امنیت در #C

سلام به همگی.

دوستان هدف از راه اندازی این تاپیک این است تا با هم دیگر شیوه های برقراری امنیت در برنامه نویسی به این زبان را بررسی کنیم. چونکه این مبحث بسیار گسترده است ابتدا از این سوال شروع می کنیم که:

چکار کنیم که دستیابی به کدهای برنامه بوسیله نرم افزارهایی همانند Reflector سخت تر انجام شود؟ |---------------------------------------------------------|

بقیه سوالات به تدریج در این تاپیک بحث خواهد شد. از دوستان نیز می خواهم در صورتی که سوالی در مورد این موضوع دارند بیان کنند تا با دوستان در جهت رفع آن اقدام گردد.
پیشاپیش از همکاری شما در این بحث تشکر می کنم.

گویا dotfuscator که نسخه ی Community ورژن 4 همراه vs 2008 نصب میشه واسه همین کاره

نقل قول:

---

Dotfuscator is an obfuscator, pruner, linker, and watermarker for .NET applications. It is a key component of a Secure .NET Software Development Life Cycle Process. It adds a new level of protection and application efficiency to any .NET application.

PreEmptive Solutions’ Dotfuscator is the leading .NET Obfuscator, Compactor and Watermarker that helps protect programs against reverse engineering while making them smaller and more efficient. Dotfuscator Professional Edition is designed to stop even the best of decompilers from producing useful output. It provides comprehensive and efficient .NET code development and deployment.

---

دوستان کسی می تونه نحوه کار این برنامه dotfuscator را توضیح بده. در ضمن آیا نرم افزاری ضد این نرم افزار وجود داره یا نه؟ (آیا نرم افزاری برای از بین بردن کارایی این برنامه وجود داره یا نه؟) ممنون می شم اگه جواب بدید.

این نرم افزار در منوی تولز ویژوال استدیو هست کارشم اینه که اسامی متغیرها و فرم ها و کلاس ها رو عوض میکنه. ضدش هم وجود نداره یعنی اگه شما یه متغیر رو Customer گذاشته باشید و بعدی رو Product این نرم افزار اسم اولی رو میکنه A و دومی رو میکنه B همین به همین ترتیب تمام متغیرها و فرم ها و کلاسها رو تغییر نام میده تا نا خونا تر بشه و کار دیگه ای انجام نمیده

اگه منظور شما را درست متوجه شده باشم یعنی به فرض می توانیم نام کلاس MessageBox را به هر چیزی که خواستم تغییر بدیم مثلا بزاریم payam. تا طرف نتونه تشخیص بده ما از چه کلاسی استفاده کردیم. اگه درست گفتم بگید. در ضمن لطف کنید نحوه استفاده از این برنامه را نیز توضیح بدهید. ممنون.

نقل قول:

---

نوشته شده توسط system32

اگه منظور شما را درست متوجه شده باشم یعنی به فرض می توانیم نام کلاس MessageBox را به هر چیزی که خواستم تغییر بدیم مثلا بزاریم payam. تا طرف نتونه تشخیص بده ما از چه کلاسی استفاده کردیم. اگه درست گفتم بگید. در ضمن لطف کنید نحوه استفاده از این برنامه را نیز توضیح بدهید. ممنون.

---

نه دوست من فقط اسم متغیرها و کلاس های تعریفی شما رو به صورت خودکار تغییر میده نه کلاسهای پایه دات نت رو
روش کار: اول باید پروژه اصلی رو ترجمه کنید و فایل exe بسازید و بعد در برنامه Dotfus... کریت نیو پروجکت رو انتخاب میکنید
حالا باید حداقل دو گزینه رو مشخص کنید یکی فایل های trigger و دیگری مسیر فایل مقصد (فایل ناخوانا شده
در زبانه trigger فایل اجرایی خودتون رو انتخاب کنیدو بعد بر روی زبانه build کلیک کنید و مسیر مقصد رو وارد کنید.
بعداز منوی فایل سیو پروجکت رو انتخاب کنید.
برای انجام کار و ساختن فایل ناخوانا از منوی فایل build رو انتخاب کنید.
تنظیمات دیگه هم داره اما من همینقدرشو بلدم.

ممنون از راهنمایی شما.

پس اینطوری که معلومه این نرم افزار هم نمی تونه جلوی دسترسی به کدها را بگیره. دوستان طرحی یا برنامه ای سراغ ندارند که بشه باهاش جلوی دسترسی به کدها را گرفت یا حداقل دسترسی به اونارو کمی سخت تر کنه. در ضمن لطف کنید اگه ضد این برنامه ها هم وجود داره اطلاع بدهید. ممنون.

میتونید از Smart Assembly استفاده کنید.
تاحدی سخت تر از بقیه هست.

می شه لطفا در مورد این Smart Assembly توضیح بدید. ممنون.

این یک برنامه Obfuscator هست که سورس رو تا 60% نامفهوم میکنه و البته فایل رو در برابر کرک شدن تا حدی محافظت میکنه.

سلام.

من بالاترین نسخه آن را دانلود کردم. و آن را نیز تست کردم. ولی فایده ای نداشت کدها به راحتی توسط برنامه Reflector قابل مشاهده بود. کسی برنامه یا طرحی برای محافظت از کدها سراغ نداره؟

نقل قول:

---

من بالاترین نسخه آن را دانلود کردم. و آن را نیز تست کردم. ولی فایده ای نداشت کدها به راحتی توسط برنامه Reflector قابل مشاهده بود. کسی برنامه یا طرحی برای محافظت از کدها سراغ نداره؟

---

حتما" درست ازش استفاده نکردید یا از نسخه دمو استفاده کردید , همچین چیزی امکان نداره.

دوست عزیز این دو عکس صحت گفتار بنده را تایید می کند. یکی نسخه استفاده شده از نرم افزار را نشان می ده و یکی دیگه نتیجه کار را بوسیله نرم افزار Reflector نمایش می ده.

https://barnamenevis.org/attach...1&d=1250411095

https://barnamenevis.org/attach...1&d=1250411095

من در واقع برنامه ای نوشتم همراه با یک کلید که اگه روی کلید کلیک کنم پیغام Hello را نمایش بده. مشاهده می شود که کدها به راحتی قابل نمایش هستند. راه حل چیست؟

دوستان می شه کمی در مورد این CLI Header توضیح بدید. در ضمن آیا راهی هست که بتوان ان را از روی برنامه های تحت نت حذف کرد تا دیگر برنامه Reflector قادر به شناسایی آن نباشد؟

بازم میگم شاید نسخه دمو بوده , عکس گفته شما رو تائید میکنه ولی عملکرد نرم افزار این گونه نیست.
چون حتی کلاس ها رو ناقص Obfuscate کرده.

دوستان یعنی هیچ راهی برای جلوگیری از دسترسی به کدهای برنامه وجود نداره؟ یا لا اقل دسترسی به کدها را سخت تر کنه؟ خواهشا اگه کسی راهی بلده بگه. ممنون.:ناراحت:

https://barnamenevis.org/showthread.php?t=174013

دوست عزیز چیزی که شما میخواید امکان نداره.
کامپایلر C#‎ به زبان میانی IL ترجمه میکنه حالا اگه کد IL به روشی که شما میخواید نا مفهوم باشه پس چطوری توسط CLR به زبان ماشین ترجمه بشه.
برای اینکه برنامه توسط CLR اجرا بشه باید کلاس ها ی پایه دات نت خوانا و واضح باشه و در اینصورت برنامه های دیگه نیز میتونن از این کد واضح برای نشون دادن سورس استفاده کنن.
چیزی که شما میخواید برنامه IL to Native هست که من نمونه ای از اون سراغ ندارم

به نظر شما می توان به این نرم افزار xenocode postbuild 2008 که هکرها تونستند کرکش رو بسازند در حالی که خودش تضمین می کنه می تونه جلوی نفوذ هکرها را به نرم افزار ما را بگیره اعتماد کرد. لطفا نظرتون رو درباره این نرم افزار بدید. در ضمن در جواب کاربر عزیز saeed2rele باید بگویم این کار شدنی است چون یکی از همین کاربران عزیز سایت تونستند با حذف این هیدر جلوی نفوذ به نرم افزارشان را توسط Reflector بگیرند ولی روششان را فاش نکردند اگه خواستید فایل مربوطه را می گذارم تا خودتان امتحان کنید با این توضیحات لطفا اگه کسی روشی دیگر چه از راه برنامه نویسی و چه از راه نرم افزار های مربوطه می دونه لطف کنه و جواب بده. ممنون.

نقل قول:

---

نوشته شده توسط system32

به نظر شما می توان به این نرم افزار xenocode postbuild 2008 که هکرها تونستند کرکش رو بسازند در حالی که خودش تضمین می کنه می تونه جلوی نفوذ هکرها را به نرم افزار ما را بگیره اعتماد کرد. لطفا نظرتون رو درباره این نرم افزار بدید. در ضمن در جواب کاربر عزیز saeed2rele باید بگویم این کار شدنی است چون یکی از همین کاربران عزیز سایت تونستند با حذف این هیدر جلوی نفوذ به نرم افزارشان را توسط Reflector بگیرند ولی روششان را فاش نکردند اگه خواستید فایل مربوطه را می گذارم تا خودتان امتحان کنید با این توضیحات لطفا اگه کسی روشی دیگر چه از راه برنامه نویسی و چه از راه نرم افزار های مربوطه می دونه لطف کنه و جواب بده. ممنون.

---

نه دوست عزیز تا اونجایی که من میدونم تمام برنامه های گذاشته شده کرک شدند.
اونی هم که میگی اینجا کرک شد دوست من.
بازم میگم هیچ راهی برای محافظت از کد .net وجود نداره
فقط میشه اونرو ناخوانا کرد. به همون دلیلی که در پست قبلی گفتم.

saeed2rele
بازم میگم هیچ راهی برای محافظت از کد .net وجود نداره

آیا دوستان دیگه هم با سخن این دوست عزیز موافقند؟ اگه کسی مخالفه لطفا راه حل خودش رو ذکر کنه. در ضمن بهترین نرم افزاری که می تونه کدها را ناخوانا کنه چیه؟ در واقع این یه نظر سنجیه که معلوم بشه بهترینشون کدومه. لطفا نام نرم افزار را به همراه مزیت استفاده از آن را توضیح دهید. ممنون

میشه از پکرهای موجود استفاده کرد.

من خودم هنوز روی .net تست نکردم ببینم که آیا پکر جواب میده یا نه.

ولی Exe های vb و delphi رو باهاش پک کردم.

از دسترسی این جوجه کرکرها فایل رو محافظت میکنه.

ولی برای جلو گیری از کرک شدن هیچ راهی وجود نداره(در هیچ زبونی).

دوستان سلام.

دیشب تو اینترنت گشت می زدم با نرم افزار Eazfuscator.NET 2.5 آشنا شدم. این نرم افزار نمرش روی فایل های Exe به نظر من 15 است ولی متاسفانه روی فایل های dll به خوبی جواب نمی ده. (می تونید امتحان کنید) نرم افزار دیگه ای که خواستم امتحان کنم xenocode postbuild 2008 بود ولی متاسفانه نتونستم شماره سریال برنامه مربوطه را بدست آورم. شاید اینجا جای مناسبی برای مطرح کردن این موضوع نباشه. پیشاپیش عذر می خواهم. لطفا اگه کسی شماره سریال این برنامه را داره لطفا به من هم بگه.

کلام آخر:
دوستان برنامه نویس پس شما چطوری از کدهاتون محافظت می کنید. یعنی بعد از طراحی برنامتون کدها رو دو دستی تقدیم طرف می کنید. قطعا راهی بلدید که دسترسی به کدها را سخت تر کنه. لطف کنید و روشتان را اینجا ارائه دهید تا دوستان شما هم بتوانند از ایده شما استفاده کنند. قطعا برای هر مشکلی راه حلی وجود داره.


من خودم یه روش دارم و اون اینکه بیاید و برنامتون رو بوسیله نرم افزارهای اوتوران ساز همانند بیلدر ضمیمه کنید و سپس بوسله این برنامه نرم افزارتون رو لود کنید. نظر شما چیه. یه نمونه می زارم. ببینم کسی می تونه هکش کنه. اگه نشد فعلا این بهترین گزینس و الا باید به دنبال شیوه ای دیگه ای بود. در ضمن کدش رو خیلی خیلی ساده در نظر گرفتم. وقتی هکش کردید معلوم می شه. فقط می خواهم بدونم می تونید از حالت ضمیمه خارجش کنید یا نه. چون حجمش یه کم رفت بالاتر تو یه سایت دیگه آپش کردم. پس ای کرکرها و ای هکرها این فایل و این هم شما.

http://d01.megashares.com/dl/4d451cc/Crack_Me.zip

بالاخره هک شد یا نه؟ :لبخندساده:

سلام
توصیه میکنم اصلا" از این روش استفاده نکنید , فایل ضمیمه اصلا" امنیتی نداره.

نقل قول:

---

قطعا برای هر مشکلی راه حلی وجود داره.

---

حتما" همین طوره , من خودم اول برنامه نویس دات نت بودم ولی به خاطر راه حل دات نت رو رها کردم و رفتم سراغ Delphi :لبخند:
شوخی کردم , نمیگم زبان مورد علاقه خودتون رو رها کنید ولی به یاد داشته باشید وقتی دیدید که Xenecode کرک شد نگید که بیخیال , اینم که کرک شد.
به یاد داشته باشید که همیشه امنیت سطح 1 خیلی بهتر از امنیت سطح صفر هست.
زیاد با MMB تلاش نکنید چون اصلا" امنیت قابل قبولی نداره , حتی سورس اسکریپت های برنامه های MMB رو هم میشه استخراج کرد.

نقل قول:

---

میشه از پکرهای موجود استفاده کرد.

---

پکرها بیشتر کارشون فشرده سازی است نه امنیتی و معمولا" برای دات نت هم کار نمیکنن , بهتره از همون Obfuscator ها استفاده بشه.

سورس مربوط به بررسی کد :

   Private Sub button1_Click(ByVal sender As Object, ByVal e As EventArgs)

    If (Not Me.textBox1.Text Is Nothing) Then

        Dim num As Long

        Dim a As Long = Convert.ToInt64(Me.textBox1.Text)

        Dim b As Long = Convert.ToInt64(a.ToString.Substring(0, 1))

        a = (Convert.ToInt64(Math.DivRem(a, b, num)) * Me.textBox1.Text.Length)

        If (Me.textBox2.Text = a.ToString) Then

            MessageBox.Show(ChrW(1576) & ChrW(1575) & ChrW(1576) & ChrW(1575) & " " & ChrW(1575) & ChrW(1740) & ChrW(1608) & ChrW(1604) & " " & ChrW(1578) & ChrW(1608) & " " & ChrW(1583) & ChrW(1740) & ChrW(1711) & ChrW(1607) & " " & ChrW(1705) & ChrW(1740) & " " & ChrW(1607) & ChrW(1587) & ChrW(1578) & ChrW(1740))

        Else

            MessageBox.Show(ChrW(1606) & ChrW(1575) & " " & ChrW(1575) & ChrW(1605) & ChrW(1740) & ChrW(1583) & " " & ChrW(1606) & ChrW(1588) & ChrW(1608) & " " & ChrW(1576) & ChrW(1575) & ChrW(1586) & ChrW(1605) & " " & ChrW(1578) & ChrW(1604) & ChrW(1575) & ChrW(1588) & " " & ChrW(1705) & ChrW(1606))

        End If

    End If

End Sub

   

Nima NT جان راه هایی هم وجود داره كه از Dump شدن برنامه جلوگيری كنه؟

هدف آنتی دامپ بودن برنامه نیست که اصلا" نشه ازش دامپ گرفت و ... , هدف این هست که کراکر نتونه به سورس کد برنامه دسترسی داشته باشه که برای این امر هم من Smart Assembly نسخه 4 رو توصیه میکنم که البته باید نسخه کرک شده اون رو پیدا کنید , این برنامه کدها رو به شکلی نامفهوم میکنه که حتی اگر کراکر حرفه ای باشه و بتونه کد اصلی رو استخراج کنه فقط 30% رو میتونه برگردونه.

نقل قول:

---

هدف آنتی دامپ بودن برنامه نیست که اصلا" نشه ازش دامپ گرفت و ... , هدف این هست که کراکر نتونه به سورس کد برنامه دسترسی داشته باشه

---

خوب من می خواستم ببينم كه اگر راه هایی واسه جلوگيری از Dump شدن هست كه هست، می تونيم برنامه رو بزاريم تو يه برنامه Native و از اون جا برنامه رو Load كنيم.

اگر زحمتی نيست اين فايل رو هم نگاه كنيد، ببينيد Smart Assembly هم همين كار رو میكنه؟

نقل قول:

---

نوشته شده توسط system32

saeed2rele
بازم میگم هیچ راهی برای محافظت از کد .net وجود نداره

آیا دوستان دیگه هم با سخن این دوست عزیز موافقند؟ اگه کسی مخالفه لطفا راه حل خودش رو ذکر کنه. در ضمن بهترین نرم افزاری که می تونه کدها را ناخوانا کنه چیه؟ در واقع این یه نظر سنجیه که معلوم بشه بهترینشون کدومه. لطفا نام نرم افزار را به همراه مزیت استفاده از آن را توضیح دهید. ممنون

---

دوباره معنی امنیت با مهندسی معکوس قاطی شد!
به همه اونهایی که میگن میتونند کد یک برنامه دات نت را کاملا بدست بیارند میگم:
یک برنامه که با دات‌نت نوشته شده را (برنامه درست حسابی، نه یک مثال یک فرمی مانند نت‌پد)، را بیزحمت کدش را تبدیل به یک پروژه کنند بزاند اینجا با دادن آدرس به برنامه اصلی که ببینیم.
اگر هم که نه، فقط فکر میکنند شدنی هست، بله در فکر همه چی ممکن هست، ولی در عمل داستان چیز دیگریست. من بلادرنگ منتظر یک پروژه همچنینی هستم.
این هم یک برنامه که قبلا سورسش کاملا در دست همه بود ولی دیگر نیست، اگر ممکن هست یک سلوشن کامل که من بتوانم باهاش کار کنم بفرستید: http://www.getpaint.net
تا موقعی که سلوشن این برنامه را به شکلی که بشه باهش کار کرد فرستاده نشده، لطفا از امنیت بودن و یا نبودن کد بحث نکنید :قهقهه:

نقل قول:

---

یک برنامه که با دات‌نت نوشته شده را (برنامه درست حسابی، نه یک مثال یک فرمی مانند نت‌پد)، را بیزحمت کدش را تبدیل به یک پروژه کنند بزاند اینجا با دادن آدرس به برنامه اصلی که ببینیم.

---

صحبت سر به دست آوردن کد و ... نیست , هدف کرک کردن برنامه هستش , موضوع سر این هست که من با خوندن کد های IL نرم افزار شما رو کرک کنم یا با خوندن کدهای اصلی برنامه.

نقل قول:

---

اگر هم که نه، فقط فکر میکنند شدنی هست، بله در فکر همه چی ممکن هست، ولی در عمل داستان چیز دیگریست. من بلادرنگ منتظر یک پروژه همچنینی هستم.
این هم یک برنامه که قبلا سورسش کاملا در دست همه بود ولی دیگر نیست، اگر ممکن هست یک سلوشن کامل که من بتوانم باهاش کار کنم بفرستید: http://www.getpaint.net
تا موقعی که سلوشن این برنامه را به شکلی که بشه باهش کار کرد فرستاده نشده، لطفا از امنیت بودن و یا نبودن کد بحث نکنید :قهقهه:

---

در مورد برنامه های شما شاید این موضوع اهمیت نداشته باشه ولی در مورد بعضی برنامه ها لو نرفتن الگوریتم خیلی مهمه , در مورد استخراج سورس لزومی نداره که یک باره فایل پروژه تولید بشه , کسی که میخواد از قسمتی از سورس بهره برداری کنه , مسلما" یک نیازی نداره که کل پروژه رو اتوماتیک بدست بیاره , فقط به بخشهایی نیاز داره و همون بخش ها رو کپی میکنه.
در مورد برنامه ای هم که گذاشتید به نظر میاد هدف شما نیاز خودتون نیست و بحث رو به کل کل سوق میدید , اگر مایل باشید میتونید از برنامه Reflector استفاده کنید و هر جا که نیاز داشتید سورس رو استخراج کرده و استفاده کنید.!

نقل قول:

---

خوب من می خواستم ببينم كه اگر راه هایی واسه جلوگيری از Dump شدن هست كه هست، می تونيم برنامه رو بزاريم تو يه برنامه Native و از اون جا برنامه رو Load كنيم.

---

این کار اصلا" درست نیست و امنیت نداره.

نقل قول:

---

اگر زحمتی نيست اين فايل رو هم نگاه كنيد، ببينيد Smart Assembly هم همين كار رو میكنه؟

---

مزیت این برنامه همین هست که این کار رو نمیکنه.
همون طوری هم که گفتم در این حالت درصد خوانایی کد پائین میاد , برای مثال این کد از فایل شما بدست اومد.

   <MethodImpl(MethodImplOptions.Synchronized)> _

Public Shared Function (ByVal  As Integer) As String

    Dim str As String

    If Not ..TryGetValue(, str) Then

        Dim buffer As Byte()

        If (. Is Nothing) Then

            Dim executingAssembly As Assembly = Assembly.GetExecutingAssembly

            Dim callingAssembly As Assembly = Assembly.GetCallingAssembly

            . = False

            . = New BinaryReader(executingAssembly.GetManifestResourceStream(ChrW(8194) & ChrW(8203) & ChrW(8198) & ChrW(8203) & ChrW(8199) & ChrW(8192) & ChrW(8202) & ChrW(8194) & ChrW(8199)))

            Dim num As Short = CShort((..ReadInt16 Xor &H3A9B))

            If (num = 0) Then

                . = CShort((..ReadInt16 Xor &H4D82))

            Else

                . = ..ReadBytes(num)

            End If

            . = callingAssembly.GetName.GetPublicKeyToken

            If ((Not . Is Nothing) AndAlso (..Length = 0)) Then

                . = Nothing

            End If

        End If

        Dim num2 As Integer = ( Xor &H155B0323)

        ..BaseStream.Position = num2

        If (Not . Is Nothing) Then

            buffer = .

        Else

            Dim num3 As Short

            If (. = -1) Then

                num3 = CShort(((..ReadInt16 Xor -7133) Xor num2))

            Else

                num3 = .

            End If

            If (num3 = 0) Then

                buffer = Nothing

            Else

                buffer = ..ReadBytes(num3)

            End If

        End If

        Dim count As Integer = ((..ReadInt32 Xor num2) Xor -1661214256)

        Dim flag As Boolean = ((count And -2147483648) <> 0)

        If flag Then

            count = (count And &H7FFFFFFF)

        End If

        Dim bytes As Byte() = .(buffer, ..ReadBytes(count))

        If ((Not . Is Nothing) <> .) Then

            Dim i As Integer

            For i = 0 To count - 1

                Dim num6 As Byte = .((i And 7))

                num6 = CByte(((num6 << 3) Or (num6 >> 5)))

                bytes(i) = CByte((bytes(i) Xor num6))

            Next i

        End If

        If (flag AndAlso Not .) Then

            Dim chArray As Char() = New Char(count  - 1) {}

            Dim j As Integer

            For j = 0 To count - 1

                chArray(j) = DirectCast(bytes(j), Char)

            Next j

            str = New String(chArray)

        Else

            str = Encoding.Unicode.GetString(bytes, 0, bytes.Length)

        End If

        If . Then

            str = (( + count) Xor &HE4A78).ToString("X")

        End If

        str = String.Intern(str)

        ..Add(, str)

        If (..Count = 11) Then

            ..Close

            . = Nothing

            . = DirectCast(. = Nothing, Byte())

        End If

    End If

    Return str

End Function

نقل قول:

---

نوشته شده توسط Nima NT

صحبت سر به دست آوردن کد و ... نیست , هدف کرک کردن برنامه هستش , موضوع سر این هست که من با خوندن کد های IL نرم افزار شما رو کرک کنم یا با خوندن کدهای اصلی برنامه.

نقل قول:

---

نوشته شده توسط Nima NT

اگر بحث بر کرک کردن برنامه است، چه ربطی به سی‌شارپ و یا دات نت دارد؟ همه نوع برنامه‌هایی که با هر زبانی نوشته شده کرک میکنند، این ادعایه اینکه دات نت امنیت ندارد معنی ندارد، هیچ برنامه‌ای امنیت ندارد، و این بحث مطعلق به این تالار نیست، بیزحمت انتقالش بدن به تالار امنیت و مهندسی معکوس.

---

در مورد برنامه های شما شاید این موضوع اهمیت نداشته باشه ولی در مورد بعضی برنامه ها لو نرفتن الگوریتم خیلی مهمه , در مورد استخراج سورس لزومی نداره که یک باره فایل پروژه تولید بشه , کسی که میخواد از قسمتی از سورس بهره برداری کنه , مسلما" یک نیازی نداره که کل پروژه رو اتوماتیک بدست بیاره , فقط به بخشهایی نیاز داره و همون بخش ها رو کپی میکنه.
در مورد برنامه ای هم که گذاشتید به نظر میاد هدف شما نیاز خودتون نیست و بحث رو به کل کل سوق میدید , اگر مایل باشید میتونید از برنامه Reflector استفاده کنید و هر جا که نیاز داشتید سورس رو استخراج کرده و استفاده کنید.!

---

با تشکر از راهنمائی شما، منظور من را متوجه نمیشید.
فرق بین مهندسی معکوس و امنیت را واقعا نمیدانید؟
شما که اهمیت لو نرفتن الگریتمها را میدانید، یک الگریتم مهم که به این شکل لو رفته را اسم ببرید. (جواب اینکه برو فلان برنامه را با فلکتر نگاه کن قابل قبول نیست)، الگریتمهایه ۲ قرانی که با رفلتر معلوم هستند هم حساب نمیشند.
اینجا با ترساندن همه که دات‌نت امنیت ندارد توپیک زدن، اگر امنیت ندارد، یک مثال امنیت نداشتن که اتفاق افتاده (که برنامه یک شرکت معتبر لو رفته) را بفرمائید.
برایه هر برنامه دات‌نت که کرک شده حداقل ۱۰۰ برنامه غیره دات‌نت که کرک شده را میشه مثال زد.
پس بر این نتیجه، امنیت نبودن در دات‌نت به دلیل اینکه با رفلتور میشه کد برنامه را دید کل کل است، نه اینکه من میگم حرفهایه این توپیک ربطی به سی شارپ ندارد و باید به تالار مهندسی معکوس انتقال داده بشه.
بلادرنگ منتظر ِ مثال شما از لو شدن یک الگریتم با ارزش به وسیله رفلتر نشستم! اگر من کل‌کل میکنم، اکر اساس دارد شما حرفت را ثابت کن! :)

نقل قول:

---

شما که اهمیت لو نرفتن الگریتمها را میدانید، یک الگریتم مهم که به این شکل لو رفته را اسم ببرید. (جواب اینکه برو فلان برنامه را با فلکتر نگاه کن قابل قبول نیست)، الگریتمهایه ۲ قرانی که با رفلتر معلوم هستند هم حساب نمیشند.

---

شرکت اسرائیلی که نرم افزار SecureLM رو با هدف توسعه امنیت در دات نت با فناوری مربوطه به VM تولید کرده بود به خاطر استفاده از دات نت به عنوان loader مربوطه به راه اندازی VM دچار ورشکستگی شد چرا که در صورتی که کد لو نمیرفت تحلیل VM کاری بسیار سخت میشد ولی از آنجا که سیستم امنیتی به کار رفته در مبهم سازی کدها امنیت چندانی نداشت 100% با شکست مواجه شد.

نقل قول:

---

برایه هر برنامه دات‌نت که کرک شده حداقل ۱۰۰ برنامه غیره دات‌نت که کرک شده را میشه مثال زد.

---

علت این هست که کرک کردن برنامه های دات نت رو افراد کمی بلد هستن ولی برنامه های win32 به واسطه عمر بیشترشون , بیشتر مورد تهدید و حمله قرار گرفتن و این نوع مقایسه صحیح نیست , چون اینجا قصد مقایسه نداریم.

نقل قول:

---

پس بر این نتیجه، امنیت نبودن در دات‌نت به دلیل اینکه با رفلتور میشه کد برنامه را دید کل کل است، نه اینکه من میگم حرفهایه این توپیک ربطی به سی شارپ ندارد و باید به تالار مهندسی معکوس انتقال داده بشه.

---

قبلا" بحث شده , جستجو کنید .
در آخر هم بی نتیجه ماند.
به عنوان راه حل همیشه گفتم Obfuscation ولی اگر از حرفه ای های این زمینه بپرسید بهتون میگن که کدهای Obfuscate شده رو هم میشه 100% به کد اصلی تبدیل کرد و در نهایت برنامه رو کرک کرد , حالا به عنوان لو رفتن الگوریتم هم میشه بهش نگاه کرد.

نقل قول:

---

اینجا با ترساندن همه که دات‌نت امنیت ندارد توپیک زدن

---

فکر نمیکنم اینطوری باشه , چون دوستان بیشتر به دنبال راه کار بودن و پشت سر هم کرک می و ... میذاشتن ( به تالار امنیت در برنامه نویسی مراجعه کنید ).

نقل قول:

---

نوشته شده توسط Nima NT

شرکت اسرائیلی که نرم افزار SecureLM رو با هدف توسعه امنیت در دات نت با فناوری مربوطه به VM تولید کرده بود به خاطر استفاده از دات نت به عنوان loader مربوطه به راه اندازی VM دچار ورشکستگی شد چرا که در صورتی که کد لو نمیرفت تحلیل VM کاری بسیار سخت میشد ولی از آنجا که سیستم امنیتی به کار رفته در مبهم سازی کدها امنیت چندانی نداشت 100% با شکست مواجه شد.

---

نمیدانم منبعتان برایه این خبر از کجا بوده، ولی ویکپدیا میگه مایکروسافت این شرکت را خریده. کل گوگل در مورد ورشکست شدن این شرکت چیزی نداشت، بیزحمت یک لینک به یک منبع معتبر در این زمینه بفرستید.

کرک شدن برنامه ربطی به امنیت ندارد، قبلا در مورد امنیت در دات نت لینک فرستادم، اینکه برنامه کرک نشه با اینکه کدهاش دیده نشه ربطی ندارد.
عنوان تاپیک را باید ناخوانا کردن کد در دات‌نت میزاشتند، چونکه این ربطی به سی‌شارپ ندارد، کد وی‌بی دات نت هم همان آی‌ال را تولید میکند، دلفی دات‌نت هم همانطور، پس این توپیک ربطی به تالار سی‌شارپ ندارد و یک مطلب کلی تر است.
هنوز هم یک مثال در مورد اینکه باز بودن کد دات‌نت باعث اتفاقی شده باشد را ندیدم، مگر اینکه برنامه‌نویسهایه بدانه اطلاعات امنیتی در دات‌نت خراب نوشته باشند.

نقل قول:

---

نمیدانم منبعتان برایه این خبر از کجا بوده، ولی ویکپدیا میگه مایکروسافت این شرکت را خریده. کل گوگل در مورد ورشکست شدن این شرکت چیزی نداشت، بیزحمت یک لینک به یک منبع معتبر در این زمینه بفرستید.

---

در مورد خریده شدن و ... اطلاعی ندارم ولی لینکی پیدا کردم حتما" براتون میفرستم , چراکه این موضوع مربوط به 1 سال پیش هست.

نقل قول:

---

رک شدن برنامه ربطی به امنیت ندارد، قبلا در مورد امنیت در دات نت لینک فرستادم، اینکه برنامه کرک نشه با اینکه کدهاش دیده نشه ربطی ندارد.

---

متاسفانه ربط داره , چرا که وقتی کدها راحت دیده بشن , نیازی نیست که برای کرک کردن برنامه شما فایل patch بشه , میشه به راحتی براش keygen نوشت در صورتی که اگر کد دیده نشه این کار به این راحتی ها هم نیست.

نقل قول:

---

عنوان تاپیک را باید ناخوانا کردن کد در دات‌نت میزاشتند، چونکه این ربطی به سی‌شارپ ندارد، کد وی‌بی دات نت هم همان آی‌ال را تولید میکند، دلفی دات‌نت هم همانطور، پس این توپیک ربطی به تالار سی‌شارپ ندارد و یک مطلب کلی تر است.

---

بله , شاید ؛ ولی چون دیده شدن کد میتونه به امنیت ( از هر لحاظ ) صدمه بزنه , زیاد هم فرق نمیکنه.

نقل قول:

---

مزیت این برنامه همین هست که این کار رو نمیکنه.
همون طوری هم که گفتم در این حالت درصد خوانایی کد پائین میاد , برای مثال این کد از فایل شما بدست اومد.

---

جواب سوال من چی شد؟ آيا Smart Assembly هم همين كار رو می كنه، يعنی يه سری از نام ها رو به جاش چرت و پرت مينويسه؟


CodeVile چطوره؟ آيا CodeVile، امنيت برنامه در ايران رو تضمين می كنه؟

نقل قول:

---

جواب سوال من چی شد؟ آيا Smart Assembly هم همين كار رو می كنه، يعنی يه سری از نام ها رو به جاش چرت و پرت مينويسه؟

---

بله این کار رو انجام میده , در واقع اسم این کار Obfuscation هست که نام متدها و کلاس ها رو عوض میکنه و از حالت استاندارد خارج میکنه و تقریبا" در این کار خوب عمل میکنه.

نقل قول:

---

CodeVile چطوره؟

---

خوب هست , میشه امنیت 4 از 10 بهش داد.

نقل قول:

---

آيا CodeVile، امنيت برنامه در ايران رو تضمين می كنه؟

---

در مورد امنیت میتونم بگم , تضمینی در کار نیست , چون دیر یا زود قفلش میشکنه ولی 2 تا توصیه میکنم.
در طراحی قفل خودتون اول از رمزنگاری غیر متقارن برای تولید کد فعالسازی استفاده کنید و دوم اینکه تا میتونید قفل رو در جای جای برنامه خودتون بررسی کنید.

چه تاپیک پویایی!
به هر حال من نمی دونم , هر وقت یه روش پیدا کردن که باهاش احتمال کشف کد و کرک کردن از نظر منطقی به صفر مطلق برسه به منم بگین!!!!!:دی

نقل قول:

---

به هر حال من نمی دونم , هر وقت یه روش پیدا کردن که باهاش احتمال کشف کد و کرک کردن از نظر منطقی به صفر مطلق برسه به منم بگین!!!!!:دی

---

اینم شد مثل آزادی مطلق !!!! :لبخند: مطلق فقط ذات پروردگاره و همه چیز نسبی هست.
بهترین کار برای کم کردن احتمال کشف کد استفاده از Obfuscator هایی نظیر Smart Assembly و نظایر اون هست.

نقل قول:

---

نوشته شده توسط Nima NT

اینم شد مثل آزادی مطلق !!!! :لبخند: مطلق فقط ذات پروردگاره و همه چیز نسبی هست.
بهترین کار برای کم کردن احتمال کشف کد استفاده از Obfuscator هایی نظیر Smart Assembly و نظایر اون هست.

---

به این می گن ایده آلیسم مثبت(!) !:دی

این رفلکتور فقط واسه برنامه های دات نت هست؟!
چون من یک نرم افزار پیشرفته ی روسی که کارش حل مسایل ریاضی با توضیح تشریحی است رو که بهش دادم نتونست هیچ سورسی ازش در بیاره و گفت CLI Header ای پیدا نکرد!!
اگر اینطوره برنامه های غیر دات نت رو با چی کدشو در میارن؟!

بله فقط برای دات نت هست , امکان دسترسی به سورس برای برنامه های غیر دات نتی تقریبا" وجود نداره.

نقل قول:

---

نوشته شده توسط Nima NT

بله فقط برای دات نت هست , امکان دسترسی به سورس برای برنامه های غیر دات نتی تقریبا" وجود نداره.

---

من با برنامه ای به نام Resourse Hacker که حجمش 500کیلو بایته و اینم لینک دانلودشه سورس اون نرم افزاری که گفتم با رفلکتر جواب نداد رو الان به طور کامل بدست آوردم!
این برنامه خیلی باحاله! نه تنها سورس رو در میاره اجازه ویرایش اون رو هم در محیط سورس کدی و هم به صورت گرافیکی میده! محیط گرافیکیش خیلی باحاله!
مثلا می تونید فرم درباره ی ما ی نرم افزار رو بیاره و همونجوری که هست ببینیش و بدون دانستن هیچ نوع برنامه نویسی هرجاشو که خواستی ویرایش کنید! خیلی باحاله!
مثلا میشه برای فارسی کردن نرم افزار ها بدون دانستن هیچ نوع برنامه نویسی ازش استفاده کرد:دی:گیج:
اینم عکسش:
http://img2.tinypic.info/files/tawezdwgfemy2cwlvdck.jpg

نقل قول:

---

نوشته شده توسط amir400

من با برنامه ای به نام Resourse Hacker که حجمش 500کیلو بایته و اینم لینک دانلودشه سورس اون نرم افزاری که گفتم با رفلکتر جواب نداد رو الان به طور کامل بدست آوردم!
این برنامه خیلی باحاله! نه تنها سورس رو در میاره اجازه ویرایش اون رو هم در محیط سورس کدی و هم به صورت گرافیکی میده! محیط گرافیکیش خیلی باحاله!
مثلا می تونید فرم درباره ی ما ی نرم افزار رو بیاره و همونجوری که هست ببینیش و بدون دانستن هیچ نوع برنامه نویسی هرجاشو که خواستی ویرایش کنید! خیلی باحاله!
مثلا میشه برای فارسی کردن نرم افزار ها بدون دانستن هیچ نوع برنامه نویسی ازش استفاده کرد:دی:گیج:
اینم عکسش:
[IMG][/IMG]

---

الان برنامه ای به اسم resource Tuner پیدا کردم که از اونم بهتره@ دانلود
--
یک برنامه ای هم به اسم Dis Sharp میگن وجود داره که من پیدا نکردم! میگن سورس رو به صورت Solution تحویل میده!!:گیج:

اینم دیس شارپ! پیداش کزدم: دانلود

ااین دیس شارپ برای برنامه های نوشته شده در سی شارپ واقعا عالیه !
کل کد رو بدون هیچ اشکالی توی یک صفحه می تونه تحویل بده!
اینجا هم یک عالمه دکامپایلر واسه زبان های مختلف هست! حتی فلش! اینجا

Resourse Hacker و از اين قبيل برنامه ها فقط Resourse ها رو ويرايش می كنند، نه بيشتر. هيچ وقت هم سورس رو به دست نمی يارند.

resource جزو منابع فایل اجرایی هست , مثل یه سری اطلاعات طبقه بندی شده , به قول دوست عزیزمون این برنامه ها فقط این اطلاعات رو استخراج میکنن و دسترسی به سورس کد ندارن.
برنامه هایی مثل reflector سورس کد برنامه شما رو در میارن , یعنی همون کدی که شما برای برنامه خودتون در یکی از زبانهای برنامه نویسی نوشتید.

نقل قول:

---

نوشته شده توسط Nima NT

resource جزو منابع فایل اجرایی هست , مثل یه سری اطلاعات طبقه بندی شده , به قول دوست عزیزمون این برنامه ها فقط این اطلاعات رو استخراج میکنن و دسترسی به سورس کد ندارن.
برنامه هایی مثل reflector سورس کد برنامه شما رو در میارن , یعنی همون کدی که شما برای برنامه خودتون در یکی از زبانهای برنامه نویسی نوشتید.

---

پس این همه برنامه های win32 چجوری کرک شده اند؟!

با سلام.

ظاهرا این تاپیک کم کم داره از موضوع اصلی خودش خارج می شه و این امکان وجود داره که مدیران بخش تاپیک را قفل کنند پس خواهشا از بحث در مورد این برنامه های نمایش سورس و غیره اجتناب کنید.
لطفا فقط به موضوعاتی بپردازید که امنیت برنامه های نوشته شده به زبان #C را بالا می برد. یکبار دیگر هدف از تاسیس این تاپیک را می گویم:

دوستان هدف از راه اندازی این تاپیک این است تا با هم دیگر شیوه های برقراری امنیت در برنامه نویسی به این زبان را بررسی کنیم. چونکه این مبحث بسیار گسترده است ابتدا از این سوال شروع می کنیم که:

چکار کنیم که دستیابی به کدهای برنامه بوسیله نرم افزارهایی همانند Reflector سخت تر انجام شود؟ |---------------------------------------------------------|

بقیه سوالات به تدریج در این تاپیک بحث خواهد شد. از دوستان نیز می خواهم در صورتی که سوالی در مورد این موضوع دارند بیان کنند تا با دوستان در جهت رفع آن اقدام گردد.
پیشاپیش از همکاری شما در این بحث تشکر می کنم.

به امید رسیدن به این هدف.

نتیجه گیری از سوال اول:
1- به هیچ وجه امکان ندارد که جلوی نفوذ به کدهایمان گرفته شود. فقط می توان کاری کرد که این کار سخت تر انجام شود.
2- شما می توانید بوسیله نرم افزارهای Obfuscator نفوذ به کدهایتان را مشکل نمایید. این کار با تغییر نام متغیرها و ... برنامه شما انجام می گیرد.

در ضمن دوستان روشی بلدند که با آن بتوان CLI Header را از برنامه حذف کنیم. متوجه شدم بعضی از دوستان این کار را انجام دادند. چگونه؟ می شه یه کم در این مورد توضیح بدهید. ممنون.

دوستان اگه این نتیجه گیری را قبول دارند و نظری در این مورد ندارند با مفید اعلام کردن این مطلب اعلام کنند تا به سوال بعدی پرداخته شود.

ممنون از همگی برنامه نویسان عزیز که در این بحث شرکت می کنند.

نقل قول:

---

در ضمن دوستان روشی بلدند که با آن بتوان CLI Header را از برنامه حذف کنیم. متوجه شدم بعضی از دوستان این کار را انجام دادند. چگونه؟ می شه یه کم در این مورد توضیح بدهید. ممنون.

---

این کار هم تاثیر زیادی نداره , برنامه CodeViel همین کار رو انجام میده.
در واقع ارزش کاری نداره , میتونید وقتتون رو برای روشهای بهتر بذارید.
در مورد موارد 1 و 2 هم کاملا" موافقم و صحیح هستن.

نقل قول:

---

پس این همه برنامه های win32 چجوری کرک شده اند؟!

---

اگر بخوام پاسخ شما رو اینجا بدم , همه چیز به هم میریزه و شاید مدیر بخش شاکی بشه.
بهتره اول در تالار امنیت در نرم افزار و برنامه نوسی جستجو کنید , چون قبلا" بحث شده , اگر جواب نگرفتید میتونید یه تاپیک همونجا ایجاد کنید تا جواب بدم.:چشمک: