Login-/Lizenzsystem

09/25/2012 19:54 Kraizy#1

Abend,

h�tte da mal eine eher grundlegende Frage zu einem Login-/Lizenzsystem.
Also, die HWID aus mehreren Informationen aus dem Computer (CPU, Grafikkarte, MAC, ...) auslesen und diese dann in meiner Datenbank zu speichern (inkl. Username & Passwort) ist ja nichts besonderes. Meine Frage ist eher, wie erstelle ich nun eine sichere �berpr�fung?

Ich kann ja z.B. auch einen Hash aus Username+Passwort+HWID+Salt generieren lassen, diesen an eine php-Datei abschicken, welche mir wiederum eine verschl�sselte Antwort sendet, welche ich intern in meinem Programm wieder entschl�ssele.

Das Problem ist aber, egal ob und wie ich das ganze verschl�ssele, am Ende kommt es doch immer auf das selbe hinaus, eine If-Abfrage. Und diese kann man ja ohne Weiteres auch einfach �berspringen, somit w�re das ganze Ver-/Entschl�sseln am Ende nutzlos.

Aber gibt es denn �berhaupt andere M�glichkeiten, au�er eine einfache Abfrage, ob das Endergebnis stimmt und die Lizenz somit g�ltig ist?

Hoffe auf ein paar Antworten..

09/25/2012 22:01 MrSm!th#2

Eben nicht nur alles an einem If h�ngen lassen.
Packer; Verzweigte Abfragen; mehrere Kontrollwerte, die sp�ter an v�llig anderen Stellen nochmal abgefragt werden; diverse Anti-Debugging Tricks; falsche F�hrten; Code verschl�sseln, sodass er mit der richtigen Antwort entschl�sselt werden kann; wichtigen Code oder Entschl�sselungs-Code vom Server senden lassen und nicht im Modul selbst aufbewaren; ...

09/25/2012 23:01 マルコ#3

Zu 100% sicher wirst du es nie schaffen. Schau dir an, wie tagt�glich teure Software gecrackt wird. Da sitzen Profiteams dran, um das abzusichern, und trotzdem...

Am Ende f�lschen sie ihre HWID, indem sie die Funktion detouren, die sie erstellt. Und dann ist dein Tool auch wieder freigeschaltet.

Ich denke, du solltest dir daher auch stark �berlegen, wie du Reversen und Debuggen verhindern kannst, bzw. erschweren^^
Und dann nat�rlich Zugriffe von au�en auf dein Programm.

09/25/2012 23:07 Kraizy#4

Dass ich keinen 100%igen Schutz haben werde ist mir durchaus klar, ich suche lediglich Methoden, um es einigen Leuten schwerer zu machen. Auch bin ich mir ziemlich sicher, dass ich keinen "Profischutz", welcher mehrere hundert/tausend Euro kostet bzw wert ist, n�tig habe, denn solche Leute werden sich sowieso nicht f�r meine Tools interessieren.

09/25/2012 23:14 MrSm!th#5

Quote:

Zu 100% sicher wirst du es nie schaffen. Schau dir an, wie tagt�glich teure Software gecrackt wird. Da sitzen Profiteams dran, um das abzusichern, und trotzdem...

Doch, indem die Software vollst�ndig online l�uft, aber das ist f�r viele Dinge nicht praktikabel.

09/26/2012 00:10 Dr. Coxxy#6

Quote:

Originally Posted by MrSm!th

Doch, indem die Software vollst�ndig online l�uft, aber das ist f�r viele Dinge nicht praktikabel.

theoretisch k�nnen die cracker ins rechenzentrum einbrechen und den server einstecken ;)

100% geht nicht, je mehr du allerdings auf einen online server verlegst und dich net allzudumm anstellst, desto sicherer wird es.

wie mrsmith schon gesagt hat, benutz viele verschiedene verteilte kontrollroutinen, bau auch nen bissel antidebug ein, benutz nen packer, dann wirds auf jedenfall schon ein ganz sch�ner aufwand es zu knacken.

09/26/2012 09:05 boxxiebabee#7

So, solltest du wirklich die Daten an ein .php Script senden, dann schau dir bitte mal folgendes "Tutorial" an -> [Only registered and activated users can see links. Click Here To Register...]

Besser w�re es aber einen Server zu haben, der mit der App kommuniziert.

Eine andere M�glichkeit w�re, eine Art Launcher zu machen. Der Hauptcode (das Programm selbst) wird vom Server geladen, nat�rlich ist der Code verschl�sselt. Der User gibt den Username und Passwort ein, und mit diesem Daten wird versucht den Code zu entschl�ssen. Das ganze packst du in ein try / catch. Bei catch sind die Angaben von User nat�rlich falsch. Das ganze kannst du auch gerne mit der HWID kombinieren. Das ganze wird dann nach Erfolg �ber Codedom ausgef�hrt.
Somit kann das Hauptprogramm auch relativ leicht aktualisiert werden. Das ganze k�nntest du eventuell noch verfeinern indem du nur den gerade ben�tigten Programmteil l�dst, und nicht gebrauchten wieder entl�dst. Somit kann das ganze nurnoch �ber einen Bruteforce, zugriff auf die Datenbank, Memory Dump (mit valid Daten) geknackt werden.

Ob sich nun der ganze Aufwand lohnt ist wiederum eine ganz andere Frage ;)