Любопытная статья здесь. Похоже, не баян

Здравствуйте, FreshMeat, Вы писали:

FM>Любопытная статья здесь. Похоже, не баян
Что тут любопытного, муть какая-то. Этой чепухи понаписано массу, а советы которые даются в этой статье во многом переписаны из других источников, а во многом просто бестолковые.

Здравствуйте, FreshMeat, Вы писали:


Совет _0. Старайтесь как можно меньше применять стандартные функции (особенно API-шные) и компоненты VCL. Так что Assembler, Assembler и еще раз Assembler ...


БРЕД! При чём тут Assembler ???


Отлов пошаговой отладки программы. Существует много способов, я в свое время провел целое исследование этого вопроса под DOS, насобирал и придумал не менее 20 методов, но они мало приемлемы под Windows. Самый простой и надежный способ — таймер. При работе программы периодически фиксируем системное время и рассчитываем время работы фрагментов кода между ними. И если 200-400 команд процессора работают 2-3 минуты, то тут есть над чем задуматься.


Угу, написали про SoftICE и тут же забыли... АЙС CLI делает — таймер остановился.


Совет 13. Не определяйте дату и время стандартными способом !! Придумайте что-нибудь оригинальное.


например в биосе поищите... Или модуль режима ядра, который детурит начало входа в процедуру получения даты... Или вообще постройте в ядре всю ветку исполнения ф-ии определения даты по образу файлов ядра на диске, корректно разрешив все зависимости...


Совет 14.Не стоит хранить что-либо секретное в файлах или реестре. Работа с файлами или реестром может быть детально запротоколирована и проанализирована, и все тайное станет явным.


В памяти тоже хранить не нужно. И вообще, см. совет 13 и придумайте что-то оригинальное.


Совет 15.Не храните ничего важного открытым текстом, особенно сообщения типа "Это незарегистрированная версия ...", "Введенный пароль не верен ...".
Они для хакера — как для быка красная тряпка, и действительно — находим такое сообщение, ставим точку останова на обращение к участку памяти с этим сообщением и получаем возможность поймать момент выдачи этого сообщения.


Лучшим вариантом будет создание сообщения из RANDOM символов — фиг найдешь поиском, когда программа предупредит что "DHFysgew#%^$&gdgj!#df?d&djf*@h43"

Пойду придумывать что-то оригинальное...

Не удержался

Здравствуйте, Аноним, Вы писали:

А>Здравствуйте, FreshMeat, Вы писали:

А>
А>Совет _0. Старайтесь как можно меньше применять стандартные функции (особенно API-шные) и компоненты VCL. Так что Assembler, Assembler и еще раз Assembler ...
А>

А>БРЕД! При чём тут Assembler ???

Спокойно! Это заклинание, просто магические слова...


А>
А>Совет 13. Не определяйте дату и время стандартными способом !! Придумайте что-нибудь оригинальное.
А>

А>например в биосе поищите... Или модуль режима ядра, который детурит начало входа в процедуру получения даты... Или вообще постройте в ядре всю ветку исполнения ф-ии определения даты по образу файлов ядра на диске, корректно разрешив все зависимости...

Можно читать дату последнего обращения/создания к какому-нить своему файлу.... И регулярно её обновлять на основе времени работы программы, например, при выходе.


А>
А>Совет 14.Не стоит хранить что-либо секретное в файлах или реестре. Работа с файлами или реестром может быть детально запротоколирована и проанализирована, и все тайное станет явным.
А>

А>В памяти тоже хранить не нужно. И вообще, см. совет 13 и придумайте что-то оригинальное.

Это конечно бред, лучше просто шифровать.


А>
А>Совет 15.Не храните ничего важного открытым текстом, особенно сообщения типа "Это незарегистрированная версия ...", "Введенный пароль не верен ...".
А>Они для хакера — как для быка красная тряпка, и действительно — находим такое сообщение, ставим точку останова на обращение к участку памяти с этим сообщением и получаем возможность поймать момент выдачи этого сообщения.
А>

А>Лучшим вариантом будет создание сообщения из RANDOM символов — фиг найдешь поиском, когда программа предупредит что "DHFysgew#%^$&gdgj!#df?d&djf*@h43"

А>Пойду придумывать что-то оригинальное...

Да хотя бы "В1в4еадпернонлымйм пааврпорлоьо наев ваепуруеунк" Что тут написано? "Введенный пароль не верен" — каждый второй символ убрать.

Здравствуйте, FreshMeat, Вы писали:

FM>Любопытная статья здесь. Похоже, не баян
Довольно странная статья, на мой взгляд. Устойчивое чувство дежавю.
Да и советы весьма устарели

Имхо хорошая защита, это защита, которая продолжает выполнять свои функции даже в том случае, если принципы ее работы становятся известна злоумышленнику, который пытается ее вскрыть. Это более чем осуществимо, я самолично занимался защитой несколькох проектов, за более чем год не то что ни одного кряка, даже патчера и то никто выпустить не сумел, хотя попытки были и не одна Автор же статьи пытается фактически защиту спрятать — зачем??? Любой мало-мальски грамотный крякер если и обратит внимание на эти потуги очень легко их обойдет. Не прячте защиту, не нужно размазывать ее по всей программе пораждая совершенно лишние глюки, имхо в любой программе их и так хватит.

Здравствуйте, Виталий, Вы писали:

В>Имхо хорошая защита, это защита, которая продолжает выполнять свои функции даже в том случае, если принципы ее работы становятся известна злоумышленнику, который пытается ее вскрыть.
+1
В>Это более чем осуществимо, я самолично занимался защитой несколькох проектов, за более чем год не то что ни одного кряка, даже патчера и то никто выпустить не сумел, хотя попытки были и не одна Автор же статьи пытается фактически защиту спрятать — зачем??? Любой мало-мальски грамотный крякер если и обратит внимание на эти потуги очень легко их обойдет. Не прячте защиту, не нужно размазывать ее по всей программе пораждая совершенно лишние глюки, имхо в любой программе их и так хватит.
Я не специалист в данном вопросе, но некоторые из пунктов в статье показались интересными. При этом, несомненно, все они просто отодвигают возможность взлома и запутывают начинающих крякеров.
Каким образом можно подойти к защите, чтобы значительно усложнить взлом профессионалу? Можно поподробнее?

Здравствуйте, FreshMeat, Вы писали:

FM>Я не специалист в данном вопросе, но некоторые из пунктов в статье показались интересными. При этом, несомненно, все они просто отодвигают возможность взлома и запутывают начинающих крякеров.
FM>Каким образом можно подойти к защите, чтобы значительно усложнить взлом профессионалу? Можно поподробнее?
А все давно уже украдено Наиболее простой метод — использовать готовую защиту, например ExeCryptor от www.strongbit.com. Специально куплю шляпу для того, чтобы ее снять перед тем у кого хватит терпения обратить производимые им изменения кода, вроде и не слишком сложно, но нак муторно, тем более, что они неоднозначны, насколько я могу судить ... так что две шляпы

Если же обязательно хочется что-то свое, то можно доработать код для загрузки dll из пямяти, который я как-то постил в исходники (исправленный я выкладывать не буду, так что только самим ). В этом случае идея может быть такой:

- выносим защищаемый функционал в dll
— криптуем ее чем-нибудь типа AES
— запихиваем получившуюся бурду в приложение (можно в ресурсы)
— при покупке пользователь получает в составе регкода ключ для распаковки dll
— распаковываем, проверяем crc, если все верно, то подгружаем dll прямо из памяти и пользуемся, если нет, то ругаемся

К плюсам данного метода можно отнести, то что при правильной реализации замечательно работает на всех системах, включая WinXP SP2. Кстати взломать тоже нереально (это обеспечивает AES), за исключением того случая, когда вначале кардится регкод, потом снимается дамп распакованной dll, и по нему пишется патчер. Хорошему специалисту работы часов на 5 максимум. Но это кстати тоже можно обойти, вот только как я уже говорить не буду

Расскажу интересную историю, которая случилась со мной.

Сделал я прогу, точнее несколько, прикрутил туда такую мощную защиту, что ее ломали-ломали, год ломали — не сломали, ни патчем, ни кряком, ни кейгеном. И снизошло на меня тогда озарение, что чем недоступнее мой продукт, тем меньше им пользуются, а значит и меньше о нем знают, и, следовательно, меньше его покупают. Почесал я свою репу и решил выкинуть на варезные сайты кряк своего производства. И чудо свершилось, количество закачек стало увеличиваться примерно на 30%-40% каждый месяц. Количество покупок стало увеличиваться в среднем на 10% в месяц. Также увеличилось количество посещений на сайте. На тот прирост денег а пустил рекламу в гугле, на оставшиеся деньги — пустил рекламу на шареварных архивах. И все ожило, зашевелилось, сдвинулось с места и медленно пошло в гору.

Вывод, не бойтесь кряков, именно они делают программы известными и популярными. При этом вы много не потеряете, ну точно уж не больше чем теряет микрософт каждый день

И еще вопрос назасыпку, кто-нибудь пользуется программой Total Commander? А пользовался бы кто-нибудь если к ней не было бы кряка? А сильно обеднел Ghisler от того, что его прогу безбожно ломают?

Здравствуйте, Аноним, Вы писали:

А>Вывод, не бойтесь кряков, именно они делают программы известными и популярными. При этом вы много не потеряете, ну точно уж не больше чем теряет микрософт каждый день

Во многом это верно.

IMHO: нужно каким-либо образом узнать зависимость уровня продаж от наличия крэков именно в своей нише и постараться максимизировать прибыль. Это означает не делать в поте лица Абсолютную защиту (куча потерянного времени, 0% крэков, малая известность и/или много фраудов) и не надеяться на честное слово покупателя (0% продаж и 1 donation в два месяца), а найти нечто среднее.

При этом не забываем мысль Павлины: продается не сам продукт, а разница между демо-версией и зарегистрированной версией. Люди сами потянутся, если сделать эту разницу достаточно привлекательной и недостижимой для нелегального пользователя (быстрый саппорт, доступ к спец. возможностям в онлайне, обновления и т.д).

Здравствуйте, retalik, Вы писали:

R>...куча потерянного времени, 0% крэков, малая известность и/или много фраудов...

Да-да, про это совсем забыл. Было очень много фраудов (примерно 40%). После появления моих кряков фраудов больше не было

Здравствуйте, Аноним, Вы писали:

А>Расскажу интересную историю, которая случилась со мной.

А>Сделал я прогу, точнее несколько, прикрутил туда такую мощную защиту, что ее ломали-ломали, год ломали — не сломали, ни патчем, ни кряком, ни кейгеном. И снизошло на меня тогда озарение, что чем недоступнее мой продукт, тем меньше им пользуются, а значит и меньше о нем знают, и, следовательно, меньше его покупают. Почесал я свою репу и решил выкинуть на варезные сайты кряк своего производства. И чудо свершилось, количество закачек стало увеличиваться примерно на 30%-40% каждый месяц. Количество покупок стало увеличиваться в среднем на 10% в месяц. Также увеличилось количество посещений на сайте. На тот прирост денег а пустил рекламу в гугле, на оставшиеся деньги — пустил рекламу на шареварных архивах. И все ожило, зашевелилось, сдвинулось с места и медленно пошло в гору.

А если демо версия с ограниченной функциональностью, а не на испытальный срок, тогда как?

Здравствуйте, sercher, Вы писали:

S> А если демо версия с ограниченной функциональностью, а не на испытальный срок, тогда как?

Ну а как сам думаешь??
Конечно все хотят пользоваться полнофункциональным продуктом.

Сам ответь на вопрос, что ты предпочтешь себе на домашний компьютер:

1. Купить лицензионную версию виндоуз хр starter edition за 100руб. в которой можно запускать не более трех приложений одновременно, открывать не более трех окон в приложении и максимальное разрешение экрана 800x600

— ИЛИ —

2. Купить за 75руб. пиратский но полнофункциональный хр без этих дурных ограничений ??????????????????????

Здравствуйте, sercher, Вы писали:

S> А если демо версия с ограниченной функциональностью, а не на испытальный срок, тогда как?

Тогда на следующий день на варезных сайтах появляется скарденная копия прожки

Здравствуйте, Аноним, Вы писали:

А>Здравствуйте, sercher, Вы писали:

S>> А если демо версия с ограниченной функциональностью, а не на испытальный срок, тогда как?

А>Тогда на следующий день на варезных сайтах появляется скарденная копия прожки

Тогда нет разницы, что ключ/крак для проги, что сразу полная версия..., так даже удобнее

Здравствуйте, sercher, Вы писали:

S> А если демо версия с ограниченной функциональностью, а не на испытальный срок, тогда как?

А ведь кстати, реальный способ защиты от кряка — выкладывать демо-версию, в которой часть функций (например, сохранение результатов) физически отсутствует. А когда юзер оплачивает программу, ему дается линк на апдейт (недоступный на основной странице), котороый он себе ставит и получает полную версию.

Кто-нибудь этим пользуется? И не сильно ли это напряжно для юзеров по отношению к обычной trial-версии?

Здравствуйте, FreshMeat, Вы писали:

FM>Любопытная статья здесь. Похоже, не баян

Оттуда:

"Некий алгоритм проверки кода. Немного лучше первого, но лишь немного. Возьмите за пример код Windows — его знает любой пользователь."

Я не знаю. Это потому что я ещё не пользователь или уже не пользователь?
Кто поделится тайной? МОжно на мыло, если правилами запрещено

wrote:

> S> А если демо версия с ограниченной функциональностью, а не на
> испытальный срок, тогда как?
>
> А ведь кстати, реальный способ защиты от кряка — выкладывать
> демо-версию, в которой часть функций (например, сохранение результатов)
> физически отсутствует. А когда юзер оплачивает программу, ему дается
> линк на апдейт (недоступный на основной странице), котороый он себе
> ставит и получает полную версию.
>
> Кто-нибудь этим пользуется? И не сильно ли это напряжно для юзеров по
> отношению к обычной trial-версии?

Я также собираюсь сделать. Если размер дистрибутива не очень большой,
то не напряжно, а вот если >10 метров, то будет не очень, т.к. чтобы
купить программу, придется снова качать дистрибутив (полный, не демо).

--
WBR, Denis Basargin
ICQ: 33681277
Mail: sailorman(at)rin.ru
Origin: Hедовольные были, но мы их пофиксили

А вот кстати, ещё вопрос — есть ли у Google методы борьбы с пиратством?
Ситуация доходит до анкдотической — линк на кряк на мою программу находится в первой странице поиска по Google. Можно ли им написать, чтобы эту страницу исключили из индексирования и соответственно результатов поиска?

Здравствуйте, Аноним, Вы писали:

А>А вот кстати, ещё вопрос — есть ли у Google методы борьбы с пиратством?
А>Ситуация доходит до анкдотической — линк на кряк на мою программу находится в первой странице поиска по Google. Можно ли им написать, чтобы эту страницу исключили из индексирования и соответственно результатов поиска?

Это уже обсуждалось.
Можно, но сложно (они потребуют прислать факс и выполнить еще пару формальностей).
Более того, краки по поисковому запросу "Your Product" они уберут, а вот по запросу "Your Product crack" — вряд ли.