Схемы защиты ПО

← →
AV © (2012-05-18 15:23) [120]

to ЮЗ
Дядь Юр, а ты не это

> Наверное, в тему: http://habrahabr.ru/post/144076/

имел ввиду?

а то я всю башку сломал, понять хотя бы принцип принципиально не взламываемой защиты

← →
Rouse_ © (2012-05-18 16:39) [121]

> вроде Avast не подымал тревогу

я бы удивился еслиб поднял :)
Это было бы из серии: "нифига себе, он еще и работает!!?"

← →
Rouse_ © (2012-05-18 16:40) [122]

> AV © (18.05.12 15:23) [120]

Защита которую принципиально нельзя сломать - это отсутствие защиты :)

← →
Pit (2012-05-18 18:03) [123]

> я бы удивился еслиб поднял :)
> Это было бы из серии: "нифига себе, он еще и работает!!?
> "

так так. Розыч, рассказывай, что ты там против avast имеешь? )))

Не, серьезно, что за опыт? Мне нравится, стоит у меня, ставлю знакомым. Бесплатный.
Иногда что-то тревожное пишет (сканируя http-трафик). В целом вроде все более менее.

← →
Pit (2012-05-18 18:04) [124]

> Розыч, рассказывай

речь про актуальный продукт. Может три года назад были претензии?

← →
Rouse_ © (2012-05-18 20:53) [125]

> Pit (18.05.12 18:03) [123]
> так так. Розыч, рассказывай, что ты там против avast имеешь?
> )))

Мих, тест простой, бродят в инете коллекции вирусов, у меня на виртуалке стоит пак новогодний (гдето в конце декабря качал), там 480 тысяч с копейками экземпляров, частично даже с исходниками (в районе 6 гигов в общем). Хочем посмотреть качество антивирусника - делаем копию этой байды и натравливаем на папку. Результаты скажут сами за себя...

← →
Rouse_ © (2012-05-18 21:07) [126]

пардон, не 480к, 108 673 экземпляра + доп файлы(сорсы, diz-ы нфо-шники и т.п)...

← →
Pit (2012-05-18 22:01) [127]

не ну Саш, ты прям шпион, инфу клещами вытягивать надо.... нуууу..... иии?

← →
Rouse_ © (2012-05-18 23:25) [128]

> Pit (18.05.12 22:01) [127]
> не ну Саш, ты прям шпион, инфу клещами вытягивать надо..
> .. нуууу..... иии?

...ну и что? какой именно инфы я не достаточно предоставил?

← →
Pit (2012-05-19 00:01) [129]

ну ты предлагаешь искать этот сборник, натравливать? ((

Я так понял ты это всё проделывал, поделись сразу результатами то)

← →
Rouse_ © (2012-05-19 00:09) [130]

> Pit (19.05.12 00:01) [129]
> ну ты предлагаешь искать этот сборник, натравливать? ((

Мих, я с тебя удивляюсь - неушто ты предполагаешь что я собирал спецсборник вирусов для этого непотребства? Увы, я не настолько увлечен...
По результатам: возьми любой пак вирусов в инете и натрави на него нужные тебе антивирусные продукты, выводы делай сам...

← →
Rouse_ © (2012-05-19 00:11) [131]

ЗЫ: в качестве оффтопа, весь мой зоопарк под чистую убирает связка AVZ + CureIt

← →
Pit (2012-05-19 00:49) [132]

Бррр.. Саш, поясни - ты имел в виду, что Avast - не очень хороший антивирус или я не так понял?

← →
Rouse_ © (2012-05-19 00:55) [133]

> Pit (19.05.12 00:49) [132]
> Бррр.. Саш, поясни - ты имел в виду, что Avast - не очень
> хороший антивирус или я не так понял?

Я вообще не говорил что Avast антивирус...

← →
Inovet © (2012-05-19 08:03) [134]

> [130] Rouse_ © (19.05.12 00:09)
> По результатам: возьми любой пак вирусов в инете и натрави
> на него нужные тебе антивирусные продукты, выводы делай
> сам...

А это не годится?
https://www.virustotal.com/ru/

← →
Inovet © (2012-08-22 19:25) [135]

> [80] Inovet © (13.05.12 16:58)
> Там аппаратный ключ применён, вроде с выносом в него части функционала.

Сейчас вот попалось на глаза. Может будет интересно, раз упоминал выше о защите Steinberg Cubase 5. Цитаты с трекера.

Кусок из интервью со взломщиками

В: Но нам пришлось чертовски долго ждать этот релиз - Почему?
О: Было потрачено большое количество времени, чтобы изучить и обойти нынешнюю Syncrosoft защиту. Сами подумайте: около 25 процентов програмного кода охраняются MCFACT* и, следовательно, связаны с защитой. Как вы можете догадаться, усилия, приложенные для обхода такой защиты, требовались немалые. На этот раз нам потребовалось почти 4000 человеко-часов, чтобы справиться с этим "зверем"!

Там же пояснения

MCFACT - Multi-Channel-Finite-Automata-Code-Transformation метод защиты кода программ и данных за счет преобразования их в конечный автомат. Преобразованный код программы в состоянии обработать зашифрованный код программы, без расшифровки данных. Ни преобразованный код программы, ни какие-либо данные не расшифровываются до, во время или после выполнения операции.
Обработка зашифрованных данных, без расшифровки во время выполнения, преобразованный код программы выполняется виртуальной единицей обработки. Конечные автоматы выполняют фактическую операцию и шифрование операции в один заход. Состав конечных автоматов гарантирует, что никакие промежуточные простые данные или информация об операции не могут быть восстановлены.

MCFACT препятствует тому, чтобы хакер получил полное представление о защищенном коде программы и защищенных данных, через наблюдение за поведением программы во время ее выполнения. Программный код преобразован в большие таблицы конечных автоматов. Хакер не может перепроектировать таблицы конечных автоматов, потому что обратное преобразование конечных автоматов в программный код привело бы к разрушению конечных автоматов, это является тяжелой математической проблемой.

Если хакер хочет взломать таблицы автоматов, он вынужден анализировать большой многоканальный конечный автомат. Опыт взлома больших конечных автоматов был получен например, анализом Китайского алгоритма открытого ключа FAPKC (Finite Automaton Public Key Cryptosystem). Одна из версий этого алгоритма была сломана за счет полного изменения открытого ключа. Однако, сегодня нет никакого известного подхода (теперь уже есть))), чтобы сломать этот алгоритм, используя декомпозицию. Реверсинг (реверс-инжиниринг) не является проблемой безопасности для MCFACT, никакая информация о внутренней структуре не может быть получена, используя этот подход.

P.S. Это очень вольный перевод, но думаю понятно что сломать все это было очень сложно!

← →
Rouse_ © (2012-08-22 19:38) [136]

> А это не годится?
> https://www.virustotal.com/ru/

нет, немного разный подход.

> Может будет интересно, раз упоминал выше о защите Steinberg
> Cubase 5. Цитаты с трекера.

Это всего лишь один из вариантов реализации виртуальной машины, причем не очень успешный (всего-то 4к часов времени потрачено). У StarForce в этом плане самая тяжелая ВМ реализована, и на данный момент времени она так до конца никем не проанализирована. (Естественно я говорю именно о ВМ, а не о их навесняках типа защиты игр, где по факту вся данная мощь используется по вершкам, и отвязывается от диска достаточно легко. Там и защиты то толком нет).
Второй продукт с все еще не исследованным целиком ядром виртуалки - ExeCryptor. Его ВМ частично вскрыта (смогли девиартуализировать часть функций - порядка десятка), но полный деморф кода никто сделать на данный момент не в состоянии. На данный момент (с учетом что последняя версии продукта вышла в 2007-ом году) это очень достойный результат, количество человеко-часов посчитать можно самостоятельно :)
Все остальные известные мне продукты разобраны либо целиком, либо процентов на 90-95, собственно основной разбор скинут на автоматические утилиты девиртуализации (не путать с разноплановыми анпакерами, чья задача просто снять навесной стаб) а то что остается дописывается ручками прямо в отладчике (с условием что основная логика алгоритма после снятия ВМ ясна взломщику).

← →
tesseract © (2012-08-22 19:47) [137]

> ЗЫ: в качестве оффтопа, весь мой зоопарк под чистую убирает
> связка AVZ + CureIt

Зоопарк юзает ВМ? Вроде как вирусы с ВМ тяжко отловить.

← →
Rouse_ © (2012-08-22 19:51) [138]

> Вроде как вирусы с ВМ тяжко отловить.

А зачем нам разбор ВМ, если есть поведенческий анализ? Хоть увиртуализируйся, но запись себя в авторан или модификация тела стороннего файла будет отслежена, с соответствующими выводами.

← →
Rouse_ © (2012-08-22 20:17) [139]

> Конечные автоматы выполняют фактическую операцию и шифрование
> операции в один заход. Состав конечных автоматов гарантирует,
> что никакие промежуточные простые данные или информация
> об операции не могут быть восстановлены.

Да кстати вспомнилось, кажется в Армадиле, если память не изменяет, был применен подход полной шифрации кода. Выглядело примерно так: армадила отлаживает сама себя, ну т.е. выступает в качестве отладчика. Все куски кода пошифрованы и на секции стоит PAGE_GUARD. При переходе EIP на защищенную секцию отладчик подхватывает исключение, расшифровывает блок данных и перенаправляет исполнение на него, после выполнения кода, блок удаляется из памяти. Ну скажем так - достаточно интересно, дамп процесса точно ничего не даст, если бы не одно НО. Данный подход был отковырен буквально в пару дней. Был написан скрипт который последовательно проходит по всем зашифрованным секциям и просто забирает расшифрованные куски в отдельный файл где происходит их обьединение. Все делает на полном автомате без участия рук :).
Времени на реализацию такого динамического шифрования я так полагаю было затрачено достаточно много (еще-ж и отладить все нужно), а вот время на обход - практически копейки :)

← →
Inovet © (2012-08-22 20:23) [140]

> [139] Rouse_ © (22.08.12 20:17)
> Времени на реализацию такого динамического шифрования я
> так полагаю было затрачено достаточно много (еще-ж и отладить
> все нужно), а вот время на обход - практически копейки :)

Не подумали разработчики, видать. Или надо было отслеживать откуда пришли в защищённую секцию, а тоже легко бы пришли из нужной точки.

← →
tesseract © (2012-08-22 20:30) [141]

> Хоть увиртуализируйся, но запись себя в авторан или модификация
> тела стороннего файла будет отслежена, с соответствующими
> выводами.

А зачем модифицировать - достаточно читать кэш то-го же браузера или быть ботнетом и выполнять совсем неопасные команды. Команды получаем из файлика с командами ВМ. Ничего криминального - против того-же винлок только откат до точки восстановления хорошо помогал ( после проблемы у свояка купил парагоновский бэкап).

← →
Inovet © (2012-08-22 20:33) [142]

> [141] tesseract © (22.08.12 20:30)
> после проблемы у свояка купил парагоновский бэкап

Это как "у свояка"?

← →
Rouse_ © (2012-08-22 20:34) [143]

> достаточно читать кэш то-го же браузера или быть ботнетом
> и выполнять совсем неопасные команды.

Ну это я для примера написал, не буду же я тебе целиком расписывать методу анализа. Собсно ее сам можешь подсмотреть в исходниках AVZ

← →
Rouse_ © (2012-08-22 20:39) [144]

> Или надо было отслеживать откуда пришли в защищённую секцию

А как ты отследишь? Если отслеживалку и ломали? :)

← →
tesseract © (2012-08-22 20:40) [145]

> Ну это я для примера написал, не буду же я тебе целиком
> расписывать методу анализа. Собсно ее сам можешь подсмотреть
> в исходниках AVZ

Ну если бы мне было не лень - я бы не спрашивал.

> Это как "у свояка"?

отхватил винлок :-)

← →
Anatoly Podgoretsky © (2012-08-22 20:40) [146]

> Rouse_ (22.08.2012 20:17:19) [139]

Ну так известно, что ломать не строить.

← →
Студент (2012-08-22 20:46) [147]

ИМХО Как бы это не было странно, плохо написанный код, goto из цикла и остальные запрещенные вещи, ломать то будут программисты знакомые с правилами.))

← →
Rouse_ © (2012-08-22 20:49) [148]

>
> Anatoly Podgoretsky © (22.08.12 20:40) [146]
> > Rouse_ (22.08.2012 20:17:19) [139]
>
> Ну так известно, что ломать не строить.

Не факт, построить реализацию асинхронного шифрования, к примеру гораздо проще чем ее взломать :)

> [147] Студент (22.08.12 20:46)
> плохо написанный код, goto из цикла

Ну и сто, будет в цикле одним джампом больше. На то обфускаторы есть.

> Студент (22.08.12 20:46) [147]
> ИМХО Как бы это не было странно, плохо написанный код, goto
> из цикла и остальные запрещенные вещи, ломать то будут программисты
> знакомые с правилами.))

Есть оптимизирующие дизассемблеры, которые свернут данную чепуху в читабельный код. Тот-же HEX-Raise.
Но даже и без него, поверь, прочитать чепуху студента по любому проще, чем выполнить реверс ассемблерного кода в более понятные операции высокоуровневых языков.

> Студент (22.08.12 20:46) [147]
> ломать то будут программисты знакомые с правилами.))

Да и кстати, по поводу правил. Самое первое правило - правил нет, допустимы все безумные и нерациональные идеи, которые могут усложнить жизнь исследователя :) И естественно приступая к анализу ты сразу должен быть готов что ты сейчас будешь разбирать самый безумный код реализованный новоявленным энштейном и твоя задача, понять что и как он делал и для чего :)
Советую ознакомиться: http://alexander-bagel.blogspot.com/2012/08/cratefile.html

← →
Pit (2012-08-22 21:47) [152]

Розыч, ты я смотрю из ЖЖ свалил (как я был прав, а), ветку удалил.

А расскажи, чем по-твоему blogspot оказался лучше. Общие впечатления

← →
Pit (2012-08-22 21:47) [153]

ну канеш сори за офтоп, но интересно

> Pit (22.08.12 21:47) [152]
> Розыч, ты я смотрю из ЖЖ свалил (как я был прав, а), ветку
> удалил.
>
> А расскажи, чем по-твоему blogspot оказался лучше. Общие
> впечатления

Нет ограничения на размер текста. Только по этой причине.

бо посветка синтаксиса зарраза много жрет...

← →
Pit (2012-08-22 22:19) [156]

а поставить свой движок на свой сайт?

чисто не хочется морочиться?

> Pit (22.08.12 22:19) [156]
> а поставить свой движок на свой сайт?

А площадка не моя - сайт статический без скриптов, зато халявный :)
Да и не сильно то я умею это дело...

← →
Pit (2012-08-22 22:55) [158]

ну сайт то будет тебе стоить 100 рублей в месяц. Зато свой и ни от кого не зависишь. А уж помочь с настройкой умельцев и здесь найдется немало, тем более на твоих потребностях это фигня фсё. В том числе и я помочь могу

> Pit (22.08.12 22:55) [158]
> ну сайт то будет тебе стоить 100 рублей в месяц. Зато свой
> и ни от кого не зависишь.

Все примеры кода ведут на оригинальный адрес, еще раз перепиливать всю эту уйму на новый адрес - лениво. Я еще с прошлого переезда с FRONT.RU не отошел, хотя сколько лет прошло :) А по поводу стоимости сайтов эт я в курсе, жене периодически проплачиваю ее скопище доменов и площадок.

> Rouse_ (22.08.2012 20:49:28) [148]

В каждой ситуации есть исключения.

Схемы защиты ПО Найти похожие ветки