Защита ПО от несанкционированного использования

[CRobin]

Задача тривиальная, нужно авторизовать пользователя по паролю. Сейчас делаю так: пароль сам по себе в ПО не вшит, вшит хэш в виде числа 8 байт, вычисляется по формуле с использованием бинарного представления строки-пароля, которую указывает пользователь. Формуля известна только мне. Далее в коде в одном месте перед запуском делаю проверку такого типа

Код: Выделить всё

if not ( checkval == getCode(password) ) then Exit;

Вопрос. Достаточно ли таких мер для присечения несанкционированного использования? Какие варианты взлома можно предположить? Нужно ли делать такую проверку регулярно или достаточно один раз после запуска приложения?

[DYUMON]

так эта проверка и откручивается на раз. если у тебя это только одна проверка. а вот если ты ты её в каждую процедуру засунешь тогда взлом усложнится.

[resident]

Достаточно ли таких мер для присечения несанкционированного использования?

У вас были случаи несанкционированного исполь.?

Какие варианты взлома можно предположить?

http://www.ozon.ru/context/detail/id/2815570/

[Лекс Айрин]

а вот если ты ты её в каждую процедуру засунешь тогда взлом усложнится.

ничего особо сложного нет. Даже я бы вскрыл, если бы чуть получше владел отладчиком. проверок должно быть несколько, некоторые фальшивые, но это не должно быть понятноу. Так же проверка должна вызываться в любой внезапный момент времени и быть неочевидной. Желательна привязка к основному оборудованию.

Хотя, если сильно надо, взломают и так. При особой необходимости, отвязывают даже от аппаратных ключей.

[McLion]

Код: Выделить всё

==

в паскале? Есть разве такое?

[Ichthyander]

Лучшая защита - это невыгодное для хакера соотношение цены на программу к трудоемкости взлома. Желательно использовать более одного вида защиты, но сильно заморачиваться не стоит. Лучше уделить больше времени на развитие функционала и увеличение пользователей с одновременным уменьшением цены и добавлением работоспособной бесплатной версии программы, которая бы покрывала хотя бы 50% основных потребностей более 50% потенциальных пользователей продукта...

[CRobin]

ничего особо сложного нет. Даже я бы вскрыл, если бы чуть получше владел отладчиком.

разве с бинарного файла можно восстановить логику алгоритма проверки?

в паскале? Есть разве такое?

да, ошибся, нет конечно

[Лекс Айрин]

разве с бинарного файла можно восстановить логику алгоритма проверки?

а) да, можно. Бинарный файл легко превратить в ассемблерный код. При особом желании, можно даже сделать преобразование в текст на ЯВУ.
б) Это не нужно, если проверка одна -- меняется лишь (в подавляющем большинстве случаев) 1 байт (бит) в коде и любой серийник/хеш, кроме правильного, будет считаться легитимным.

Ну и... как вы думаете, за счет чего появляются генераторы серийных номеров?

[CRobin]

как выходить из ситуации? если проверка будет не регулярной это усложнит ее локализацию?

[RusDeveloper]

как выходить из ситуации? если проверка будет не регулярной это усложнит ее локализацию?

одна проверка - правим 1 байт, много проверок - правим много байтов. а локализацию проверок усложнит разный код проверок, отсутствие отладочной информации и символьных строк в exe-шнике (dll-ке)

Добавлено спустя 3 минуты 9 секунд:
что за приложение, если не секрет, Вы пишите?

[Лекс Айрин]

как выходить из ситуации?

1, конечно же диверсификация проверок... второе отложенная "казнь" нарушителя. например, вылет через определенное время по ошибке (что, в принципе, не рекомендуется из-за падения репутации) или отказ части функционала. (печать, сохранение...) Тогда прога превращается в демку.

отсутствие отладочной информации и символьных строк в exe-шнике (dll-ке)

если честно, то для взлома символьные строки не особо нужны. При запуске в отладчике они появятся сразу. Самый экстрим, но это чисто ассемблерная фишка, -- саморасшифровывающийся код. Хотя и его взламывают (( проблема любой защиты в том, что она не может быть полностью скрыта.

Да и потом, мало какой проге нельзя найти бесплатный (свободный, условно-бесплатный) аналог.

[CRobin]

что за приложение, если не секрет, Вы пишите?

Приложение не коммерческое, для частного использования, нужно защитится от взлома в ситуации когда украден носитель.

[MysticCoder]

Если для частного, то делай одну проверку как ты предложил и пакуй экзешник криптором каким нить, типа ASPack. 99 кулхацкеров которые позарятся на твою программу это отвадит.

[RusDeveloper]

нужно защитится от взлома в ситуации когда украден носитель.

обычно крякеры не вороют носители может тогда не изобретать велосипед, а свое незащищенное приложение шифровать другой прогой?

[CRobin]

Украден носитель это выемка сервера на ДЦ, при чем тут крякеры и кулхацкеры не очень ясно.