Выдирание стрингов из компилированного exe - Программирование

Stasik · 12.01.2006, 23:24

Привет, помогите пожалуйста....

ситуация...

Visual Basic 6, в проге есть Стринг, скажем Password = "abcd"; прога написана, компилирую, получаю .ехе... открываю .ехе блокнотом и среди ушлых значков вижу abcd... что делать.... паковать upx так он же под w 2000 темп файлы создаёт да и распаковать можно..... писать функйию криптования? т.е. Password = "asAsafdSAewfasf"; Password = decode(Password) или можно более элегантнее?

Спасибо!

Madness · 13.01.2006, 00:12

Stasik
Можно старым upx иль есть еще куча пакеров.
А вообще если хочешь как минимум скрыть строку, то да, надо хотя бы какое то подобие функции шифрования написать, а то ведь "глупый" компилятор так пароль открытым текстом и положит.

Stasik · 13.01.2006, 00:39

упаковщики - не надёжное дело, спасибо

*helldomain* · 13.01.2006, 09:23

Stas, a kak naschet heshei tipa MD5 ili SHA1?

Stasik · 13.01.2006, 20:33

ну закодирую я его в хеш... раскодировать то не смогу... помоему же в M$SQL нельзя хешем логиниться, только голым текстом или?

Naked · 13.01.2006, 20:41

Цитата:

Stasik:
ну закодирую я его в хеш... раскодировать то не смогу

хех, зачем же проверять пароль именно так: ВВЕДЕННЫЙ ПАРОЛЬ=РЕАЛЬНЫЙ ПАРОЛЬ, можно же ХЭШ(ВВЕДЕННЫЙ ПАРОЛЬ)=ХЭШ(РЕАЛЬНЫЙ ПАРОЛЬ), тогда нужно просто взять хэш от введенного пароля, а если тебе логинится нужно, то зачем проверять сначала на правильность пароля, или я что-то недопонимаю. И еще ХЭШ - не обязательно функция md5 или sha, можно свою написать, которая имеет обратную, или заюзать известную уже rsa или что-нибудь похожее, тогда просто ключик будет там хранится... но думаю до него никто не докопается

Stasik · 14.01.2006, 14:57

да мне проверять не надо.... мне именно логинится надо... буду писать криптование тогда.. upx кстати под 2000/xp же сразу в оперативку разжимает или в темп фаил... просто интересно...

Madness · 14.01.2006, 18:30

Stasik
А ты не проверяй пароль, а под введенным логинься сразу, ну иль какой-нить примитивный хеш по нему считай (сумму букв иль начало проверяй), а проверяй уже результат логина.
А upx, как и все нормальные пакеры распаковывает в память.

14.01.2006, 20:44

закодируй строку по base64, присвой перемнной, а перед использованием декодируй

Naked · 14.01.2006, 20:51

Цитата:

Stasik:
да мне проверять не надо

?? а зачем тогда проверяешь, вернее зачем тебе пароль в коде? пусть пользователь вводит пароль, а затем его передавай сразу, чего-то я не пойму...

Цитата:

Snick:
закодируй строку по base64

не знаю, если требуется достаточно хороший уровень безопасности, то это не самое лучшее - строка в base64 достаточно легко определяется... написать rsa элементарно, библиотеку для работы с большими числами берешь на algolist'e, а сам алгоритм - несколько срочек, формулы и все... и раскодировать напрямую тяжело, а ключики можно уже в base64

Stasik · 14.01.2006, 22:08

дик программка в сети, телефонная книга... а sql сервер корпоративний.... понимайете в чем дело? напишу простое декодирование.. спасибо

/7y3uK · 15.01.2006, 02:42

мда... до чего, однако, дошел прогресс

Собсно, есть известный паттерн на этот случай - кто мешает не зашивать в прогу логин с пассом, а, скажем, положить рядом с exe файлом или в известной директории XML файл с настройками коннекта? Это позволит менять без перекомпиляции настройки ДатаСоурс, позволит не зашивать в сам exe приватную инфу, позволит каждому клиенту иметь свой датасоурс... ну много вобщем чего... а в этом XML ты можешь организовать данные как хошь - хоть закодированные - хоть нет...

Stasik · 15.01.2006, 22:00

проблема в хреновом Novell server... он работает как ФТП сервер, т.е. программа на всех одна...

AGoncharov · 20.01.2006, 02:25

По-моему можно и "на коленке", т.е. без заморочек с шифрованием решить (от хорошего хакера не спасёт, но от него и так ничего не спасёт

):
1. записать пароль в String по простенькой хитрой схеме (в обратном порядке и со смещением в буквах, относительно позиции самой буквы) - фиг, кто догадается.
2. Записать всякой фигни в ресурсы (строки, диалоги и т.д.) и выдирать пароль по букве - например 1-я буква пароля = 4 буква текста такой-то label на диалоге и т.д.

P.S. А настоящая проблема в том, что очень просто перехватить свой сетевой трафик и там получить пароль в открытом виде, т.к. FTP - очень простой протокол. Вот если бы можно было на Novell поднять серверную часть, которая бы принимала пароль в зашифрованном виде и передавала бы его FTP-серверу, тогда действительно имеет смысл морочится с шифрованием.

Stasik · 20.01.2006, 08:42

ну а что делать, зашифровал в upx и всё, простой юзер всёравно без софта не расшифрует Ж) а так всё заперто там, софт не пренести с собой

/7y3uK · 21.01.2006, 03:52

ну так юзайте SSL протокол тогда - кто мешает? везде есть поддержка, в Novell вроде точно есть...
ладно, забейте, мысли вслух просто

13.01.2006, 00:12	# 2
Madness KpTeaM Регистрация: 31.10.2002 Адрес: Russia Пол: Male Сообщения: 3 261	Stasik Можно старым upx иль есть еще куча пакеров. А вообще если хочешь как минимум скрыть строку, то да, надо хотя бы какое то подобие функции шифрования написать, а то ведь "глупый" компилятор так пароль открытым текстом и положит. __________________ Над струнами вен моих Лезвия осени, Их сталь леденящая В просинь рук просится... ©Темнозорь

13.01.2006, 00:39	# 3
Stasik Registered User Регистрация: 27.03.2002 Адрес: дома Сообщения: 1 660	упаковщики - не надёжное дело, спасибо __________________ Всё будет хорошо!

13.01.2006, 09:23	# 4
helldomain Administrator Регистрация: 13.05.2002 Сообщения: 11 227	Stas, a kak naschet heshei tipa MD5 ili SHA1? __________________ Осколки прошлого, как снег, закрутит ураган времён, В ушедший день для нас навек, обрушив мост, Оставив в наших душах след, тьма уплывёт за горизонт, И в чистом небе вспыхнет свет, свет новых звёзд.

13.01.2006, 20:33	# 5
Stasik Registered User Регистрация: 27.03.2002 Адрес: дома Сообщения: 1 660	ну закодирую я его в хеш... раскодировать то не смогу... помоему же в M$SQL нельзя хешем логиниться, только голым текстом или? __________________ Всё будет хорошо!

14.01.2006, 14:57	# 7
Stasik Registered User Регистрация: 27.03.2002 Адрес: дома Сообщения: 1 660	да мне проверять не надо.... мне именно логинится надо... буду писать криптование тогда.. upx кстати под 2000/xp же сразу в оперативку разжимает или в темп фаил... просто интересно... __________________ Всё будет хорошо! Последний раз редактировалось Stasik; 14.01.2006 в 15:03.

12.01.2006, 23:24	# 1
Stasik Registered User Регистрация: 27.03.2002 Адрес: дома Сообщения: 1 660	Выдирание стрингов из компилированного exe Привет, помогите пожалуйста.... ситуация... Visual Basic 6, в проге есть Стринг, скажем Password = "abcd"; прога написана, компилирую, получаю .ехе... открываю .ехе блокнотом и среди ушлых значков вижу abcd... что делать.... паковать upx так он же под w 2000 темп файлы создаёт да и распаковать можно..... писать функйию криптования? т.е. Password = "asAsafdSAewfasf"; Password = decode(Password) или можно более элегантнее? Спасибо! __________________ Всё будет хорошо!

14.01.2006, 18:30	# 8
Madness KpTeaM Регистрация: 31.10.2002 Адрес: Russia Пол: Male Сообщения: 3 261	Stasik А ты не проверяй пароль, а под введенным логинься сразу, ну иль какой-нить примитивный хеш по нему считай (сумму букв иль начало проверяй), а проверяй уже результат логина. А upx, как и все нормальные пакеры распаковывает в память. __________________ Над струнами вен моих Лезвия осени, Их сталь леденящая В просинь рук просится... ©Темнозорь

14.01.2006, 20:44	# 9
Snick Guest Сообщения: n/a	закодируй строку по base64, присвой перемнной, а перед использованием декодируй

14.01.2006, 22:08	# 11
Stasik Registered User Регистрация: 27.03.2002 Адрес: дома Сообщения: 1 660	дик программка в сети, телефонная книга... а sql сервер корпоративний.... понимайете в чем дело? напишу простое декодирование.. спасибо __________________ Всё будет хорошо!

15.01.2006, 02:42	# 12
/7y3uK Advanced Member Регистрация: 09.03.2004 Адрес: толстозадая Москва Сообщения: 498	мда... до чего, однако, дошел прогресс Собсно, есть известный паттерн на этот случай - кто мешает не зашивать в прогу логин с пассом, а, скажем, положить рядом с exe файлом или в известной директории XML файл с настройками коннекта? Это позволит менять без перекомпиляции настройки ДатаСоурс, позволит не зашивать в сам exe приватную инфу, позволит каждому клиенту иметь свой датасоурс... ну много вобщем чего... а в этом XML ты можешь организовать данные как хошь - хоть закодированные - хоть нет... __________________ В нашей стране настаивать на кореньях, черной смородине, лимонных корках - гораздо эффективнее, чем на правах

15.01.2006, 22:00	# 13
Stasik Registered User Регистрация: 27.03.2002 Адрес: дома Сообщения: 1 660	проблема в хреновом Novell server... он работает как ФТП сервер, т.е. программа на всех одна... __________________ Всё будет хорошо!

20.01.2006, 02:25	# 14
AGoncharov Junior Member Регистрация: 16.04.2004 Сообщения: 106	По-моему можно и "на коленке", т.е. без заморочек с шифрованием решить (от хорошего хакера не спасёт, но от него и так ничего не спасёт ): 1. записать пароль в String по простенькой хитрой схеме (в обратном порядке и со смещением в буквах, относительно позиции самой буквы) - фиг, кто догадается. 2. Записать всякой фигни в ресурсы (строки, диалоги и т.д.) и выдирать пароль по букве - например 1-я буква пароля = 4 буква текста такой-то label на диалоге и т.д. P.S. А настоящая проблема в том, что очень просто перехватить свой сетевой трафик и там получить пароль в открытом виде, т.к. FTP - очень простой протокол. Вот если бы можно было на Novell поднять серверную часть, которая бы принимала пароль в зашифрованном виде и передавала бы его FTP-серверу, тогда действительно имеет смысл морочится с шифрованием.

20.01.2006, 08:42	# 15
Stasik Registered User Регистрация: 27.03.2002 Адрес: дома Сообщения: 1 660	ну а что делать, зашифровал в upx и всё, простой юзер всёравно без софта не расшифрует Ж) а так всё заперто там, софт не пренести с собой __________________ Всё будет хорошо!

21.01.2006, 03:52	# 16
/7y3uK Advanced Member Регистрация: 09.03.2004 Адрес: толстозадая Москва Сообщения: 498	ну так юзайте SSL протокол тогда - кто мешает? везде есть поддержка, в Novell вроде точно есть... ладно, забейте, мысли вслух просто __________________ В нашей стране настаивать на кореньях, черной смородине, лимонных корках - гораздо эффективнее, чем на правах

Опции темы
Версия для печати Отправить на email