

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение GPP » 24.12.2008 (Ср) 7:23

Знаешь... Уже начинает проходить... Но все равно обидно!!! Эх старый nativ-ный Васька :D
GPP(c) Gorlo Pavel Programming

Alexanbar
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1727
Зарегистрирован: 13.04.2004 (Вт) 23:04
Откуда: Волгоградская обл.

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение Alexanbar » 24.12.2008 (Ср) 16:17

Ну почему не сделать сразу самодостаточный компилятор? Чтобы проблема защиты исходного кода не стояла?

MIT
Мега гуру
Мега гуру
Аватара пользователя
 
Сообщения: 2211
Зарегистрирован: 17.09.2006 (Вс) 22:46

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение MIT » 24.12.2008 (Ср) 18:08

Alexanbar писал(а):Ну почему не сделать сразу самодостаточный компилятор? Чтобы проблема защиты исходного кода не стояла?

Если бы это было просто, то наверняка бы уже сделали. Если не сделали, знасит сложно (или невозможно впринципе). В любом случае об альтернативных VS компиляторах я не слышал.
Изображение
You can change your face, but can`t change your mind. No matter what you do.
Создайте еще более понятный интерфейс и мир создаст еще более тупого юзера. (с) Баш

iGrok
Артефакт VBStreets
Артефакт VBStreets
 
Сообщения: 4272
Зарегистрирован: 10.05.2007 (Чт) 16:11
Откуда: Сетевое сознание

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение iGrok » 24.12.2008 (Ср) 18:50

Alexanbar писал(а):Ну почему не сделать сразу самодостаточный компилятор? Чтобы проблема защиты исходного кода не стояла?

Это речь про .NET? Или про компиляторы вообще?
Если про НЕТ - так тут уже говорилось, зачем было сделано именно так, и какие цели при этом приследовались..

А смысл защищать? Уникальную идею сопрут даже если она будет сверх-супер-мега-защищённой. См. пост про скайп, и ссылки из него.
Защита кода в принципе невозможна. Возможно затруднение реинжиниринга путём запутывания кода, прочих описанных тут фишек, и т.п. Это несколько замедлит программу. И всё равно, как ни защищайся, сломают.

Лирическое отступление:
Это такой же бред, как цифровая защита от копирования CD/DVD, музыки, фильмов, и DRM вообще.

Последняя запомнившаяся картинка на эту тему из жизни:
Пытаемся скопировать какой-то фильм. Сделать бекап уже немного потёртой пластинки с очень хорошим и редким фильмом. (жалко потерять, ибо его хрен найдёшь даже лицензию, не говоря уже о "копиях")
XP(лицензия на ноуте). Кажется, Неро(oem, от того же ноута). "Невозможно скопировать: диск защищён от копирования."
Обидно. Ок.
Грузимся в Мандриву с другого раздела. k3b. Ни слова о защите, диск скопирован бит-в-бит. Все рады, все довольны.

Но НАФИГА ТАКОЙ гемор? А если бы не было под рукой Мандривы? Или вообще бы не знали, что есть альтернатива винде? Терять фильм, за который УЖЕ ЗАПЛАТИЛИ? Искать и покупать снова?


Надо зарабатывать деньги не уникальностью идеи(и патентами), а поддержкой и сервисом. Быть в данной области лучшим среди равных. Только так.
Ну а если твою идею украли, реализовали лучше, и поэтому покупают не у тебя, а у них - извиняй, друг. Это называется эволюция.

Естественно, всё вышенаписанное - ИМХО.
label:
cli
jmp label

Williams
Гуру
Гуру
Аватара пользователя
 
Сообщения: 1280
Зарегистрирован: 06.05.2008 (Вт) 18:35
Откуда: System.Reflection.Williams (увидел себя в зеркале :))

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение Williams » 24.12.2008 (Ср) 23:51

Хватит раздувать тему! Вас опять понесло. Как про защиту программ, так идет поток мысли :?
И вы думаете, что вас оставят в живых после прочтения этого поста?

tyomitch
Пользователь #1352
Пользователь #1352
Аватара пользователя
 
Сообщения: 12822
Зарегистрирован: 20.10.2002 (Вс) 17:02
Откуда: חיפה

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение tyomitch » 25.12.2008 (Чт) 0:00

Почему никому не приходит в голову издавать книги с защитой от переписывания? Рисовать картины с защитой от перерисовывания? Ставить сцены с защитой от пересказа?
Почему только в айти такая паранойя?
Изображение

Ramzes
Скромный человек
Скромный человек
Аватара пользователя
 
Сообщения: 5004
Зарегистрирован: 12.04.2003 (Сб) 11:59
Откуда: Из гробницы :)

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение Ramzes » 25.12.2008 (Чт) 0:17

потому, что все остальные (Художники, писатели, музыканты etc) лохи 8)

MIT
Мега гуру
Мега гуру
Аватара пользователя
 
Сообщения: 2211
Зарегистрирован: 17.09.2006 (Вс) 22:46

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение MIT » 25.12.2008 (Чт) 9:01

+1
Изображение
You can change your face, but can`t change your mind. No matter what you do.
Создайте еще более понятный интерфейс и мир создаст еще более тупого юзера. (с) Баш

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение alibek » 25.12.2008 (Чт) 9:34

tyomitch писал(а):Почему никому не приходит в голову издавать книги с защитой от переписывания? Рисовать картины с защитой от перерисовывания? Ставить сцены с защитой от пересказа?

Потому что не могут. Могли бы, делали.
Lasciate ogni speranza, voi ch'entrate.

Sebas
Неуловимый Джо
Неуловимый Джо
Аватара пользователя
 
Сообщения: 3626
Зарегистрирован: 12.02.2002 (Вт) 17:25
Откуда: столько наглости такие вопросы задавать

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение Sebas » 25.12.2008 (Чт) 9:43

tyomitch писал(а):Почему никому не приходит в голову издавать книги с защитой от переписывания? Рисовать картины с защитой от перерисовывания? Ставить сцены с защитой от пересказа?
Почему только в айти такая паранойя?


Ты неправ. Ты говоришь об очевидном, то что на поверхности. Код неочевиден. Да, твоя логика применима к визуальным элементам, но не к их реализации.
- Я никогда не понимал, почему они приходят ко мне чтобы умирать?

sebas<-@->mail.ru

Денис
Доктор VB наук
Доктор VB наук
Аватара пользователя
 
Сообщения: 2734
Зарегистрирован: 07.11.2006 (Вт) 13:55
Откуда: Ейск, Краснодарский край

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение Денис » 25.12.2008 (Чт) 9:48

Да. Проблема защиты информации поднимается с завидной частотой. Потому что именно IT технологии позволяют себя защищать (до определенного предела). И поэтому же производители упорно цепляются за уже написанные продукты, трясутся над ними, как Кащей над златом.
Тем не менее идея насчет поддержки и сервиса уже была высказана.
Очень хорошо этот аспект изложен в книге "Сеть "Нанотех" в несколько фантастическом ключе, но все-таки.
Программирование — богоизбранная дисциплина! Если бог и есть, то вселенную он скомпилировал, не иначе.

Alexanbar
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1727
Зарегистрирован: 13.04.2004 (Вт) 23:04
Откуда: Волгоградская обл.

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение Alexanbar » 25.12.2008 (Чт) 17:52

Денис писал(а):Да. Проблема защиты информации поднимается с завидной частотой. Потому что именно IT технологии позволяют себя защищать (до определенного предела). И поэтому же производители упорно цепляются за уже написанные продукты, трясутся над ними, как Кащей над златом.
Тем не менее идея насчет поддержки и сервиса уже была высказана.
Очень хорошо этот аспект изложен в книге "Сеть "Нанотех" в несколько фантастическом ключе, но все-таки.


Плохая идея. Точнее, поддержка и сервис это совсем другое, более низменное и приземлённое. ПОчему я, разработав некую программу, не имею права получать доход ИМЕННО ЗА РАЗРАБОТКУ, и почему я должен организовывать какие -то побочные сервисы, чтобы выцарапать хоть какие-то деньги? Это не запрещено, но это не должно считаться единственным способом окупить свои затраты на разработку.

RayShade
Scarmarked
Scarmarked
Аватара пользователя
 
Сообщения: 5511
Зарегистрирован: 02.12.2002 (Пн) 17:11
Откуда: Russia, Saint-Petersburg

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение RayShade » 25.12.2008 (Чт) 19:41

Любая защита программ бессмысленна. Хороший софт все равно сломают. Плохой и так никому не нужен.
Единственно возможный способ - юридический, по схеме "Используете программу? Предъявите купленную лицензию".
И проверку легальности использования осуществлять должны не софтостроительные фирмы, а правоохранительные органы.
То же самое относится и к защите кода, и остальных компонентов - любое использование без лицензии должно признаваться нелегальным.
Почему фирма, выпускающая софт, должна заботиться о его защите? К примеру хлебозавод не встраивает в батоны механизм самоуничтожения на случай похищения. Его задача - выпустить булку, а контроль легальности ее использования - задача другого ведомства :)
I don't understand. Sorry.

Alexanbar
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1727
Зарегистрирован: 13.04.2004 (Вт) 23:04
Откуда: Волгоградская обл.

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение Alexanbar » 25.12.2008 (Чт) 20:13

Частично согласен с RayShade. Единственное уточнение. Не думаю, что имеет смысл вообще отказаться от защиты как таковой. Скажем, ведь дверь в дом как правило, всегда содержит замок. Но не смотря на то, что замок можно сломать ломом, это не служит основанием для того, чтобы отказаться от замков вовсе.

А vb.net, по сути, это квартира без замка.

tyomitch
Пользователь #1352
Пользователь #1352
Аватара пользователя
 
Сообщения: 12822
Зарегистрирован: 20.10.2002 (Вс) 17:02
Откуда: חיפה

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение tyomitch » 25.12.2008 (Чт) 21:09

Ларри Остерман, специалист по инфобезопасности в MS, начиная с разработки lanman, -- приводил в блогпосте про оценку рисков такой пример: "я не запираю свой автомобиль, потому что ущерб, который мне нанесут взломом, превышает стоимость тех четвертаков, которые у меня могут утащить из бардачка".

Это к тому, что можно время, сэкономленное на защите продукта, провести с куда большей выгодой.
Изображение

MIT
Мега гуру
Мега гуру
Аватара пользователя
 
Сообщения: 2211
Зарегистрирован: 17.09.2006 (Вс) 22:46

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение MIT » 26.01.2009 (Пн) 18:32

Компиляция в Native-код возможна.
Вот пример конструкции:
Код: Выделить всё
<PreserveSig(), MethodImpl(MethodImplOptions.Unmanaged, MethodCodeType:=MethodCodeType.Native), SuppressUnmanagedCodeSecurity()> _

Остался вопрос: а как вызывать нативные процедуры/функции? Просто так не катит.
Изображение
You can change your face, but can`t change your mind. No matter what you do.
Создайте еще более понятный интерфейс и мир создаст еще более тупого юзера. (с) Баш

Ronin
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 635
Зарегистрирован: 13.02.2002 (Ср) 14:16
Откуда: Россия, Москва

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение Ronin » 02.02.2009 (Пн) 0:56

Я работаю в компании которая занимается разработками ПО по гос. заказам для различных (в основном надзорных) гос. учреждений. Мы применяем связку физический ключ (Гуардант стелс 3) + обфускация кода одной платной программкой. Насчет программы для обфускации, она работает практически на минимальном уровне защити, потому что вызывает неработоспособность программы, в т.ч. потмоу что у нас использовалась кириллица в коде и позднее связывание. Вобщем так..
А насчет защиты вообще. Я соглашаюсь с тем что если программа хорошая ее все равно сломают, если нет то и ломать не станут. Так я лично от обфускации жду только одной вещи - избежать ненужных взглядов на код..Тот, кому будет интересно, начнет разбираться и разберется. Потратит свое время и получит то что хочет. А вот от горе программистов которые просто воруют код, это поможет..
Вобщем обфускация - это защита от ламеров =) и не больше
С уважением,
Игорь Шувалов aka Ronin

Zenitchik
Постоялец
Постоялец
 
Сообщения: 369
Зарегистрирован: 21.12.2006 (Чт) 14:48

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение Zenitchik » 02.02.2009 (Пн) 12:03

Сама идея абсурдна.
Зашифровать программу и заложить в нее процедуру саморасшифровки. Что помешает злоумышленику чуть изменить оную процедуру, чтобы она не запускала код после расшифровки, а сохраняла в файл?
Знание английского языка - затрудняет понимание кода

Денис
Доктор VB наук
Доктор VB наук
Аватара пользователя
 
Сообщения: 2734
Зарегистрирован: 07.11.2006 (Вт) 13:55
Откуда: Ейск, Краснодарский край

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение Денис » 02.02.2009 (Пн) 13:30

Надо различать исходники на высокоуровневом ЯП и ассемблерный код, получающийся на выходе декомпилятора. Это разные вещи. Впрочем, я не знаток декомпиляторов, возможно навороченные свежие версии собирают "декомпилят" в некое подобие псевдокода с готовыми конструкциями if...then например. Думается, против такого декомпилятора обфускация не поможет. Крякер просто увидит ваши обфускации в виде блоков goto, gosub, кучи процедур, которые пропустит через рефактор и получит работоспособный код. Ваш код.

ИМХО, намного лучше делать софт который ничего не стоит без еже[период]ных обновлений и саппорта. Ярчайший пример — наши СПС типа гаранта или консультанта. Там есть примитивная регистрация, на которую есть патчи-регистраторы на первых страницах поисковиков. Но правовая информация быстро устаревает и без обновления этими СПС пользоваться бессмысленно.

Однако есть и плохие примеры: Весь спектр продукции фирмы "Криста" — глюк на глюке едет и глюком погоняет. Продукция разрабатывается гиками и явно не для людей. При этом саппорт на местах ленив и безграмотен (как я :lol: ), а до основного невозможно дозвониться.
Программирование — богоизбранная дисциплина! Если бог и есть, то вселенную он скомпилировал, не иначе.

tyomitch
Пользователь #1352
Пользователь #1352
Аватара пользователя
 
Сообщения: 12822
Зарегистрирован: 20.10.2002 (Вс) 17:02
Откуда: חיפה

Re: [ОПРОС] Обфускация. За и против. Ваше мнение

Сообщение tyomitch » 02.02.2009 (Пн) 13:44

Денис писал(а):ИМХО, намного лучше делать софт который ничего не стоит без еже[период]ных обновлений и саппорта. Ярчайший пример — наши СПС типа гаранта или консультанта. Там есть примитивная регистрация, на которую есть патчи-регистраторы на первых страницах поисковиков. Но правовая информация быстро устаревает и без обновления этими СПС пользоваться бессмысленно.

Нам в универе полу-в-шутку, полу-всерьёз рассказывали, что быстрое устаревание правовой информации -- результат действий ИТ-лобби в законодательных кругах ;-)
На тот момент, это была вообще единственная прибыльная отрасль массового (т.е. не под конкретного заказчика) отечественного софтописания. Не знаю, появились ли уже новые.
Изображение

Пред.

Вернуться в Народный треп

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 45

    TopList  
cron