И еще вопрос по контрольной сумме

← →
kofman (2002-10-27 18:52) [0]

Мастера, подкажите: если юнный хакер влезает в мою прогу отладчиком и меняет в ней скажем jne на jmp, то вот вопрос а изменится ли потом символьний вид экзешника? Т.е. если я буду экзешник читать посомвольно и скажем сверять с этолоном (ну в первой позиции стоит символ такой-то, во-второй - такойто и т.д.) то смогу ли я найти факт изменения екзешника этим юнным хакером?

← →
TTCustomDelphiMaster (2002-10-27 18:56) [1]

Скорее всего нет. Он и эту функцию отрубит :)

← →
kofman (2002-10-27 21:57) [2]

>TTCustomDelphiMaster ты на какой вопрос ответил? И вообще тогда зачем вообще контрольную сумму считать?

← →
Anatoly Podgoretsky (2002-10-27 22:09) [3]

И правда зачем, ты же не вирусы контроллируешь?

← →
Юрий Зотов (2002-10-27 23:31) [4]

> если юнный хакер влезает в мою прогу отладчиком и меняет в ней
> скажем jne на jmp,

... то он уже не юный, а нормальный хакер. Далее см.:
TTCustomDelphiMaster © (27.10.02 18:56)

← →
kofman (2002-10-28 09:34) [5]

Да причем тут вирусы, мне надо определить факт взлома моей программы. Так вот я и хочу воспользоваться подсчетом контрольной суммы, и соотв. вопрос а как это грамотно сделать?

← →
Anatoly Podgoretsky (2002-10-28 09:42) [6]

См. TTCustomDelphiMaster © (27.10.02 18:56)

← →
Игорь Шевченко (2002-10-28 09:44) [7]

kofman © (28.10.02 09:34)

Да никак. Если человек поставит jmp в место, где считается контрольная сумма, то хоть обсчитайся - проверка не сработает.

← →
Wolf226 (2002-10-28 10:19) [8]

Ну можно сделать проверку не сразу при запуске, а потом при каком-то действии, и не один раз, в разных местах. И оставить одну явную проверку, которую сразу можно заметить.
Т.е. сделать так чтобы хакер подумал, что программа взломанна,
хотя на самом деле не так, и защита сработает когда-то.

← →
Игорь Шевченко (2002-10-28 12:46) [9]

Wolf226 © (28.10.02 10:19)

А можно не мучиться. Лучше завлекать пользователей возможностью технической поддержки, чем вставлять код, потенциально порождающий ошибки, в программу.

← →
kofman (2002-10-28 13:28) [10]

>Игорь Шевченко вы не поняли, допустим хакер меняет код программы где-то (не в блоке проверки контрольной суммы) тогда его засечь можно?

← →
Игорь Шевченко (2002-10-28 13:31) [11]

kofman © (28.10.02 13:28)

А кто ему помешает отключить тем же образом проверку контрольной суммы ?

← →
Дремучий (2002-10-28 14:28) [12]

извечные вопросы защиты и взлома....
это было, есть и будет?
:))

>>kofman ©
а почему ты рассчитываешь именно на юного хакера?
хакеры бывают разные - зеленые и краснные.
И есть еще опасные! :)))

← →
Smithson (2002-10-28 15:02) [13]

допустим хакер меняет код программы где-то (не в блоке проверки контрольной суммы) тогда его засечь можно?
Можно. Контрольная сумма, естественно, измениться.
Если проверку делать не сразу и из другого блока кода (другой программы, dll и пр), то это можно и отловить.

← →
kofman (2002-10-28 19:30) [14]

>Smithson спасибо за ответ, а теперь все таки вернемся к вопросу который я задавал с самого начала:
изменится ли после изменения хакером моей программы символьний вид экзешника? Т.е. если я буду экзешник читать посомвольно и скажем сверять с этолоном (ну в первой позиции должен стоять символ такой-то, во-второй - такойто и т.д.) то смогу ли я найти факт изменения екзешника этим хакером?

← →
Anatoly Podgoretsky (2002-10-28 19:37) [15]

Расскажи что за ценная такая программа?

← →
kofman (2002-10-28 21:33) [16]

>Anatoly Podgoretsky вот программа: http://online.download.ru/program.ehtml?ProgramID=10766, скачивает web-сайты, но ее бы хоть немного защитить.

← →
kofman (2002-10-29 09:40) [17]

Ну что никто не поможет?

← →
Юрий Зотов (2002-10-29 10:20) [18]

Поможет В ЧЕМ?

Защитить программу от хакера? Так это вопрос больше философский и экономический, чем технический. Один из вариантов Вы сами уже и предложили, легко можно придумать еще пару десятков способов, можно использовать их комбинацию - и.т.д.

Поймите главное:

1. Если программа заслуживает того, чтобы быть взломанной, то она будет взломана, можно даже не сомневаться. Важно сделать так, чтобы стоимость взлома превышала стоимость программы, тогда ее взлом просто станет не нужен, дешевле будет купить.

2. Если уж хакер настолько квалифицирован, что нашел тот самый if, в котором следует изменить команду перехода (да еще, возможно, в нескольких местах), то для него не составит большого труда найти и отключить все остальные Ваши проверки - хоть на контрольную сумму, хоть на что угодно еще. Но такой хакер уже далеко не "юный", его работа стоит достаточно дорого - а теперь см. п.1.

3. Программ, скачивающих Web-сайты, довольно много. Ваша настолько хороша по сравнению с другими, что требует защиты? Не приведет ли ее защита к тому, что ею просто не станут пользоваться?

← →
kofman (2002-10-29 22:03) [19]

Мастера, хватит философии, юнный или не юнный хакер, философский ли не филосовский вопрос, хороша программа или нет, вопрос один, фомулирую его еще раз: если я буду экзешник читать посомвольно и скажем сверять с этолоном (ну в первой позиции стоит символ такой-то, во-второй - такойто и т.д.) то смогу ли я найти факт изменения екзешника хакером? Все, не больше не меньше. Мне интересно внесет ли замена одной ассемблерной конструкции на другую, реальные изменения в символьный вид экзешника (т.е. рассматриваем экзешник как текстовый файл). Заранее спасибо за ответ.

← →
VictorT (2002-10-29 22:08) [20]

>Т.е. если я буду экзешник читать посомвольно
> и скажем сверять с этолоном (ну в первой позиции должен
> стоять символ такой-то, во-второй - такойто и т.д.)

То есть получается, что твоя програма вырастет по размеру в два раза, т.к. где-то ещё эталон будет хранится (по сути копия програмы)? :)

← →
Дремучий (2002-10-29 22:17) [21]

> Мне интересно внесет ли замена одной ассемблерной конструкции
> на другую, реальные изменения в символьный вид экзешника
> (т.е. рассматриваем экзешник как текстовый файл).

ну сам подумай - если "а" заменить на "б", то это уже будет не "а". Или ты думаешь, что процессор интуитивно догадывается, что эта "а" = "а", а другая "а"="б"? Почитайте сначала книжки по асемблеру, узнайте, что такое машинный код и т.п. И когда взломаете две-три чужих програмы (пусть даже по чужому "руководству"), тогда уже можете подумывать о какой-то защите...
:))

← →
Короче (2002-10-30 04:02) [22]

Похоже автору совершенно непонятны все эти "высокие сферы", даже те, которые публикуют лучшие мастера данного сайта. Ему требуется конкретный ответ на конкретный вопрос: "изменится ли набор байт составляющих некий файл (в вопросе автора это экзешник, но суть вопроса от этого не меняется).
Ответ: (причем ответ детский) - ну разумеется изменится.

← →
Nick N A (2002-10-30 04:55) [23]

Если вы возьмете @Funct и обратитесь к ней как к данным -
получите код, контрольную сумму которого вам и нужно вычислить.
Delphi линкует код последовательно - процедура за процедурой.
Неплохим препятствием может стать упакованый код - пока хакер не
найдет депаковщик или не придумает способ получить разпакованые данные - дело заморожено.

← →
NeyroSpace (2002-10-30 11:42) [24]

http://www.reversing.net/
и читать до тех пор пока не станет ясно.
Хотя не Вы первый и не Вы последний делаете такую ошибку. Многие крупные фирмы пишут очень крутые проекты, но при этом не удосуживаются написать к ним нормальную защиту, наверное это все запах денег...

← →
kofman (2002-10-30 18:44) [25]

>Короче - давайте не будем вдаваться в полемику относительно уровня знаний друг друга, я действительно не знаю ассемблера, что мне не мешает писать на Delphi, поэтому и возник такой вопрос. А за ответ спасибо, мне больше ничего и не требовалось со всем остальным я справлюсь сам. Спасибо всем кто отвечал.

И еще вопрос по контрольной сумме Найти похожие ветки