Презентация, доклад по информатике Способы защиты информации продолжение

Ползет по улице в дымину пьяный хакер.
Еле руки и ноги передвигает. А навстречу
ему другой, трезвый:
- Слушай, Вась, ты чего? Ведь ты же неделю
назад закодировался?
- Ага! - Ик! - А я - Ик! - в-вчера к-к-код подобрал...

пользователю после соблюдения им определенных условий. До регистрации в этой программе заблокирован ряд каких либо полезных функций, используется надоедливая реклама или ограничен строк работы. После ввода этого кода производится его проверка и при положительном исходе проверки программа начинает нормально работать.

и для ее снятия необходимо 10-15 минут.
Надо заранее оговориться - хорошему хакеру противостоять практически бесполезно, да и не нужно - при желании любая защита может быть взломана, это всего лишь вопрос времени.

для взлома. Их можно подразделить на несколько категорий:
Отладчики.
Дизассемблеры.
Средства мониторинга.
Средства пассивного анализа программы.
Прочие утилиты.

выполнение программы, изменять содержимое памяти и регистров и т.п. .
Наиболее популярным, удобным и мощным является отладчик SoftICE, который при достаточно примитивном интерфейсе обладает приличными возможностями и весьма стабильно работает.

популярных - IDA. Он находится www.datarescue.com/ida.htm и далеко не бесплатный
www.csee.uq.edu.au/csm/decompilation/disasm.html собраны разные программы этого же класса
www.eccentrica.org/Mammon/disasm.html есть еще ссылки на утилиты редактирования бинарных файлов

сетью.
Средства пассивного анализа программы.
Показывают разную информацию о программе - извлекают ресурсы, показывают связи, используемые библиотеки.
Классический пример - утилита DEPENDS.EXE из комплекта Visual Studio. Она показывает, какие библиотеки используются программой и какие функции импортируются

хакера", причем в изобилии). Это разнообразные редакторы, анализаторы ...

удобный фильтр, может сохранять отчет в файле. Поэтому нет смысла делать "секретные" файлы где-нибудь в Windows/System - их элементарно найти.
Утилиты типа FileMon могут резко упростить взлом программы - легко определить место, в котором программа обращается к указанному файлу или ключу реестра.
показывает детальную информацию обо всех обращениях к файловой системе; имеется возможность устанавливать различные фильтры и даже отслеживать работу со swap-файлом

реестром. Аналогично файлам, бессмысленно создавать в реестре "секретные" ключи - они сразу бросаются в глаза.
PortMon
- мониторинг работы с портами ввода/вывода
TCP_VIEW
- монитор соединений по TCP-IP
RegUtils
- набор утилит для контроля за реестром - делает копии реестра, позволяет сравнивать копии и просматривать изменения.

Они описаны в подробных руководствах типа "Взлом Windows программ - шаг за шагом", ориентированных, однако, на продвинутого пользователя.

– здесь просто «отловить» адрес памяти, в который будет записан пароль.
Затем на обращение по этому адресу ставится точка останова (команда BPM в SoftICE), что позволяет поймать начало процедуры проверки регистрационного кода.

хакера можно формализовать и тогда он выглядит примерно так:


Устанавливается точка останова на считывание текста из стандартного элемента ввода (функции GetWindowText, GetGlgItemText модуля KERNEL32)
При вызове этой функции анализируются ее параметры и таким образом определяются, по какому адресу будет размещено считываемое значение
После этого надо поставить в обращении к этой области памяти точку останова (в достоверности определенного адреса легко убедиться - после выполнения функции там появится введенная строка)
При срабатывании этой точки останова
либо попадаем в анализатор введенного значения
либо делаем генератор регистрационных ключей,
либо ломаем процедуру проверки.
Все эти действия доступны при знании ассемблер и API

Так что Assembler, Assembler и еще раз Assembler ...
Сущность этого совета очевидна
современные дизассемблеры умеют распознавать стандартные процедуры высокоуровневых языков,
API - вообще отдельный разговор
- SoftICE обладает изумительной возможностью - загружать символьные имена для любых указанных библиотек (особенно для KERNEL32.DLL) - отладка резко упрощается, т.к. имена вызываемых функций видны и можно просто ставить точки останова на вызов функций по их имени.

Несколько простых решений

свой визуальный компонент для ввода регистрационного кода. Он конечно должен будет обрабатывать события от клавиатуры, но момент считывания кода нельзя поймать избитыми методами.
Однако, следует помнить, что есть второй способ взлома, основанный на поиске введенного кода в памяти. Для этого в SoftICE есть удобная команда "S стартовый адрес L длина 'образец'" , которая позволяет найти введенное значение в памяти.

храните введенный код открытым текстом !

типа STRING и после ввода кода переписать введенное значение в них.
Делать это лучше всего не в одном месте, а распределить по программе. Таким образом поиск даст кучу адресов, по которым будет находиться введенный код.
Одно из возможных решений - по таймеру создать в динамической памяти новую строковую переменную, записать в нее код. Затем на следующем срабатывании таймера создать новую переменную, переписать в нее код, а старую уничтожить.

поиск почти бесполезным. Причем такое копирование можно совместить с проверкой кода или эмуляцией этой проверки. Затем с эти строками неплохо поделать какие-либо операции - сравнить с чем-нибудь ...
Можно просто создать свой компонент, который позволит вводить код нестандартным способом с его одновременной шифровкой.

его ввода.
Чем дальше ввод кода от его анализа, тем лучше.
Самое разумное - после ввода кода поблагодарить пользователя за сотрудничество и сообщить, что со временем будет выполнена регистрация программы.
А анализ кода произвести, например, через 1-2 минуты в совершенно другом месте программы.

проверки функцию. Достаточно найти и отключить эту проверку, и защита взломана.
Если проверок несколько, они разные и распределены по программе, то взлом затрудняется.

1-2 цифры должны делиться на 3, а 3-7 наложенные по какому-либо алгоритму на имя пользователя должны дать в сумме 4.
Все проверки надо проводить в различных местах с достаточно большим временным разносом - взломав первый метод хакер не будет догадываться о существовании еще нескольких, которые проявятся со временем.

15.
Все действия по проверке следует как можно дальше отнести от выдачи сообщений и прочих действий, предпринимаемых при обнаружении неправильного кода.

будут вызываться после ввода кода, проводить активные манипуляции с введенным значением, выдавать сообщения о некорректности введенного кода ... - т.е. отвлекать внимание от реальной проверки.

результаты проверки в переменной и/или не использовать ее для явного ограничения функций незарегистрированной программы.
Классический пример нарушения этого правила
if not(LegalCopy) then
ShowMessage ('Сохранение работает только в зарегистрированной версии')
else
SaveFile;

урезается до двух команд ассемблера:
MOV [адрес LegalCopy], 1
RET

это достаточно просто при помощи стандартных REGMON и FILEMON.
Наилучший способ - сохранить пароль и имя пользователя в том виде, в котором он их ввел. Затем при каждом запуске программы проверять корректность этого кода, не забывая о взломщиках!

сохраненного имени или кода. П
Следует всегда помнить, что считывание кода и его ввод в окне регистрации идентичны по мерам защиты - дублирование в разных областях памяти, шифрование ...

строку или блок данных можно защитить контрольной суммой, которую затем можно рассчитать и сравнить с эталоном. При сравнении с эталоном конечно следует вести очень осторожно

Это поможет не только от взлома, но и защитит программы от вируса или внедрения троянца.

неплохо сжать программу и данные. Можно, например, разработать свой собственный архиватор.
Пусть - RAR-у и ZIP-у он конкуренции не составит, но сжатые им данные разжать будет очень непросто, придется изрядно повозиться. Да и изменить их будет тоже проблематично - придется разжать, изменить и сжать.
А можно просто использовать давно забытые архиваторы, типа PcLithe…

При работе программы периодически надо фиксировать системное время, чтобы потом рассчитать время работы фрагментов кода между ними. И если, например, 200-400 команд процессора работают 2-3 минуты, то тут есть над чем задуматься.
Никогда нельзя определять дату и время стандартными способом !! Надо обязательно придумать что-нибудь оригинальное.

фиксирует момент своего первого запуска и работает установленное время (обычно 20-30 дней). После истечения этого срока программа отказывается запускаться.
Дату в программу следует проверять нестандартным способом, например по дате на файлах реестра или свежесозданном своем файле.
Вопрос более сложный: как зафиксировать на компьютере дату первого запуска (естественно так, чтобы изничтожение программы и ее повторная установка не давали эффекта).

легко отловить при помощи FILEMON.
Реестр то же отпадает из-за REGMON.
Прочие методы (типа записи в ВООТ сектор ...) тоже неприемлемы

ее на своем сайте (естественно, автоматически). Таким образом отсчет неявно будет идти от момента скачивания программы с сайта.
Есть тут правда и минус - после завершения срока можно повторно скачать эту программу и получить еще 15-20 дней ... .
С другой стороны стоит помнить, что программу можно скачать несколько раз и сравнить варианты, выявив, где лежит дата.
Поэтому стоит позаботиться о том, чтобы изменился почти весь файл (например, изменить пару опций компилятора)

основным направлениям:
Жестко фиксированные коды, прошитые в программу. Их обычно немного, но их огласка сводит защиту к нулю.
Некий алгоритм проверки кода. Немного лучше первого, но лишь немного. Возьмите за пример код Windows - его знает любой пользователь
Алгоритм проверки кода, использующий имя пользователя. Очевидно, что для каждого имени будет уникальный номер (или номера - их может быть несколько, в зависимости от алгоритма). Это уже лучше, но нелегальное распространение держится на эгоизме зарегистрированных пользователей - ничто не мешает им предать имя/пароль огласке, но тогда хотя бы можно вычислить виновника и заблокировать его код

и некоторые уникальные или динамически изменяющиеся параметры, например информацию о компьютере.
Это надежно, дает привязку к компьютеру, но в наш век постоянных апгрейдов очень неудобен.
On-Line регистрация. Состоит в том, что программа в On-Line связывается с сайтом разработчиков (или компании, осуществляющей продужу софта) и передает туда ревизиты пользователя. В ответ программе передается регистрационная информация.
Этот метод может и хорош для ряда программ, но, однако, он не выдерживает никакой критики по двум соображениям:
Никто не может гарантировать, что конкретно передаст программа в Инет. А передать она может все, что угодно - параметры компьютера, пароли, любые данные и т.п.
Конкретный пользователь может не иметь доступа к Инет. Это особенно важно для программ, работа которых не связана напрямую с Сетью. И зарегистрировать такую программу его практически никто к себе на компьютер не пустит