Конференция VBStreets

[Joo]

Гы. А ты ломать пробовал?

Стоят из последних:
Photoshop CS3 RU и CS4, Illustrator CS4 это от Adobe
Из MS, VS2008 RU PRO, Office 2007 + Visio 2007

Все это замечательно ломается )))

Встречный вопрос: Сам ломал, или использовал готовые "таблетки"?

PS CS3, VS2008 сам, остальное лень было )))
Хотя сейчас на студию у меня есть ключь ) и патчик уже не нужен стал )

[Joo]

Все это замечательно ломается )))

Ты сам ломал? Или все-таки пользовался готовым патчем?
Кроме того, даже в XP достаточно надежная система. Нелицензионный Windows на предприятиях себя практически изжил. То есть защита выполняет свои функции.

Да изжил, но программная ли защита тому заслуга???? Просто предприятия взяли, простите за яйца, поэтому они вынужденны ставить лицензионный софт.

Лично я ломаю только ради спортивного интереса, а полььзоваться стараюсь либо бесплатным либо лицензионным. Когда я ставлю программу и вижу что она просит активации или ключика, меня так и тянет посмотреть что там внутри ))

[Alexanbar]

Для системы, по большому счету, код до и после обфускации можно считать одинаковым (ну или эквивалентным), в то время как для взломщика код после обфускации представляет собой малочитаемый и, соответсвенно, плохопонятный листинг, который либо в принципе не переводится в ЯП, либо после перевода не компилируется. Также, некоторые обфускаторы делают код недекомпилируемым, т.е. встраивая в него ложный il команды, не имеющие смысла. Также в платных обфускаторых используется технология обфускации графа потока управления. Привожу текст из справки обфускатора

Наиболее сложной в плане реализации, но наиболее устойчивой к попыткам взлома (в частности преобразование ассемблерного кода (IL) в код языков высокого уровня) является обфускация графа потока управления. При обфускации данного типа используются следующие методы:

• Обфускация условных переходов
  Данный метод заключается во внедрении в тело алгоритма различных ложных условий и рассеивании проверок существующих условий, циклов и безусловных переходов по телу функции. Подобные манипуляции разрушают стандартные схемы построения циклов и условий, используемые компиляторами высокоуровневых языков (C#, VB, ..), что не позволяет в дальнейшем преобразовать код программы в язык высокого уровня. В тоже время, даже анализ IL-кода, с учетом перемешивания и наличия ложных ветвей представляет собой довольно сложную задачу
• Обфускация вызовов
  Данный метод заключается в размежевании кода вызова функции и кода помещения параметров этой функции в стек, что также препятствует восстановлению программы в виде алгоритма на языке высокого уровня.
• Перемешивание случайным образом линейных участков кода

Возможно, данные методы и помогают в запутывании взломщика, но тут есть и обратная сторона медали. Алгоритм наверняка будет работать медленнее, чем оригинальный.

[jangle]

Прочитав весь пост... я пришел к выводу, что защитить программу написанную на .NET практически не реально! Я правильно понял?

Любую программу, которая исполняется защитить невозможно. Если человек готов вложить в ее взлом хотябы несколько сотен долларов, защита не устоит. Даже если он сам хреновый специалист, всегда можно нанять быдлокодеров и кракеров, которые сделают всю черновую работу.

[GPP]

Я имею в виду защиту исх. кода. Но вот хоть убейте! Не хочу я показывать исх. код. Как быть?

p.s: я начинаю тихо ненавидеть .NET

[MIT]

Ну, полностью защитить .NET сборку сложно, но крайне затруднить анализ и пресечь некоторые попытки реинженеринга - пожалуйста. Перечитай весь топик вдумчиво, тут все описано.

[Ramzes]

Я имею в виду защиту исх. кода. Но вот хоть убейте! Не хочу я показывать исх. код. Как быть?

p.s: я начинаю тихо ненавидеть .NET

ничего, это пройдет

[GPP]

Знаешь... Уже начинает проходить... Но все равно обидно!!! Эх старый nativ-ный Васька

[Alexanbar]

Ну почему не сделать сразу самодостаточный компилятор? Чтобы проблема защиты исходного кода не стояла?

[MIT]

Ну почему не сделать сразу самодостаточный компилятор? Чтобы проблема защиты исходного кода не стояла?

Если бы это было просто, то наверняка бы уже сделали. Если не сделали, знасит сложно (или невозможно впринципе). В любом случае об альтернативных VS компиляторах я не слышал.

[iGrok]

Ну почему не сделать сразу самодостаточный компилятор? Чтобы проблема защиты исходного кода не стояла?

Это речь про .NET? Или про компиляторы вообще?
Если про НЕТ - так тут уже говорилось, зачем было сделано именно так, и какие цели при этом приследовались..

А смысл защищать? Уникальную идею сопрут даже если она будет сверх-супер-мега-защищённой. См. пост про скайп, и ссылки из него.
Защита кода в принципе невозможна. Возможно затруднение реинжиниринга путём запутывания кода, прочих описанных тут фишек, и т.п. Это несколько замедлит программу. И всё равно, как ни защищайся, сломают.

Лирическое отступление:
Это такой же бред, как цифровая защита от копирования CD/DVD, музыки, фильмов, и DRM вообще.

Последняя запомнившаяся картинка на эту тему из жизни:
Пытаемся скопировать какой-то фильм. Сделать бекап уже немного потёртой пластинки с очень хорошим и редким фильмом. (жалко потерять, ибо его хрен найдёшь даже лицензию, не говоря уже о "копиях")
XP(лицензия на ноуте). Кажется, Неро(oem, от того же ноута). "Невозможно скопировать: диск защищён от копирования."
Обидно. Ок.
Грузимся в Мандриву с другого раздела. k3b. Ни слова о защите, диск скопирован бит-в-бит. Все рады, все довольны.

Но НАФИГА ТАКОЙ гемор? А если бы не было под рукой Мандривы? Или вообще бы не знали, что есть альтернатива винде? Терять фильм, за который УЖЕ ЗАПЛАТИЛИ? Искать и покупать снова?

Надо зарабатывать деньги не уникальностью идеи(и патентами), а поддержкой и сервисом. Быть в данной области лучшим среди равных. Только так.
Ну а если твою идею украли, реализовали лучше, и поэтому покупают не у тебя, а у них - извиняй, друг. Это называется эволюция.

Естественно, всё вышенаписанное - ИМХО.

[Williams]

Хватит раздувать тему! Вас опять понесло. Как про защиту программ, так идет поток мысли

[tyomitch]

Почему никому не приходит в голову издавать книги с защитой от переписывания? Рисовать картины с защитой от перерисовывания? Ставить сцены с защитой от пересказа?
Почему только в айти такая паранойя?

[Ramzes]

потому, что все остальные (Художники, писатели, музыканты etc) лохи

[MIT]

+1

[alibek]

Почему никому не приходит в голову издавать книги с защитой от переписывания? Рисовать картины с защитой от перерисовывания? Ставить сцены с защитой от пересказа?

Потому что не могут. Могли бы, делали.

[Sebas]

Почему никому не приходит в голову издавать книги с защитой от переписывания? Рисовать картины с защитой от перерисовывания? Ставить сцены с защитой от пересказа?
Почему только в айти такая паранойя?

Ты неправ. Ты говоришь об очевидном, то что на поверхности. Код неочевиден. Да, твоя логика применима к визуальным элементам, но не к их реализации.

[Денис]

Да. Проблема защиты информации поднимается с завидной частотой. Потому что именно IT технологии позволяют себя защищать (до определенного предела). И поэтому же производители упорно цепляются за уже написанные продукты, трясутся над ними, как Кащей над златом.
Тем не менее идея насчет поддержки и сервиса уже была высказана.
Очень хорошо этот аспект изложен в книге "Сеть "Нанотех" в несколько фантастическом ключе, но все-таки.

[Alexanbar]

Да. Проблема защиты информации поднимается с завидной частотой. Потому что именно IT технологии позволяют себя защищать (до определенного предела). И поэтому же производители упорно цепляются за уже написанные продукты, трясутся над ними, как Кащей над златом.
Тем не менее идея насчет поддержки и сервиса уже была высказана.
Очень хорошо этот аспект изложен в книге "Сеть "Нанотех" в несколько фантастическом ключе, но все-таки.

Плохая идея. Точнее, поддержка и сервис это совсем другое, более низменное и приземлённое. ПОчему я, разработав некую программу, не имею права получать доход ИМЕННО ЗА РАЗРАБОТКУ, и почему я должен организовывать какие -то побочные сервисы, чтобы выцарапать хоть какие-то деньги? Это не запрещено, но это не должно считаться единственным способом окупить свои затраты на разработку.

[RayShade]

Любая защита программ бессмысленна. Хороший софт все равно сломают. Плохой и так никому не нужен.
Единственно возможный способ - юридический, по схеме "Используете программу? Предъявите купленную лицензию".
И проверку легальности использования осуществлять должны не софтостроительные фирмы, а правоохранительные органы.
То же самое относится и к защите кода, и остальных компонентов - любое использование без лицензии должно признаваться нелегальным.
Почему фирма, выпускающая софт, должна заботиться о его защите? К примеру хлебозавод не встраивает в батоны механизм самоуничтожения на случай похищения. Его задача - выпустить булку, а контроль легальности ее использования - задача другого ведомства

[Alexanbar]

Частично согласен с RayShade. Единственное уточнение. Не думаю, что имеет смысл вообще отказаться от защиты как таковой. Скажем, ведь дверь в дом как правило, всегда содержит замок. Но не смотря на то, что замок можно сломать ломом, это не служит основанием для того, чтобы отказаться от замков вовсе.

А vb.net, по сути, это квартира без замка.

[tyomitch]

Ларри Остерман, специалист по инфобезопасности в MS, начиная с разработки lanman, -- приводил в блогпосте про оценку рисков такой пример: "я не запираю свой автомобиль, потому что ущерб, который мне нанесут взломом, превышает стоимость тех четвертаков, которые у меня могут утащить из бардачка".

Это к тому, что можно время, сэкономленное на защите продукта, провести с куда большей выгодой.

[MIT]

Компиляция в Native-код возможна.
Вот пример конструкции:

Код: Выделить всё

<PreserveSig(), MethodImpl(MethodImplOptions.Unmanaged, MethodCodeType:=MethodCodeType.Native), SuppressUnmanagedCodeSecurity()> _

Остался вопрос: а как вызывать нативные процедуры/функции? Просто так не катит.

[Ronin]

Я работаю в компании которая занимается разработками ПО по гос. заказам для различных (в основном надзорных) гос. учреждений. Мы применяем связку физический ключ (Гуардант стелс 3) + обфускация кода одной платной программкой. Насчет программы для обфускации, она работает практически на минимальном уровне защити, потому что вызывает неработоспособность программы, в т.ч. потмоу что у нас использовалась кириллица в коде и позднее связывание. Вобщем так..
А насчет защиты вообще. Я соглашаюсь с тем что если программа хорошая ее все равно сломают, если нет то и ломать не станут. Так я лично от обфускации жду только одной вещи - избежать ненужных взглядов на код..Тот, кому будет интересно, начнет разбираться и разберется. Потратит свое время и получит то что хочет. А вот от горе программистов которые просто воруют код, это поможет..
Вобщем обфускация - это защита от ламеров =) и не больше

[Zenitchik]

Сама идея абсурдна.
Зашифровать программу и заложить в нее процедуру саморасшифровки. Что помешает злоумышленику чуть изменить оную процедуру, чтобы она не запускала код после расшифровки, а сохраняла в файл?

[Денис]

Надо различать исходники на высокоуровневом ЯП и ассемблерный код, получающийся на выходе декомпилятора. Это разные вещи. Впрочем, я не знаток декомпиляторов, возможно навороченные свежие версии собирают "декомпилят" в некое подобие псевдокода с готовыми конструкциями if...then например. Думается, против такого декомпилятора обфускация не поможет. Крякер просто увидит ваши обфускации в виде блоков goto, gosub, кучи процедур, которые пропустит через рефактор и получит работоспособный код. Ваш код.

ИМХО, намного лучше делать софт который ничего не стоит без еже[период]ных обновлений и саппорта. Ярчайший пример — наши СПС типа гаранта или консультанта. Там есть примитивная регистрация, на которую есть патчи-регистраторы на первых страницах поисковиков. Но правовая информация быстро устаревает и без обновления этими СПС пользоваться бессмысленно.

Однако есть и плохие примеры: Весь спектр продукции фирмы "Криста" — глюк на глюке едет и глюком погоняет. Продукция разрабатывается гиками и явно не для людей. При этом саппорт на местах ленив и безграмотен (как я ), а до основного невозможно дозвониться.

[tyomitch]

ИМХО, намного лучше делать софт который ничего не стоит без еже[период]ных обновлений и саппорта. Ярчайший пример — наши СПС типа гаранта или консультанта. Там есть примитивная регистрация, на которую есть патчи-регистраторы на первых страницах поисковиков. Но правовая информация быстро устаревает и без обновления этими СПС пользоваться бессмысленно.

Нам в универе полу-в-шутку, полу-всерьёз рассказывали, что быстрое устаревание правовой информации -- результат действий ИТ-лобби в законодательных кругах
На тот момент, это была вообще единственная прибыльная отрасль массового (т.е. не под конкретного заказчика) отечественного софтописания. Не знаю, появились ли уже новые.