[sorockinalex]

Делаю авторизацию пользователей. Окошко для ввода логина и пароля. Данные пользователя хранятся в БД. Воопрос как лучше реализовать защиту от взлома программы. Программа используется на предприятии, особо защищать не придётся, так как сеть локальная без выхода в интернет, но уж сам вопрос интересный. И вот тут мои размышления:
1. Допустим пароли как таковые я хранить в открытом виде не буду, а будет в базу данных записываться их хэш.
2. При реализации условий логина (нажатие кнопки и обработка сравнения паролей) возможен взлом кода программы с подменой битов (как взламывают экзешники любимых программ).

Весь вопрос в том, как усложнить взлом с использованием подмены бытов самого модуля логина, чтобы логин был неудачен даже при получении true, что якобы пароли совпадают...??????

Все модули, в том числе модуль логина, дата модуль и прочие - это bpl пакеты... Помогите с данным вопросом, первый раз с этим сталкиваюсь...
Спасибо!

[sorockinalex]

Почитал тут статейку
http://www.codenet.ru/progr/delphi/stat/delphi.php
и подумал:
хоть и не рекомендует автор делать функции проверки пароля, но
если эту функцию запихнуть в datamodule.bpl и там же сравнивать CRC этого модуля с изначальным, то взломщику не удастся подменить изменить сам модуль... Только вот как получить CRC модуля, не зная его CRC, которое должно быть зашито в сам модуль )))))))))

[lmikle]

Например, скомпилить модуль, посчитать CRC, а проверку делать в основной программе, которая компилится после и она уже может знать нужный CRC. Хотя в этом случае нет возможности защитить саму программу... тоже проблема...

[Freeman]

Цитата:

Сообщение от lmikle

нет возможности защитить саму программу... тоже проблема...

Посмотри, как сделано у Джордана Рассела в StripReloc -- функция CalcChecksum.

Для повторного подсчета достаточно отобразить exe-файл в память с отбрасыванием изменений, прочитать контрольную сумму из заголовка PE, сохранить в переменной. Вписать 0 в это поле (который будет отброшен после закрытия файла), посчитать контрольную сумму заново и сравнить.

Но прежде чем заниматься фигней, представить ситуацию, когда злые хакеры ломают программу прямо в локальной сети предприятия.

[Bargest]

Защитить её VMProtect'ом. Антивирусные компании даже не пытаются понять смысл того, что им защищено, потому что человек со здоровой головой понять это не сможет.
Я пробовал его реверсить. Там виртуалка с шифрованными опкодами, шифрованные адреса обработчиков опкодов, шифрованные данные и ни единой функции. Весь код так сказать прямым текстом, только после каждых 1-10 команд стоит jmp или call (который юзается как jmp) куда-нибудь ещё, и код превращается в беспорядочное месиво. Стек там используется как большая помойка, почти все регистры - тоже. Код виртуалки загаживается огромнейшим количеством совершенно тупых и бесполезных команд, среди которых реальный смысл даже маленького кусочка восстановить очень тяжело. И хоть все алгоритмы шифрования сами по себе там элементарные (xor, add/sub, rol/ror и различные их комбинации), разобрать это вручную невозможно.
Слышал где-то на хакерских форумах обитают скрипты для снятия VMP старых версий, однако для новых что-то не слышал и не видел.
Если не хочется платить за VMP, можно написать свой упрощенный аналог.

Цитата:

если эту функцию запихнуть в datamodule.bpl и там же сравнивать CRC этого модуля с изначальным, то взломщику не удастся подменить изменить сам модуль...

При высоком уровне хитромордости это тоже можно обойти без особо крупных проблем - CRC = const, как следствие то место, которое считает CRC, можно заполнить NOP'ами, и поверх записать возврат верного CRC. Нужно помнить, что изменить можно не только 1-2 команды. Изменить можно десятки, сотни и тысячи команд: в крайнем случае хакер может внедрить ДЛЛ, написанную на Delphi/C/C++ (LoadLibrary-то он найдет где впихнуть), которая будет полностью менять целые ветви программы, огромные функции и т.д. на полностью свой код. И это не трудно, мне самому приходилось так делать (только не для взлома, а для добавления множества совершенно новых фич в программу).

З.Ы. +1 к

Цитата:

Но прежде чем заниматься фигней, представить ситуацию, когда злые хакеры ломают программу прямо в локальной сети предприятия.

Один знакомый как-то раз сказал: защита делается такой, чтобы стоимость взлома была выше, чем польза от него.

[M.A.D.M.A.N.]

Возложить авторизацию на сервер, чтоб он только ответ выдавал, валидны логины/пароли или нет.

[NumLock]

Цитата:

Сообщение от M.A.D.M.A.N.

Возложить авторизацию на сервер, чтоб он только ответ выдавал, валидны логины/пароли или нет.

да, проще и надежней найти способ сложно.

[Lost_Fish]

Цитата:

Сообщение от M.A.D.M.A.N.

Возложить авторизацию на сервер, чтоб он только ответ выдавал, валидны логины/пароли или нет.

Это самый правильный способ!

Я так подозреваю логины и пароли ты хранишь самостоятельно в таблице на серваке, если это так то в базу ты попадаешь под общим паролем и логином (для того чтоб считать данные из таблицы), тогда метод взлома такой БД заключается в том чтоб в хекс редакторе посмотреть пароль/логин, цепануться к базе считать пароли логины пользователей, даже если общий пароль/логин шифрованы то умному хакеру не составит труда их достать

[M.A.D.M.A.N.]

SSL + Хеши

[Heneken]

Во первых я невижу смысла алгоритма потому что!
1. Если вашу программу захотят сломать, ее все равно сломают.
2. Защиту организовывают сторонние программы. За деньги! И если программа имеет высокий спрос...ЕЕ все равно сломают!
3. Вам не надо париться, логин и пароль стандартными методами защитят вашу прогу от доступа случайных людей не имеющих знаний взлома.
4. Если вы хотите защитить программу от взлома людей обладающими базовыми знаниями взлома, постарайтесь не писать логины и пароли в реестр, в файл, и в exe коде не вязать все 1 переменной.

ЧТОБЫ ПОНЯТЬ КАК ЗАЩИТИТЬ СВОЮ ПРОГРАММУ ПОСТАРАЙТЕСЬ ЕЕ САМИ ВЗОЛМАТЬ!
Лучшая защита пограммы от взлома, это нестандартный методы проверки!

[~TB~]

ТС писал:

Цитата:

Программа используется на предприятии, особо защищать не придётся, так как сеть локальная без выхода в интернет, но уж сам вопрос интересный.

Соответственно он в курсе того, что следует не париться, но ему же просто ИНТЕРЕСНО! Так зачем бессмысленные ответы? Мне например это нафиг не нужно, но ведь тоже интересно. Спасибо товарищам M.A.D.M.A.N., Bargest, Freeman и lmikle за нормальные ответы. Будет что поковырять на досуге теперь.

[Heneken]

Цитата:

Сообщение от ~TB~

ТС писал:

Соответственно он в курсе того, что следует не париться, но ему же просто ИНТЕРЕСНО! Так зачем бессмысленные ответы? Мне например это нафиг не нужно, но ведь тоже интересно. Спасибо товарищам M.A.D.M.A.N., Bargest, Freeman и lmikle за нормальные ответы. Будет что поковырять на досуге теперь.

Не буду оспаривать если в у вас достаточно времени на ковыряния.
Я высказал позицию человека ценящего время, что овичинка выделки не стоит, и лучше свободное время посвятить более важным и полезным делам.
Мой ответ попытка направить человека в нормальное русло, поскольку вопросы по защите, несколько изжили себя.