CuHDuKaT
Администратор
Вариантов взлома много:
1.Достать код
2.Подменить WEB-ответ проверки лицензии
3.Подменить UUID
4.Подменить функцию получения UUID
5.Подменить функцию проверки лицензии
6.Подменить WEB-сервер для проверки лицензии
Как с этим бороться? (Везде по 1 варианту, так как методов очень много)
1.От извлечения кода можно бороться несколькими методами, точнее можно бороться с мозгом ревёрсера:
· Маловероятно, что реверсёр будет искать код вашей авторизации, допустим, в функции популярной библиотеки requests.get
· Изменяем код этой функции, добавляя аргумент, допустим, bool url_, и действия, которые выполняются при выполнении условия
· Используем эту функцию в коде как всегда, но с url_ = True
· Получается, что мы будет отправлять post на какой - нибудь случайный сайт, но вместе с этим будет выполняться код проверки лицензии, в случае неудачи проверки можно крашить или закрывать приложение
2.Использовать подписанный сертификат на web ресурсе, динамически шифровать все ответы и тела запросов, чтобы ревёрсер не имел понятия на что подменять ответ
3.Можно запустить VM, указав системные значения. Проверяйте лицензию по самым нелогичным методам, пример: utc_username_uuid_cpu_hSizeScreen
4.Используйте os.system для получения UUID, а не стандартные библиотеки, так как можно подменить функцию через HEX (wmic и тд)
5.Шифруйте всегда все строки, чтобы нельзя было изменить через HEX
P.S. Используйте всегда последние версии Python, библиотек, шифруйте всё, что видите, создавайте мусорные юзлесс функции, используйте глобальные переменные, не храните зависимые строки в коде, получайте их в шифрованном виде из WEB, компилируйте через Nuitka, называйте функции нестандартно, делайте логику софта запутанную, кроме функциональной части, вам нужно больше junk кода!
P.S. Не панацея, но если вы в защите кода ламеры, то должно помочь.
1.Достать код
2.Подменить WEB-ответ проверки лицензии
3.Подменить UUID
4.Подменить функцию получения UUID
5.Подменить функцию проверки лицензии
6.Подменить WEB-сервер для проверки лицензии
Как с этим бороться? (Везде по 1 варианту, так как методов очень много)
1.От извлечения кода можно бороться несколькими методами, точнее можно бороться с мозгом ревёрсера:
· Маловероятно, что реверсёр будет искать код вашей авторизации, допустим, в функции популярной библиотеки requests.get
· Изменяем код этой функции, добавляя аргумент, допустим, bool url_, и действия, которые выполняются при выполнении условия
· Используем эту функцию в коде как всегда, но с url_ = True
· Получается, что мы будет отправлять post на какой - нибудь случайный сайт, но вместе с этим будет выполняться код проверки лицензии, в случае неудачи проверки можно крашить или закрывать приложение
2.Использовать подписанный сертификат на web ресурсе, динамически шифровать все ответы и тела запросов, чтобы ревёрсер не имел понятия на что подменять ответ
3.Можно запустить VM, указав системные значения. Проверяйте лицензию по самым нелогичным методам, пример: utc_username_uuid_cpu_hSizeScreen
4.Используйте os.system для получения UUID, а не стандартные библиотеки, так как можно подменить функцию через HEX (wmic и тд)
5.Шифруйте всегда все строки, чтобы нельзя было изменить через HEX
P.S. Используйте всегда последние версии Python, библиотек, шифруйте всё, что видите, создавайте мусорные юзлесс функции, используйте глобальные переменные, не храните зависимые строки в коде, получайте их в шифрованном виде из WEB, компилируйте через Nuitka, называйте функции нестандартно, делайте логику софта запутанную, кроме функциональной части, вам нужно больше junk кода!
P.S. Не панацея, но если вы в защите кода ламеры, то должно помочь.