Методы защиты программы от взлома

@aassdd · Регистрация: 06.09.2012

Author24 — интернет-сервис помощи студентам

Доброго времени суток, задался вопросом следующего типа:

Можно ли кроссплатформенно защитить программу от взлома, начиная от подмены данных, заканчивая отладкой?

Суть: Есть ПО, назовем его (Loader) он скачивает доп утилиты, нужны эти утилиты защитить от отладки, сниферов и прочего, утилиты тоже кросс.

Шифровать трафик можно, но как быть тогда с подменной ?

И самый главный вопрос: Возможно ли без исходных кодов защитить утилиты, так как некоторые из них имеют чужое авторство и исходный код закрыт, но им нужно обеспечить защиту.

Хотел смотреть в сторону пакеров типа: (Upx) но как тогда быть с linux/android ?

P.S: Loader выглядит на подобие игрового клиента steam, только получает список утилит, скачивает и запускает. Вот как раз их нужно защитить.

@Avazart · 25.08.2015, 22:37

Какая может быть защита в опенсорсе?

@RazrFalcon · 26.08.2015, 03:14

Сообщение от aassdd

Можно ли кроссплатформенно защитить программу от взлома

Можно. Но все равно взломают.

Сообщение от Avazart

Какая может быть защита в опенсорсе?

При чем тут ОС?

@aassdd · 26.08.2015, 11:05 **[ТС]**

Можно тогда увидеть примеры ? Пускай даже что и все же взломают, но она должна быть.

@alexu_007 · 26.08.2015, 14:30

Самое простое - при скачивании доп утилит проверять их контрольную сумму файла.

@Avazart · 26.08.2015, 14:48

Сообщение от RazrFalcon

При чем тут ОС?

Опенсорс? Ну так сомневаюсь что ТС коммерческая лицензия на Qt есть.

@aassdd · 27.08.2015, 18:50 **[ТС]**

Как бы не так, но по прежнему ничего по теме нету...

@RazrFalcon · 27.08.2015, 18:52

Avazart, почитайте про LGPL. Ни кто не обязывает делать прогу ОС под Qt.

@Avazart · 27.08.2015, 20:20

Ну не знаю тонкостей, но почему тогда- если http://www.qt.io/download/ выбирать:

In-house deployment, private use, or student,use license

Потом на:

Do you intend to distribute your product outside of your organization?

Отвечать Yes на что получим вопрос о защите:

Do you want to legally protect your product from reverse engineering?

И если отвечать Yes то предложит качать триал.
Если No то- OpenSource

Собственно я не понимаю смысл сего... кто может поясните...
Т.е. в коммерческой лицензии они что предлагают свой протектор в добавок, или как?

@RazrFalcon · 27.08.2015, 20:27

Avazart, потому, что digia, которая владеет сейчас Qt, пытается зарабатывать на нем деньги. Поэтому даже скачивание так запутали.

Тем не менее Qt распространяется под лицензией LGPL:
https://ru.wikipedia.org/wiki/... ic_License

То есть LGPL, в отличие от GPL позволяет связывание библиотеки с любой программой, не обязательно свободной.

@Avazart · 27.08.2015, 20:31

Ну не знаю, мне как раз казалось что этот опросник призван помочь с выбором лицензии.

Добавлено через 2 минуты

Сообщение от RazrFalcon

То есть LGPL, в отличие от GPL позволяет связывание библиотеки с любой программой, не обязательно свободной.

Как это влияет на суть дела?

Ну мы знаем что для LGPL связывание с библиотеками Qt должно быть диначеским так?
А для защиты скорее всего лучше использовать статическую сборку ибо иначе это вынудит еще и защищать сами библиотеки Qt ибо они будут "точкой уязвимости" если не защищать. От суда куча вопросов касательно LGPL/GPL, кстати почему-то digia обе лицензии относит к OpenSource.

@RazrFalcon · 27.08.2015, 20:34

Сообщение от Avazart

Ну не знаю, мне как раз казалось что этот опросник призван помочь с выбором лицензии.

В параллельной вселенной - да.

Сообщение от Avazart

Как это влияет на суть дела?

Что значит "как"? Это значит что Qt можно подключать динамически к закрытому exe.

Сообщение от Avazart

А для защиты скорее всего лучше использовать статическую сборку ибо иначе это вынудит еще и защищать сами библиотеки Qt ибо они будут "точкой уязвимости" если они не защищены.

Без понятия. Но не вижу как статика поможет с защитой.

PS: "все равно взломают".

@Avazart · 27.08.2015, 20:45

Сообщение от RazrFalcon

PS: "все равно взломают".

Ну если так рассуждать, то вообще защищать не нужно, правильно вопрос всегда ставится "взломают, но через сколько и какими усилиями?"

Добавлено через 2 минуты

Сообщение от RazrFalcon

Но не вижу как статика поможет с защитой.

С тем что нужно будет защищать один файл, а не экзе и кучу длл - что в принципе тоже нарушение лицензии.
Т.е. как я понимаю ТС по LGPL может защищать только свой экзе, но не библиотеки Qt- что по сути дает большие щели в безопасности.

@RazrFalcon · 27.08.2015, 20:47

Сообщение от Avazart

взломают, но через сколько и какими усилиями?

пару дней максимум.

Сообщение от Avazart

но не библиотеки Qt что по сути дает большие щели в безопасности

Такими темпами нужно и системные библиотеки "защищать" и всю ОС.

@Avazart · 27.08.2015, 20:52

Сообщение от aassdd

сниферов и прочего,

К примеру что будет мешать влезть внутрь библиотеки QtNetwork и перехватывать/подменять запросы?

Добавлено через 4 минуты

Сообщение от RazrFalcon

Такими темпами нужно и системные библиотеки "защищать" и всю ОС.

Ну с системными библиотеками немного другое дело.

Сообщение от RazrFalcon

пару дней максимум.

А это от способа защиты зависит.

@alexu_007 · 27.08.2015, 23:08

Запутай максимально всё что можно. Например: нужно ввести пароль "12345". Если просто хранить число 12345 в памяти и сравнивать с введённым паролем, это взломать легко. А если вычислить это же число каким-нить безумным алгоритмом, который будет вычисляться миллионами вложенных циклов - с синусами, косинусами, возведениями в степень и т.п. (занимать секунды) и в результате всё равно выдаст 12345 - то взломать такую ахинею будет посложнее. Какие нибудь мегабайтные массивы, которые долго и трудно заполняются - а в результате ты берёшь из этого мегабайта "мусора" 2-й, 182-й и 222555-й байты. Заполни программу ненужными вычислениями.

Сделать невзламываемую программу наверное нельзя, но осложнить жизнь взломщикам (и себе в процессе написания) наверное можно.

@Dmitriy_M · 28.08.2015, 00:52

Сообщение от alexu_007

А если вычислить это же число каким-нить безумным алгоритмом, который будет вычисляться миллионами вложенных циклов - с синусами, косинусами, возведениями в степень и т.п. (занимать секунды) и в результате всё равно выдаст 12345 - то взломать такую ахинею будет посложнее

Будет то же легко. Просто убирается проверка на корректность.

@~~MotionMaster~~ · 30.09.2015, 10:59

Ну и как же быть, то есть софт на Qt вообще ни как не защитить и в принципе offline софт на Qt делать вообще не имеет смысла? (по крайнем мере для коммерческого использования)

Сообщение от RazrFalcon

Такими темпами нужно и системные библиотеки "защищать" и всю ОС.

Под виндой ты не получишь сорцов системных библиотек, что бы их как - то поменять.

@Dmitriy_M · 30.09.2015, 11:16

Сообщение от MotionMaster

Под виндой ты не получишь сорцов системных библиотек, что бы их как - то поменять.

С сорцами менять код проще, но это можно сделать и с бинарниками.

@~~MotionMaster~~ · 30.09.2015, 11:48

А вообще законно торговать LGPL Qt шным софтом под Stream ?

@Avazart 8483 / 6150 / 615 Регистрация: 10.12.2010 Сообщений: 28,683 Записей в блоге: 30
	27.08.2015, 20:45	13
	Сообщение от RazrFalcon PS: "все равно взломают". Ну если так рассуждать, то вообще защищать не нужно, правильно вопрос всегда ставится "взломают, но через сколько и какими усилиями?" Добавлено через 2 минуты Сообщение от RazrFalcon Но не вижу как статика поможет с защитой. С тем что нужно будет защищать один файл, а не экзе и кучу длл - что в принципе тоже нарушение лицензии. Т.е. как я понимаю ТС по LGPL может защищать только свой экзе, но не библиотеки Qt- что по сути дает большие щели в безопасности. 0

@Dmitriy_M 1443 / 1326 / 131 Регистрация: 20.03.2009 Сообщений: 4,689 Записей в блоге: 11
	28.08.2015, 00:52	17
	Сообщение от alexu_007 А если вычислить это же число каким-нить безумным алгоритмом, который будет вычисляться миллионами вложенных циклов - с синусами, косинусами, возведениями в степень и т.п. (занимать секунды) и в результате всё равно выдаст 12345 - то взломать такую ахинею будет посложнее Будет то же легко. Просто убирается проверка на корректность. 0

@Dmitriy_M 1443 / 1326 / 131 Регистрация: 20.03.2009 Сообщений: 4,689 Записей в блоге: 11
	30.09.2015, 11:16	19
	Сообщение от MotionMaster Под виндой ты не получишь сорцов системных библиотек, что бы их как - то поменять. С сорцами менять код проще, но это можно сделать и с бинарниками. 0

Блоги программистов
Обновление сайта www.historian.by Reglage 05.01.2025 Обещал подвести итоги 2024 года для сайта. Однако начну с того, что изменилось за неделю. Добавил краткий урок по последовательности действий при анализе вредоносных файлов и значительно улучшил урок. . .	Как использовать GraphQL в C# с HotChocolate Programming 05.01.2025 GraphQL — это современный подход к разработке API, который позволяет клиентам запрашивать только те данные, которые им необходимы. Это делает взаимодействие с API более гибким и эффективным по. . .	Модель полного двоичного суматора с помощью логических операций (python) AlexSky-coder 04.01.2025 def binSum(x:list, y:list): s=^y] p=x and y for i in range(1,len(x)): s. append((x^y)^p) p=(x and y)or(p and (x or y)) return s x=list() y=list()	Это мы не проходили, это нам не задавали...(асихронный счётчик с управляющим сигналом задержки). Hrethgir 04.01.2025 Асинхронный счётчик на сумматорах (шестиразрядный по числу диодов на плате, но наверное разрядов будет больше - восемь или шестнадцать, а диоды на старшие), так как триггеры прошли тестирование и. . .	Руководство по созданию бота для Телеграм на Python IT_Exp 04.01.2025 Боты для Телеграм представляют собой автоматизированные программы, которые выполняют различные задачи, взаимодействуя с пользователями через интерфейс мессенджера. В данной статье мы рассмотрим,. . .	Применение компонентов PrimeVue в Vue.js 3 на TypeScript BasicMan 04.01.2025 Введение в PrimeVue и настройка окружения PrimeVue представляет собой мощную библиотеку компонентов пользовательского интерфейса для Vue. js 3, которая предоставляет разработчикам богатый набор. . .
Как стать Senior developer cpp_developer 04.01.2025 В современной индустрии разработки программного обеспечения позиция Senior Developer представляет собой не просто следующую ступень карьерной лестницы, а качественно новый уровень профессионального. . .	Что известно о дате выхода Windows 12 и чего от нее ждать IT_Exp 04.01.2025 В мире технологий постоянно происходят изменения, и операционные системы не являются исключением. Windows 11, выпущенная в октябре 2021 года, принесла множество инноваций и улучшений, но. . .	Что новенького в .NET Core 9 Programming 04.01.2025 Обзор ключевых изменений в . NET Core 9 Платформа . NET Core продолжает активно развиваться, и версия 9 представляет собой значительный шаг вперед в эволюции этой технологии. Новый релиз. . .	Инструкция по установке python3.13.1 в Debian 12 AlexSky-coder 03.01.2025 sudo apt update sudo apt install build-essential zlib1g-dev libncurses5-dev libgdbm-dev libnss3-dev libssl-dev libreadline-dev libffi-dev wget. . .	Затестил триггеры. архив проекта прилагаю с GOA файлами в настройках архиватора проектов. Hrethgir 03.01.2025 В этот раз нет закольцованности, потому что от неё только глюки, как я понял, логика не вырезанная. Триггеры очень быстрые если верить измерениям с помощью анализатора от Gowin. Есть ещё регистры,. . .	Python в помощь DevOps IT_Exp 03.01.2025 Причины использования Python в работе DevOps Python стал неотъемлемой частью мира DevOps, и это не случайно. Этот язык программирования обладает множеством преимуществ, которые делают его. . .

@aassdd 19 / 18 / 1 Регистрация: 06.09.2012 Сообщений: 110
		1
	Методы защиты программы от взлома 25.08.2015, 08:56. Показов 6827. Ответов 27 Метки нет (Все метки) Доброго времени суток, задался вопросом следующего типа: Можно ли кроссплатформенно защитить программу от взлома, начиная от подмены данных, заканчивая отладкой? Суть: Есть ПО, назовем его (Loader) он скачивает доп утилиты, нужны эти утилиты защитить от отладки, сниферов и прочего, утилиты тоже кросс. Шифровать трафик можно, но как быть тогда с подменной ? И самый главный вопрос: Возможно ли без исходных кодов защитить утилиты, так как некоторые из них имеют чужое авторство и исходный код закрыт, но им нужно обеспечить защиту. Хотел смотреть в сторону пакеров типа: (Upx) но как тогда быть с linux/android ? P.S: Loader выглядит на подобие игрового клиента steam, только получает список утилит, скачивает и запускает. Вот как раз их нужно защитить. 0

@Avazart 8483 / 6150 / 615 Регистрация: 10.12.2010 Сообщений: 28,683 Записей в блоге: 30
	25.08.2015, 22:37	2
	Какая может быть защита в опенсорсе? 0

@RazrFalcon 1403 / 1260 / 262 Регистрация: 10.11.2013 Сообщений: 3,763
	26.08.2015, 03:14	3
	Сообщение от aassdd Можно ли кроссплатформенно защитить программу от взлома Можно. Но все равно взломают. Сообщение от Avazart Какая может быть защита в опенсорсе? При чем тут ОС? 0

@aassdd 19 / 18 / 1 Регистрация: 06.09.2012 Сообщений: 110
	26.08.2015, 11:05 [ТС]	4
	Можно тогда увидеть примеры ? Пускай даже что и все же взломают, но она должна быть. 0

@alexu_007 720 / 680 / 110 Регистрация: 29.05.2015 Сообщений: 4,100
	26.08.2015, 14:30	5
	Самое простое - при скачивании доп утилит проверять их контрольную сумму файла. 0

@Avazart 8483 / 6150 / 615 Регистрация: 10.12.2010 Сообщений: 28,683 Записей в блоге: 30
	26.08.2015, 14:48	6
	Сообщение от RazrFalcon При чем тут ОС? Опенсорс? Ну так сомневаюсь что ТС коммерческая лицензия на Qt есть. 0

@aassdd 19 / 18 / 1 Регистрация: 06.09.2012 Сообщений: 110
	27.08.2015, 18:50 [ТС]	7
	Как бы не так, но по прежнему ничего по теме нету... 0

@RazrFalcon 1403 / 1260 / 262 Регистрация: 10.11.2013 Сообщений: 3,763
	27.08.2015, 18:52	8
	Avazart, почитайте про LGPL. Ни кто не обязывает делать прогу ОС под Qt. 0

@Avazart 8483 / 6150 / 615 Регистрация: 10.12.2010 Сообщений: 28,683 Записей в блоге: 30
	27.08.2015, 20:20	9
	Ну не знаю тонкостей, но почему тогда- если http://www.qt.io/download/ выбирать: In-house deployment, private use, or student,use license Потом на: Do you intend to distribute your product outside of your organization? Отвечать Yes на что получим вопрос о защите: Do you want to legally protect your product from reverse engineering? И если отвечать Yes то предложит качать триал. Если No то- OpenSource Собственно я не понимаю смысл сего... кто может поясните... Т.е. в коммерческой лицензии они что предлагают свой протектор в добавок, или как? 0

@RazrFalcon 1403 / 1260 / 262 Регистрация: 10.11.2013 Сообщений: 3,763
	27.08.2015, 20:27	10
	Avazart, потому, что digia, которая владеет сейчас Qt, пытается зарабатывать на нем деньги. Поэтому даже скачивание так запутали. Тем не менее Qt распространяется под лицензией LGPL: https://ru.wikipedia.org/wiki/... ic_License То есть LGPL, в отличие от GPL позволяет связывание библиотеки с любой программой, не обязательно свободной. 0

	30.09.2015, 11:48

@Avazart 8483 / 6150 / 615 Регистрация: 10.12.2010 Сообщений: 28,683 Записей в блоге: 30
	27.08.2015, 20:31	11
	Ну не знаю, мне как раз казалось что этот опросник призван помочь с выбором лицензии. Добавлено через 2 минуты Сообщение от RazrFalcon То есть LGPL, в отличие от GPL позволяет связывание библиотеки с любой программой, не обязательно свободной. Как это влияет на суть дела? Ну мы знаем что для LGPL связывание с библиотеками Qt должно быть диначеским так? А для защиты скорее всего лучше использовать статическую сборку ибо иначе это вынудит еще и защищать сами библиотеки Qt ибо они будут "точкой уязвимости" если не защищать. От суда куча вопросов касательно LGPL/GPL, кстати почему-то digia обе лицензии относит к OpenSource. 0

@RazrFalcon 1403 / 1260 / 262 Регистрация: 10.11.2013 Сообщений: 3,763
	27.08.2015, 20:34	12
	Сообщение от Avazart Ну не знаю, мне как раз казалось что этот опросник призван помочь с выбором лицензии. В параллельной вселенной - да. Сообщение от Avazart Как это влияет на суть дела? Что значит "как"? Это значит что Qt можно подключать динамически к закрытому exe. Сообщение от Avazart А для защиты скорее всего лучше использовать статическую сборку ибо иначе это вынудит еще и защищать сами библиотеки Qt ибо они будут "точкой уязвимости" если они не защищены. Без понятия. Но не вижу как статика поможет с защитой. PS: "все равно взломают". 0

@RazrFalcon 1403 / 1260 / 262 Регистрация: 10.11.2013 Сообщений: 3,763
	27.08.2015, 20:47	14
	Сообщение от Avazart взломают, но через сколько и какими усилиями? пару дней максимум. Сообщение от Avazart но не библиотеки Qt что по сути дает большие щели в безопасности Такими темпами нужно и системные библиотеки "защищать" и всю ОС. 0

@Avazart 8483 / 6150 / 615 Регистрация: 10.12.2010 Сообщений: 28,683 Записей в блоге: 30
	27.08.2015, 20:52	15
	Сообщение от aassdd сниферов и прочего, К примеру что будет мешать влезть внутрь библиотеки QtNetwork и перехватывать/подменять запросы? Добавлено через 4 минуты Сообщение от RazrFalcon Такими темпами нужно и системные библиотеки "защищать" и всю ОС. Ну с системными библиотеками немного другое дело. Сообщение от RazrFalcon пару дней максимум. А это от способа защиты зависит. 0

@alexu_007 720 / 680 / 110 Регистрация: 29.05.2015 Сообщений: 4,100
	27.08.2015, 23:08	16
	Запутай максимально всё что можно. Например: нужно ввести пароль "12345". Если просто хранить число 12345 в памяти и сравнивать с введённым паролем, это взломать легко. А если вычислить это же число каким-нить безумным алгоритмом, который будет вычисляться миллионами вложенных циклов - с синусами, косинусами, возведениями в степень и т.п. (занимать секунды) и в результате всё равно выдаст 12345 - то взломать такую ахинею будет посложнее. Какие нибудь мегабайтные массивы, которые долго и трудно заполняются - а в результате ты берёшь из этого мегабайта "мусора" 2-й, 182-й и 222555-й байты. Заполни программу ненужными вычислениями. Сделать невзламываемую программу наверное нельзя, но осложнить жизнь взломщикам (и себе в процессе написания) наверное можно. 0

@~~MotionMaster~~ Заблокирован
	30.09.2015, 10:59	18
	Ну и как же быть, то есть софт на Qt вообще ни как не защитить и в принципе offline софт на Qt делать вообще не имеет смысла? (по крайнем мере для коммерческого использования) Сообщение от RazrFalcon Такими темпами нужно и системные библиотеки "защищать" и всю ОС. Под виндой ты не получишь сорцов системных библиотек, что бы их как - то поменять. 0