Выдирание стрингов из компилированного exe
 

Привет, помогите пожалуйста....

ситуация...

Visual Basic 6, в проге есть Стринг, скажем Password = "abcd"; прога написана, компилирую, получаю .ехе... открываю .ехе блокнотом и среди ушлых значков вижу abcd... что делать.... паковать upx так он же под w 2000 темп файлы создаёт да и распаковать можно..... писать функйию криптования? т.е. Password = "asAsafdSAewfasf"; Password = decode(Password) или можно более элегантнее?

Спасибо!

Stasik
Можно старым upx иль есть еще куча пакеров.
А вообще если хочешь как минимум скрыть строку, то да, надо хотя бы какое то подобие функции шифрования написать, а то ведь "глупый" компилятор так пароль открытым текстом и положит.

упаковщики - не надёжное дело, спасибо

Stas, a kak naschet heshei tipa MD5 ili SHA1?

ну закодирую я его в хеш... раскодировать то не смогу... помоему же в M$SQL нельзя хешем логиниться, только голым текстом или?

хех, зачем же проверять пароль именно так: ВВЕДЕННЫЙ ПАРОЛЬ=РЕАЛЬНЫЙ ПАРОЛЬ, можно же ХЭШ(ВВЕДЕННЫЙ ПАРОЛЬ)=ХЭШ(РЕАЛЬНЫЙ ПАРОЛЬ), тогда нужно просто взять хэш от введенного пароля, а если тебе логинится нужно, то зачем проверять сначала на правильность пароля, или я что-то недопонимаю. И еще ХЭШ - не обязательно функция md5 или sha, можно свою написать, которая имеет обратную, или заюзать известную уже rsa или что-нибудь похожее, тогда просто ключик будет там хранится... но думаю до него никто не докопается:)

да мне проверять не надо.... мне именно логинится надо... буду писать криптование тогда.. upx кстати под 2000/xp же сразу в оперативку разжимает или в темп фаил... просто интересно...

Stasik
А ты не проверяй пароль, а под введенным логинься сразу, ну иль какой-нить примитивный хеш по нему считай (сумму букв иль начало проверяй), а проверяй уже результат логина.
А upx, как и все нормальные пакеры распаковывает в память.

закодируй строку по base64, присвой перемнной, а перед использованием декодируй

?? а зачем тогда проверяешь, вернее зачем тебе пароль в коде? пусть пользователь вводит пароль, а затем его передавай сразу, чего-то я не пойму...
не знаю, если требуется достаточно хороший уровень безопасности, то это не самое лучшее - строка в base64 достаточно легко определяется... написать rsa элементарно, библиотеку для работы с большими числами берешь на algolist'e, а сам алгоритм - несколько срочек, формулы и все... и раскодировать напрямую тяжело, а ключики можно уже в base64;)

дик программка в сети, телефонная книга... а sql сервер корпоративний.... понимайете в чем дело? напишу простое декодирование.. спасибо

мда... до чего, однако, дошел прогресс :)
Собсно, есть известный паттерн на этот случай - кто мешает не зашивать в прогу логин с пассом, а, скажем, положить рядом с exe файлом или в известной директории XML файл с настройками коннекта? Это позволит менять без перекомпиляции настройки ДатаСоурс, позволит не зашивать в сам exe приватную инфу, позволит каждому клиенту иметь свой датасоурс... ну много вобщем чего... а в этом XML ты можешь организовать данные как хошь - хоть закодированные - хоть нет...

проблема в хреновом Novell server... он работает как ФТП сервер, т.е. программа на всех одна...

По-моему можно и "на коленке", т.е. без заморочек с шифрованием решить (от хорошего хакера не спасёт, но от него и так ничего не спасёт :biggrin: ):
1. записать пароль в String по простенькой хитрой схеме (в обратном порядке и со смещением в буквах, относительно позиции самой буквы) - фиг, кто догадается.
2. Записать всякой фигни в ресурсы (строки, диалоги и т.д.) и выдирать пароль по букве - например 1-я буква пароля = 4 буква текста такой-то label на диалоге и т.д.

P.S. А настоящая проблема в том, что очень просто перехватить свой сетевой трафик и там получить пароль в открытом виде, т.к. FTP - очень простой протокол. Вот если бы можно было на Novell поднять серверную часть, которая бы принимала пароль в зашифрованном виде и передавала бы его FTP-серверу, тогда действительно имеет смысл морочится с шифрованием.

ну а что делать, зашифровал в upx и всё, простой юзер всёравно без софта не расшифрует Ж) а так всё заперто там, софт не пренести с собой

ну так юзайте SSL протокол тогда - кто мешает? везде есть поддержка, в Novell вроде точно есть...
ладно, забейте, мысли вслух просто :)