Ας είναι καλά οι "Μικροεπεξεργαστές ΙΙΙ" και η assembly που κάναμε . Αν και ποτέ δεν ασχολήθηκα με το hacking, εκείνο το εξάμηνο δεν κρατήθηκα και φόρτωσα ένα παιχνίδι RPG στον Turbo Debugger. Κάπου πέτυχα το call που ξεκινούσε το registration (νομίζω πατώντας Ctl+Break) και με το χέρι το έκανα skip. Μέσα στο ίδιο το call υπήρχαν τα άπειρα jumps και μυστήρια flows που σκοπό είχαν να σε μπερδέψουν έτσι ώστε να μην μπορέσεις να κάνεις step into στον κώδικα και να βρεις πως δουλεύει. Δυστυχώς, μέσα σε αυτό το call καλούσε και τη δημιουργία χαρακτήρων και έτσι ήμουν αναγκασμένος να παίξω με default χαρακτήρες που δεν γούσταρα. Είχα όμως συμφοιτητές που κάθονταν και έψαχναν τα διάφορα προγράμματα και τα έσπαγαν. Ηρωικές εποχές!

Ο obfuscator θα κάνει παρόμοια αλλά όχι τόσο αποτελεσματική δουλειά γιατί δεν πρέπει να επηρρεάσει αρνητικά την ταχύτητα του προγράμματος. Θα σε προστατέψει από κάποιον που χρησιμοποιεί το Reflector και από "hackerάδες της πλάκας" όπως εγώ πριν από ... (σιγά μην σας πω και πόσα χρόνια πριν ήταν!). Είμαι απολύτως σίγουρος ότι για κάθε obfuscator υπάρχουν κάποια έτοιμα utilities ή scripts που θα πετυχαίνουν την αντίστροφη διαδικασία.

Προσωπικά, βρίσκω εργαλεία όπως το Reflector ανεκτίμητα για το debugging. Με αυτά μπορώ άνετα να δω πχ. τον κώδικα του .Net framework και πως συμπεριφέται κάποιο function που με παιδεύει.

Και ένα τελευταίο. Η πληροφορική δεν είναι ο πρώτος κλάδος στον οποίο οι δημιουργοί χρειάστηκε να προστατέψουν τις δημιουργίες τους. Το σύστημα των ευρεσιτεχνιών δημιουργήθηκε για να δώσει κίνητρο στους δημιουργούς να δημοσιεύσουν το δημιούργημά τους χωρίς να κινδυνεύουν να το χάσουν. Βέβαια, η πληροφορική πρέπει να είναι ο πρώτος κλάδος στον οποίο κάποιοι "έξυπνοι" όπως το Amazon κατάφεραν να διαστρέψουν τη λειτουργία του σε τέτοιο βαθμό.

---

Παναγιώτης Καναβός, Freelancer
Twitter: http://www.twitter.com/pkanavos

που και αυτές συνδέονται φυσικά με τα διαφορετικά ανά περίπτωση κόστοι.
Αν ξεχάσετε το αν θα πρέπει ή δεν θα πρέπει να δυσκολεύω τη ζωή των χρηστών και να επιβαρύνω την τσέπη μου,
ποιό software εργαλείο σχεδιασμένο για το .ΝΕΤ κατά τη γνώμη σας θα πρέπει να πάρω για να εμποδίσω στα όρια του εφικτού κάποιον

α) να κάνει εύκολα reverse engineering
β) να εγκαθηστά ανεξέλεγκτα την εφαρμογή μου

pkanavos wrote:

Τότε λέει να στήσω server με activation και να πληρώσω το δικό του licensing και το hosting του server.

Το Desaware έχει και πιο friendly σενάριο όπου δεν απαιτήται online registration.

---

Πάνος Αβραμίδης

Αφού επιμένεις ... 
  Πάρε τον κώδικα του ActiveLock, τροποποίησε τον για να μην είναι εύκολο να τον σπάσει κάποιος άλλος που το χρησιμοποιεί ήδη και κάνε obfuscate τον κώδικα στο τέλος. Αυτό θα σε καλύψει από τους casual και είναι και τσάμπα. Αν θέλεις, μπορείς να κρυπτογραφήσεις τα strings που αποθηκεύει το Activelock με ένα hash του license key που χρησιμοποιείς σαν password. 
  Αν θέλεις και το license key να είναι δύσκολο να μαντευτεί, φτιάξε ένα public key pair και ενσωμάτωσε το public key στην εφαρμογή σου. Φτιάξε ένα utility που θα κρυπτογραφεί κάποια στοιχεία με το private key και θα σου γυρίζει ένα string που θα δίνεις στον πελάτη.

Αυτή η λύση αρκεί για τα παρακάτω σενάρια:
- Έχεις λίγους πελάτες και δεν τους εμπιστεύεσαι
- Οι πελάτες δεν έχουν τμήμα μηχανογράφησης με προγραμματιστές
- Το κόστος της εφαρμογής είναι τέτοιο που δεν συμφέρει να ξοδέψουν οι πελάτες χρόνο και χρήμα για να τη σπάσουν

Δεν καλύπτει το σενάριο όπου δουλεύεις για μια εταιρεία και κάποιος άλλος σου λέει "Θέλουμε copy protection ντε και καλά!". Εκεί κάθε copy protection επί πληρωμή κάνει, κι ας μη δουλέυει!

Όσον αφορά τη Desaware, δύσκολα θα την εμπιστευόμουνα αν ήθελα πραγματική ασφάλεια, γιατί δεν έχει πείρα σε θέματα licensing. Αντίθετα η Alladin έχει.

It's your money ...

---

Παναγιώτης Καναβός, Freelancer
Twitter: http://www.twitter.com/pkanavos

πως το αντιμετωπίζω;

---

Πάνος Αβραμίδης

Θα μπορούσες να δεις τα ειδικά χαρακτηριστικά του μηχανήματος. Μια MAC address είναι πάντα το καλύτερο όταν υπάρχει, στη συνέχεια αναγνωριστικά του hardware, id συσκευών ή κατασκευαστών. Μπορείς να δεις και το volume serial number του δίσκου σαν μια επιλογή.

Τώρα υπάρχει και το SID που έχει κάποιο μηχάνημα που εντάσεται σε ένα domain και είναι μοναδικό για κάθε μηχάνημα στο domain.

George J.

---

George J. Capnias: Χειροπρακτικός Υπολογιστών, Ύψιστος Γκουράρχης της Κουμπουτερολογίας w: capnias.org, t: @gcapnias, l: gr.linkedin.com/in/gcapnias

axaros wrote:

Αν ξεχάσετε το αν θα πρέπει ή δεν θα πρέπει να δυσκολεύω τη ζωή των χρηστών και να επιβαρύνω την τσέπη μου, ποιό software εργαλείο σχεδιασμένο για το .ΝΕΤ κατά τη γνώμη σας θα πρέπει να πάρω για να εμποδίσω στα όρια του εφικτού κάποιον α) να κάνει εύκολα reverse engineering β) να εγκαθηστά ανεξέλεγκτα την εφαρμογή μου

Όπως είπα και σε προηγούμενη απάντησή μου, δεν πιστεύω πως μπορείς να λύσεις και τα 2 με ένα εργαλείο.  Για το (α) θα χρειαστείς obfuscation και για το (β) θα χρειαστείς κάποιο κλείδωμα.

Θα ήθελα, επίσης, να σε παρακαλέσω κάτι: Μην αλλάζεις το θέμα του thread με κάθε σου απάντηση, και μην χρησιμοποιείς το θέμα σαν μέρος της απάντησής σου.  Δημιουργείται μία σύγχυση στα notifications (νομίζει ο κόσμος ότι πρόκειται για νέο θέμα) αλλά και στην αρχική σελίδα των forums.  Καλό είναι, αν ένα θέμα έχει αρχίσει με τίτλο "Application Server" όλες του οι απαντήσεις να κρατούν το θέμα "Re: Application Server", εκτός πλέον αν στην πορεία της συζήτησης έχει αλλάξει εντελώς το θέμα (που τότε θα έπρεπε να έχει σπάσει σε άλλο thread anyway!).

---

Patrick

Φίλε patrick ...
Απλά ρωτάω ....
εκτός και αν δεν θέλετε λιγότερο έμπειρους από εσάς στην παρέα σας ...

---

Πάνος Αβραμίδης

Μάλλον με παρεξήγησες!  Δεν υπονόησα πουθενά ότι πουλάς εξυπνάδα (και δεν μπορώ να καταλάβω γιατί το πιστεύεις αυτό!).  Φυσικά και θέλουμε όλο τον κόσμο στην "παρέα" μας!  Είναι σίγουρο ότι υπάρχουν θέματα στα οποία εσύ είσαι πιο έμπειρος από κάποιους άλλους - όλοι έχουμε να κερδίσουμε κάτι!

Ίσως να σε μπέρδεψε το ότι έκανα quote ένα ολόκληρο μήνυμά σου, χωρίς να γράψω τίποτα?  Αυτό είναι ένα bug του Firefox - δεν το έκανα για να υπονοήσω κάτι!  Όπως θα δεις, μπήκα και το διόρθωσα αμέσως!

Όπως και να'χει, sorry αν σου έδωσα αυτή την εντύπωση!

---

Patrick

Ακριβώς αυτό έγινε ...
Ζητώ συγνώμη ....

---

Πάνος Αβραμίδης

Κανένα πρόβλημα!  Αυτά παθαίνω που δεν είμαι πιστός στην Microsoft (στο θέμα του browser)!  Ίσως με τον IE 7.0 να αρχίσω να τον ξαναχρησιμοποιώ!

---

Patrick

Για τα προγράμματα τις εταιρείας μου,

εγώ χρησιμοποιώ HASP & το Χenocode 2005.

Το HASP για να νιώθει ο πελάτης ότι τη κλειδώνω την εφαρμογή

Το Χenocode για να νιώθω εγώ ότι τη κλειδώνω την εφαρμογή

Αυτά.

---

while (!dead) learn();

Ποιό μοντέλο Hasp και πόσο κοστίζει ;

---

Πάνος Αβραμίδης

~ HASP 4
~ ΠΕΡΙΠΟΥ 30€

---

while (!dead) learn();

Thank you !!!!

---

Πάνος Αβραμίδης

Επανέρχομαι σε αυτό το thread γιατί έπεσα σε ένα blog post που περιγράφει πόσο εύκολο είναι να "σπάσεις" ένα obfuscated assembly αν δεν γράψεις σωστά το πρόγραμμα. Πχ όταν ζητάμε ένα serial number / password προσπαθούμε να μην παρέχουμε feedback με τη μορφή MessageBox γιατί είναι το σημείο που "πιάνεται" ο hacker/cracker για να ξεκινήσει το reverse engineering. Έδωσες λάθος serial? FDISK! Όχι "παρακαλώ ξαναπροσπαθήστε", "συγχαρητήρια" και αηδίες... 

---

Vir prudens non contra ventum mingit