Здравствуйте, PeterOfLight, Вы писали:

POL>Я считаю, что простой защиты не позволяющей создать keygen будет достаточно. То, что везде можно скачать патченный дистрибутив моего продукта меня не беспокоит, т.к. большинство нормальных платежеспособных пользователей из Европы и США не будут качать сомнительные EXE файлы, которые могут быть заражены вирусами.

Именно.

Как вы думаее, что произойдет, если вашу программу нельзя взломать или найти серийник? Ее, по-вашему, купят? Ха. Ха. Ха.

Никто ничего не купит. Просто перейдут на конкурента. При таких вводных, пусть лучше уж юзают мою.

Защита от кейгена достигается примитивным асинхронным шифрованием (крипто-либы есть на любой винде, в .NET все пишется за 5 срок), а "защита" не нужна. Пусть ломают, пусть юзают. Так даже лучше.

У меня есть продукт, который был защищен сначала экзекриптором, потом дописали своей вирутализацией и тд и тп... Потом мы затрахались воевать с антивирусами и забили. Оставили только неломаемые серийники. И продажи удвоились. Потом мой кофаундер предложил САМИМ выкладывать кряки на торренты. Выложили на рутрекер, на TBP... Продажи учетверились. А продукт стал просто гиганским доминатором в своей нише.


где был бы фотошоп если бы не индийские хацкеры?

Здравствуйте, BlackEric, Вы писали:

BE>Возможно только пропатчить бинарник, но это уже сложнее.

чем сложнее? без шифрования кода (или виртуализации) все патчится на ура
первым делом отломают проверку isregistered, если усложните проверку,
то пропатчат ваш публичный ключ в бинарнике и сделают кейген

Здравствуйте, BlackEric, Вы писали:

BE>Критика и не затратные улучшения, разумеется, приветствуются.

Ну вот взять тот же решарпер за US $ 299.00 /1st year Это вам не $30 а вполне взрослные $300 в год.

Уже и кейгены для него делали. И даже фейковый сервер лицензирования подняли под это дело. Про патчи вообще молчу. Никто бинарники не шифрует, более того, они даже на управляемом языке, который не сложно декомпилить.

Те кто покупает -- не будет искать кейгенов. Это люди из разных миров. А те кто ищут кейгены -- один хрен покупать не будут. Всегда есть бесплатная альтернатива.

Здравствуйте, BlackEric, Вы писали:

BE>И еще правильным советом, наверное, будет начинать откладывать с продаж некоторую сумму на покупку протектора.

нет.

Я считаю, что простой защиты не позволяющей создать keygen будет достаточно. То, что везде можно скачать патченный дистрибутив моего продукта меня не беспокоит, т.к. большинство нормальных платежеспособных пользователей из Европы и США не будут качать сомнительные EXE файлы, которые могут быть заражены вирусами.

Все, кто этим хоть немного интересовался, знают, что существуют специальные программы протекторы и множество покупных средств защиты. Однако у начинающего шароварщика денег — нет. (Иначе чего бы он начинал?) Поэтому защиту приходится писать самим. Я начинал с такой: значения триала шифровал и сохранял в двух местах: в реестре и в ini (config) файле.

Для генерации ключа использовали 2 варианта: любой хеш, скажем от имени пользователя, но это без проблем позволяет сделать кейген взломщику, один раз разобрав алгоритм генерации ключей. Сменить же алгоритм генерации ключей будет весьма проблематично т.к. после этого придется всем ранее купившим пользователям перегенерировать ключи. Второй вариант чуть сложнее, но не позволит сделать кейген. Если же подписать имя пользователя с использованием асимметричной криптографии (RSA), то сделать генератор ключей практически не возможно. Возможно только пропатчить бинарник, но это уже сложнее.

Поэтому, начиная со второй версии, потребовалось зашить в программу список ключей, которые больше не валидны, и постоянно его обновлять, перевыкладывая инсталлятор на сайте.

И еще правильным советом, наверное, будет начинать откладывать с продаж некоторую сумму на покупку протектора.

Пример реализации на С#, с некоторым количеством комментариев, под BSD3 лицензией на github: https://github.com/BlackEric001/sharewarereg

P.S. Я знаю про FileMon и RegMon и прекрасно понимаю, что все это защита от честного человека, однако, как показывает практика — сломать можно все, но тот же тотал коммандер живет фактически вообще без ограничения триала.
Критика и не затратные улучшения, разумеется, приветствуются.

Здравствуйте, wantus, Вы писали:

W>Вы, отцы, как бы missing the point. Все лицензионные схемы с абстрактными серийниками — они способствуют фроду. Вышел апдейт, стырил карточку, выложил серийник и ты — l33t герой. Rinse and repeat.
W>Вам же приходится следить за варезами, смотреть какие серийники уплыли, чарджбеки оплачивать и апдейты стругать. А оно вам надо?
W>Привязывание серийника к машине (или машинам) практически в ноль уменьшает фрод, потому как смысл в нем пропадает.

У меня коммерческий софт всю жизнь распространяется в виде раздельных пробной и полной версий, программной защиты вообще никакой нет. Уровень фрода настолько мизерный, что шевелиться для его уменьшения совсем лень. Все собираюсь сделать простейшую защиту с серийниками (но без онлайн-активации), чтобы хоть примерно оценить, как от этого зависят продажи, да никак руки не дойдут.

Здравствуйте, BlackEric, Вы писали:

BE>Я придерживаюсь примерно такого же мнения. Ну и прежде чем начнут ломать, нужно добиться популярности продукта. У меня это пока ни разу не получилось

Кстати, кейгены здорово позволяют достичь популярности. Вот тот же решарпер как было. Приходит чел. в контору и говорит -- а вы что, решарпер не юзаете? А все так на него смотрят, а что это такое? А он, да, ребят, вы не серьезно работаете. Достает флешку а на ней решарпер + сериал-генератор. Всем поставил и официальную версию с ЭЦП (иначе не разрешено) и каждому сгенерил серийник под имя и фамилию -- все чисто.

А уже потом, спустя 10 лет, задумались о покупке официальной. До этого все время на кейганах сидели.

Здравствуйте, wantus, Вы писали:

W>Если не привязывать ключи к конкретной машине, то сделают кейген.

Как привязка ключа к машине помогает получить приватный ключ, который нужен для кейгена?

Здравствуйте, BlackEric, Вы писали:

BE>Здесь проблема в том, что можно один и тот же ключ вводить на неограниченном числе компов. Для этого и предусмотрен черный список.

при чем здесь кейген?
от утечки ключа лучше всего помогает онлайн активация

собственно говоря, все эти нюансы здесь обсуждали много раз

Здравствуйте, wantus, Вы писали:

W>Здравствуйте, icezone, Вы писали:

I>>Здравствуйте, wantus, Вы писали:

W>>>ОК, понятно. Я не думал, что так кто-то делает. При такой схеме — одна фрод покупка и текущая версия превращается в варез, нет?

I>>после фрода снимается любая защита, все зависит только от востребованности софта

W>Нет, я не о том. Если серийник не привязан к машине, то собственно он и расползается по варез сайтам и потребность снимать защиту в принципе пропадает.

В следующем апдейте этот серийник попадает в черный список и всё. Для параноиков можно проверять присутствие серийника в черном списке онлайн, тогда и для текущих версий удастся его заблокировать.

Я это к тому, что ваш текст далеко не на Английском языке, и, соответственно, не понятно кому он адресован, если русскоговорящим людям, то лучше написать на русском, если англоговорящим, то я лично сомневаюсь что они будут смотреть что-то дальше readme.md на главной странице репозитория.

Ну а исправлять этот текст или отправлять всех в гугл транслейт это уже ваше личное дело.

Всё просто, на самом деле.

Если не привязывать ключи к конкретной машине, то сделают кейген. Это типа самый плохой расклад из всех возможных, потому что он позволяет пользоваться оригинальным (не пропатченным) софтом.

То есть надо привязывть ключи к параметрам машины.

Привязка к машине обходится двумя способами.

1. С помощью т.н. trainers — оригинальная прога запускается в качестве child process с перехваченными системными вызовами. Когда она читает, скажем, серийник мамы, то ей подсовывается фиксированный ответ, под который куплен (или стырен) реальный ключ. Все проверки в проге проходят и превед.

2. С помощью патчей, которые выключают проверки.

Первый пункт counter'ится привязыванием ключей к десятку или больше системных параметров. Бонусом идет их считывание больше чем одним способом, например, через голые syscalls.

Второй пункт — это то, что затыкается протекторами. Протекторы в большинстве случаев — это major overkill. Такая элементарная вещь, как проверка целостости бинарника через N минут после запуска с последующим shutdown через еще M минут, отбивает охоту ковыряться в программе у большинства "хакеров". Если таких проверок несколько (десятки), равномерно распределенные по коду и времени, то выцепить их все будет сложно. Если часть этих проверок отключать, когда процесс бежит под дебаггером, и насыпать местами разных какашек типа ThreadHideFromDebugger, то процесс ковыряния в бинарнике становится совсем не интересным. Его по-прежнему можно вычистить и сломать, но это требует много времени, которое особо никто на очередной генератор инвойсов тратить не будет.

Задача защиты — это сделать процесс её снятия (экономически) не выгодным. Шифровалки-защищалки — это только один из вариантов.

S>Ну вот взять тот же решарпер за US $ 299.00 /1st year Это вам не $30 а вполне взрослные $300 в год.
Наверное потому что абсолютно бесполезная хрень, которая только тормозит студию.

Здравствуйте, Shmj, Вы писали:

S>Те кто покупает -- не будет искать кейгенов. Это люди из разных миров. А те кто ищут кейгены -- один хрен покупать не будут. Всегда есть бесплатная альтернатива.

Я придерживаюсь примерно такого же мнения. Ну и прежде чем начнут ломать, нужно добиться популярности продукта. У меня это пока ни разу не получилось

Здравствуйте, icezone, Вы писали:

I>Как привязка ключа к машине помогает получить приватный ключ, который нужен для кейгена?

Здесь проблема в том, что можно один и тот же ключ вводить на неограниченном числе компов. Для этого и предусмотрен черный список.

Здравствуйте, icezone, Вы писали:

I>Здравствуйте, wantus, Вы писали:

W>>Если не привязывать ключи к конкретной машине, то сделают кейген.

I>Как привязка ключа к машине помогает получить приватный ключ, который нужен для кейгена?

Не понимаю вопрос, сорри.

Стоит, наверное, с терминологией определиться. "Ключ", про который я говорю, это по сути разрешение (лицензия) на использование программы. Если этот "ключ" есть и если он ОК, то в программе, скажем, становится доступным весь функционал / отключаются ограничения. Он может включать в себя цифровую подпись, которая таки делается ассиметричным ключом, но речь не про него.

Здравствуйте, wantus, Вы писали:

W>Не понимаю вопрос, сорри.

Это же ты написал, что можно сделать кейген
Серийник подписывается приватным ключом и проверяется публичным ключом, зашитым в программу.
Чтобы сделать кейген для ассимметрики нужен приватный ключ, который есть только у разработчика.
Его можно получить только брутфорсом (не учитываем кривую реализацию).

От привязки серийника к машине это никак не зависит.

Здравствуйте, icezone, Вы писали:

I>Здравствуйте, wantus, Вы писали:

W>>Не понимаю вопрос, сорри.

I>Это же ты написал, что можно сделать кейген
I>Серийник подписывается приватным ключом и проверяется публичным ключом, зашитым в программу.
I>Чтобы сделать кейген для ассимметрики нужен приватный ключ, который есть только у разработчика.
I>Его можно получить только брутфорсом (не учитываем кривую реализацию).

ОК, понятно. Я не думал, что так кто-то делает. При такой схеме — одна фрод покупка и текущая версия превращается в варез, нет?
Не сильно лучше серийников, которые проверялись по формуле зашитой в программу (собственно чего я и имел в виду).

Здравствуйте, wantus, Вы писали:

W>ОК, понятно. Я не думал, что так кто-то делает. При такой схеме — одна фрод покупка и текущая версия превращается в варез, нет?

после фрода снимается любая защита, все зависит только от востребованности софта

у меня есть один конкурент с простейшей защитой, но у него нет ни одной взломанной версии
почему? потому что часть работы программа выполняет на его сервере

Здравствуйте, icezone, Вы писали:

I>Здравствуйте, wantus, Вы писали:

W>>ОК, понятно. Я не думал, что так кто-то делает. При такой схеме — одна фрод покупка и текущая версия превращается в варез, нет?

I>после фрода снимается любая защита, все зависит только от востребованности софта

Нет, я не о том. Если серийник не привязан к машине, то собственно он и расползается по варез сайтам и потребность снимать защиту в принципе пропадает.

Здравствуйте, Kerk, Вы писали:

W>>Нет, я не о том. Если серийник не привязан к машине, то собственно он и расползается по варез сайтам и потребность снимать защиту в принципе пропадает.

K>В следующем апдейте этот серийник попадает в черный список и всё. Для параноиков можно проверять присутствие серийника в черном списке онлайн, тогда и для текущих версий удастся его заблокировать.

Ну да, вшитый черный список — это всё понятно.

Вы, отцы, как бы missing the point. Все лицензионные схемы с абстрактными серийниками — они способствуют фроду. Вышел апдейт, стырил карточку, выложил серийник и ты — l33t герой. Rinse and repeat.

Вам же приходится следить за варезами, смотреть какие серийники уплыли, чарджбеки оплачивать и апдейты стругать. А оно вам надо?

Привязывание серийника к машине (или машинам) практически в ноль уменьшает фрод, потому как смысл в нем пропадает.

PS. Проверять онлайн — доступ к проверочным серверам отрезается элементарным null route'ом. Не будете же вы требовать этого доступа для запуска программы?

Здравствуйте, wantus, Вы писали:

W>Привязывание серийника к машине (или машинам) практически в ноль уменьшает фрод, потому как смысл в нем пропадает.

W>PS. Проверять онлайн — доступ к проверочным серверам отрезается элементарным null route'ом. Не будете же вы требовать этого доступа для запуска программы?

Как его просто привязать? Без онлайн активации программы?

Здравствуйте, BlackEric, Вы писали:

BE> Как его просто привязать? Без онлайн активации программы?

Без онлайн активации — никак. То что они покупают — это токен, который при активации обменивается на серийник (лицензцию).

Здравствуйте, wantus, Вы писали:

W>Привязывание серийника к машине (или машинам) практически в ноль уменьшает фрод, потому как смысл в нем пропадает.

после утечки серийника снимается любая защита, привязка к машине не спасет

W>PS. Проверять онлайн — доступ к проверочным серверам отрезается элементарным null route'ом. Не будете же вы требовать этого доступа для запуска программы?

нет сети, пусть по телефону активирует или по мылу

Здравствуйте, icezone, Вы писали:

I>Здравствуйте, wantus, Вы писали:

W>>Привязывание серийника к машине (или машинам) практически в ноль уменьшает фрод, потому как смысл в нем пропадает.

I>после утечки серийника снимается любая защита, привязка к машине не спасет

Как это связано? Что типа они могут от-трэйсить activation flow в программе и за-NOP-ить все conditionals?

Так в твоем варианте им не надо будет этого делать. Пакуешь твою оригинальную прогу и серийник в zip и всё. Ломать вообще ничего не надо.

Про снимание "любой защиты" — см. мой оригинальный пост. Если там много геммороя, то *на практике* никто с этим возится не будет.

W>>PS. Проверять онлайн — доступ к проверочным серверам отрезается элементарным null route'ом. Не будете же вы требовать этого доступа для запуска программы?

I>нет сети, пусть по телефону активирует или по мылу

Ты опять не о том.

Смотри, кто-то спер карточку, получил подписанный тобой серийник, который machine-agnostic, сложил это в zip и выложил камрадам. That's it.

Kerk сказал, что серийники, утекшие таким образом, можно деактивировать в real-time, если программа их будет проверять онлайн.

Так вот, это не рабочий вариант, потому как см. выше.

Здравствуйте, wantus, Вы писали:

W>Здравствуйте, BlackEric, Вы писали:

BE>> Как его просто привязать? Без онлайн активации программы?

W>Без онлайн активации — никак. То что они покупают — это токен, который при активации обменивается на серийник (лицензцию).

"Не будете же вы требовать этого доступа для запуска программы?"

В целом точка зрения понятна. Но по-моему это из пушки по воробьям
Для меня главное, чтобы кейген не сделали. Если будет кейген, то всё, туши свет. А так пусть балуются.

Здравствуйте, Kerk, Вы писали:

W>>Без онлайн активации — никак. То что они покупают — это токен, который при активации обменивается на серийник (лицензцию).

K>"Не будете же вы требовать этого доступа для запуска программы?"

Их контекста все-таки не стоит, наверное, выдергивать?

Речь идет об активации — это разовое событие, к цитате (о real-time проверках утекших серийников) никакого отношения не имеет.

K>В целом точка зрения понятна.

Чего-то мне так не кажется.

K>Но по-моему это из пушки по воробьям Для меня главное, чтобы кейген не сделали. Если будет кейген, то всё, туши свет. А так пусть балуются.

$15-20 за charge back и порча репутации как продавца у процессоров. Плюс опять же морока с отслеживанием фрода, варезов и т.п. Кому как.

Здравствуйте, zi, Вы писали:

zi>...А продукт стал просто гиганским доминатором в своей нише.

Что за продукт?

Зашел по ссылке на гитхаб, автор, зачем писать тексты на заведомо неизвестном языке?

P.S. Если что, то я про английский, и readme.md в частности.

Здравствуйте, anovokreschenov, Вы писали:

A>Зашел по ссылке на гитхаб, автор, зачем писать тексты на заведомо неизвестном языке?

A>P.S. Если что, то я про английский, и readme.md в частности.

Если для вас описание каталогов на английском сложно, то вы можете использовать https://translate.google.com/, но

Здравствуйте, icezone, Вы писали:

I>у меня есть один конкурент с простейшей защитой, но у него нет ни одной взломанной версии
I>почему? потому что часть работы программа выполняет на его сервере
после фрода следует рефанд, значит мы знаем ключ. Ключ блочится в приложении, перевыпускается версия. Теперь вор должен где то выкладывать старую версию, а с этим обычно проблемы. Если есть проверка на сервере, то просто добавляем хэш ключа на сервер и старая версия тоже перестает работать.

Здравствуйте, icezone, Вы писали:

I>Здравствуйте, BlackEric, Вы писали:

BE>>Возможно только пропатчить бинарник, но это уже сложнее.

I>чем сложнее? без шифрования кода (или виртуализации) все патчится на ура
I>первым делом отломают проверку isregistered, если усложните проверку,
I>то пропатчат ваш публичный ключ в бинарнике и сделают кейген


могли бы вы пожалуйста привести пример хорошей isregistered

Здравствуйте, zi, Вы писали:

zi>Как вы думаее, что произойдет, если вашу программу нельзя взломать или найти серийник? Ее, по-вашему, купят? Ха. Ха. Ха.
zi>Никто ничего не купит. Просто перейдут на конкурента.

Меня с такого "никто ничего/никогда не купит" прямо ржать тянет. Если программа хоть чего-то стоит в плане функциональности — ее всегда кто-то купит. Вопрос лишь в общем доходе с таких покупок. А его как раз предсказать невозможно — у одних после усиления защиты продажи растут, у других — падают.

zi>Потом мой кофаундер предложил САМИМ выкладывать кряки на торренты. Выложили на рутрекер, на TBP... Продажи учетверились.

Продукт было невозможно толком протестировать без покупки? Ну, или до этого он практически не был известен.

Здравствуйте, zi,

zi> При таких вводных, пусть лучше уж юзают мою.

zi>У меня есть продукт, который был защищен сначала экзекриптором, потом дописали своей вирутализацией и тд и тп... Потом мы затрахались воевать с антивирусами и забили. Оставили только неломаемые серийники. И продажи удвоились. Потом мой кофаундер предложил САМИМ выкладывать кряки на торренты. Выложили на рутрекер, на TBP... Продажи учетверились. А продукт стал просто гиганским доминатором в своей нише.

История интересная. Скажите zi, а сколько лет ушло на этот рост?

И ведь теперь, после того как Ваш продукт уже стал доминировать в своей нише, может быть стоит начать потихоньку закручивать гаечки и ограничивать пиратство чтобы увеличить вашу прибыль?

zi>где был бы фотошоп если бы не индийские хацкеры?
Это да. Но теперь похоже большие компании не просто так пытаются перетянуть клиентов на подписки и привязать продукты к интернету?

Может быть стоило просто с самого начала сделать чтобы версии легко как бы ломались, но скажем через год или два эти взломанные версии отказывались бы запускаться или чтобы их можно было бы выключить по интернету?

Или ваши самодельные кряки на торрентах именно такие?

Или сделать что-то типа freemium-а?
Или ещё интереснее — чтобы триальный период легко сбрасывался бы с помощью Trial Reset или просто удалением какой либо ветки реестра или легко находимого файла? Но при этом через год два это переставало бы помогать?

Здравствуйте, BlackEric, Вы писали:

BE>Я начинал с такой: значения триала шифровал и сохранял в двух местах: в реестре и в ini (config) файле.

У меня была такая защита в самом начале: одна проверка даты в лицензии в одном месте, и там же MessageBox открытым тектом. И всё.
Я находил множество краков, но все они были нерабочими: крак перед работой всегда проверяет хеш, чтобы быть уверенным, что он патчит то, что нужно, в нужном месте. А я выкладывал новые сборки с минимальными фейковыми изменениями и новой тестовой лицензией раз в неделю.

Здравствуйте, CEMb, Вы писали:

CEM>У меня была такая защита в самом начале: одна проверка даты в лицензии в одном месте, и там же MessageBox открытым тектом. И всё.
CEM>Я находил множество краков, но все они были нерабочими: крак перед работой всегда проверяет хеш, чтобы быть уверенным, что он патчит то, что нужно, в нужном месте.

Кракеры тоже криворукие бывают. Иногда крак не проверяет хэш

CEM>А я выкладывал новые сборки с минимальными фейковыми изменениями и новой тестовой лицензией раз в неделю.

Если патчер выложат вместе с инсталятором — то пересборка не работает.

CEM> А я выкладывал новые сборки с минимальными фейковыми изменениями и новой тестовой лицензией раз в неделю.

У нас все кряки нашего софта всегда включали дистрибутив. Так что на это можно не рассчитывать.

Здравствуйте, CEMb, Вы писали:

CEM>А я выкладывал новые сборки с минимальными фейковыми изменениями и новой тестовой лицензией раз в неделю.

Эта еженедельная возня окупалась возрастанием продаж за счет затруднения использования ломаных версий? Или эти сборки делались только из стабильных исходников, и их не приходилось тестировать?

Здравствуйте, Евгений Музыченко, Вы писали:


ЕМ>У меня коммерческий софт всю жизнь распространяется в виде раздельных пробной и полной версий, программной защиты вообще никакой нет. Уровень фрода настолько мизерный, что шевелиться для его уменьшения совсем лень. Все собираюсь сделать простейшую защиту с серийниками (но без онлайн-активации), чтобы хоть примерно оценить, как от этого зависят продажи, да никак руки не дойдут.

а что у вас за софт? что продаете?

Здравствуйте, wamaco, Вы писали:

W>а что у вас за софт?

Последние годы продается только один продукт — виртуальный драйвер для соединения звуковых приложений друг с другом по входам/выходам.

Здравствуйте, Ivanoff, Вы писали:

CEM>>А я выкладывал новые сборки с минимальными фейковыми изменениями и новой тестовой лицензией раз в неделю.

I>Если патчер выложат вместе с инсталятором — то пересборка не работает.

Да, потом так и стали делать.
Ну и чудес не бывает — надо просто развивать продукт и постоянно добавлять/улучшать, чтобы не было стимула у людей качать старые версии с кряком (хотя это уже философия)

Здравствуйте, Евгений Музыченко, Вы писали:

CEM>>А я выкладывал новые сборки с минимальными фейковыми изменениями и новой тестовой лицензией раз в неделю.

ЕМ>Эта еженедельная возня окупалась возрастанием продаж за счет затруднения использования ломаных версий? Или эти сборки делались только из стабильных исходников, и их не приходилось тестировать?

Там был код, который ни на что не влиял, просто несколько каких-то фейковых вычислений. Ну и я автоматизировал выпуск новой тестовой лицензии и сборку дистрибутива. А, ну и в коде у меня была пробита дата для тестовой лицензии. Т.е. нельзя было просто так взять и скачать новую тестовую лицензию на старую сборку. Эта дата тоже пробивалась автоматически при еженедельных сборках. Так что времени там уходило минут 10. Идея не моя.