فرار از دست Lucky Patcher

[virus2009]

دوستان این مشکل یک راه حل خیلی ساده دارد

اگر با یک دیباگر جواب برگشتی lucky pathcer رو بعد از خرید چک می کردید و اون رو با جواب برگشتی بازار مقایسه می کردید راه حل میومد جلوی چشماتون.

به لطف عدم وجود کیف پول برای مارکت های ایرانی ( مثل Google wallet ) مقدار orderId در مارکت های ایرانی وجود ندارد و به جای آن Token قرار گرفته است.
حالا شما خیلی راحت می تونید مقدار orderId و توکن رو با هم مقایسه کنید، اگر مساوی بودن جواب برگشتی از بازار اومده و خرید انجام شده، ولی اگر برابر نبودند یعنی جواب رو lucky patcher فرستاده. ( نحوه استفاده پیوست شد )

اگر نرم افزارتون رو منتشر کردید از روش استفاده کنید و یک آپدیت جدید بدید ولی اگر تازه می خواهید نرم افزارتون رو منتشر کنید پیشنهاد میشه حتما راه حل ایمن تری اجرا کنید.

بهترین روش اینه که شما از API ـه توسعه دهنده بازار استفاده کنید چون خرید هایی که تو بازار ثبت شده رو می تونید بررسی کنید. ( من از این روش فعلا استفاده نکردم ولی یکی از دوستان آموزشش رو گذاشته تو این تاپیک)

یک روش دیگه هم هست که میتونید کلا تابع verifyPurchase که تو کلاس IabHelper هست رو تو سرور خودتون اجرا کنید و public key رو که فقط برای این تابع استفاده میشه در نرم افزار نذارید و امضای بازار رو تو سرور بررسی کنید.

نحوه عملکردش هم فکر می کنم به این صورته که بازار همون Json برگشتی خرید رو میاد با public key انکود می کنه و میفرسته برای شما، تو تابع verifyPurchase این جواب انکود شده توسط public key دیکود میشه و با جواب برگشتی مقایسه میشه، اگه برابر بودن یعنی درسته، حالا شما باید این جواب انکود شده ( همون signature در جواب برگشتی بازار ) رو به سرور خودتون بفرستید و توسط public key خودتون دیکودش کنید و در جواب بفرستید برای نرم افزار تا با جواب برگشتی از بازار مقایسش کنه. ( تو خیلی از سایت های خارجی این روش کامل توضیح داده شده و کدهاش هست، سرچ بزنید میاد )

[hamedjj]

بچه ها عجب سرعت عملی دارند
از سیستم شتاب هم سریعتر هستند.
http://securepayment.ir

پیاده سازی این api سخت نیست فقط کافیه یکم برنامه نویسی سمت سرور کار کنید
میتونید از parse هم استفاده کند که رایگان و پرقدرت هم هست

[poorman]

بعله کلا ما خوب بلدیم از شرایطی که به وجود میاد سوء استفاده کنیم
کلا شما برید یک سرور بگیرید سالی میشه 45 تومن

ایشون یک نفر هم بخره این سرویس رو پول سرورش در میاد بقیش سوده

دوستان عزیز حتی اگه شده پول بدید یکی راه مقابله با لاکی پچر از طریق سرور رو بهتون آموزش بده اما به نظر بنده به کتابخونه هایی که داره تبلیغ میشه اعتماد نکنید.
شما از محتوای کتابخونه خبر ندارید، نمیدونید داره دقیقا چکار میکنه

[c0mmander]

بچه ها عجب سرعت عملی دارند
از سیستم شتاب هم سریعتر هستند.
http://securepayment.ir

پیاده سازی این api سخت نیست فقط کافیه یکم برنامه نویسی سمت سرور کار کنید
میتونید از parse هم استفاده کند که رایگان و پرقدرت هم هست

برای من دیروز اس ش اومد ...
کلا همه چیز ما به شیوه انگلیه ..
یکی یک کاری انجام میده همه چیزش رو رایگان مگذاره بعد از کلی توضیحات همون چیز رایگان , سر اخر یک فرد دیگه (وقتی جیگر فهم شد) بیاد همونو به خودشون بفروشه :|

[storm_saeed]

فقط میشه تاسف خورد به حال این مملکت :| همینه پیشرفت نمیکنیم :|

من نمیدونم چرا این تاپیک انقد طولانی شد دوستمون virus2009 راست میگن راه حل این کار خیلی ساده تر از این حرفاست . انقد این تاپیک ادامه پیدا کرد تا یکی اومد پرداخت امن رو راه اندازی کرد

[hamedjj]

اشتباه شد
پاک شود

[mnakhaeipoor]

اگه کد های مربوط به پردازش پرداخت رو با C++‎ بنویسیم بازم Lucky Patcher میتونه پچ کنه؟؟

[saeidpsl]

من بازی خروس جنگی رو هر کاری کردم هک شد بعد داخل سورسش نگاه کردم دیدم از این کتابخونه استفاده کرده

درباره و آموزش

http://tinyurl.com/o7lvzqv

git

https://github.com/IranApps/InAppBillingHelper

[Ebrahimkh]

دوستان سورس کاملی در این باب سراغ ندارید
که این تاپیک اینقد کش نیاره ؟؟!!

[hamedjj]

دوستان سورس کاملی در این باب سراغ ندارید
که این تاپیک اینقد کش نیاره ؟؟!!

این آموزش را ببینید :
http://answers.uncox.com/android/question/9631

این لینک هم برای پروژه محصولات مصرفی :
http://s6.picofile.com/file/81896269...srafi.rar.html

[ehsanh22]

کسی میتونه مشکل منو حل کنه ؟
https://barnamenevis.org/showthread.p...A9%D9%86%D9%85

[ehsanh22]

چرا هیچکس یه روش ساده نمیشه که همه بتونن استفاده کنن چرا همه دنبال پول هستن ای بابا

[Ebrahimkh]

با تشکر از تمامی دوستانی که تو این تاپیک شرکت کردن

ولی آخرش سورس یه برنامه در این باب تو این تاپیک به این خوبی گذاشته نشد


دوستان خواهشن یه نمونه سورس از پرداخت درون برنامه ای رو اگه ممکنه تو این تاپیک بزاردید من تا رفرش کد رو رفتم ولی یه بعضی جاهاش رو نتونستم همش null بر میگردونه

[c0mmander]

با تشکر از تمامی دوستانی که تو این تاپیک شرکت کردن

ولی آخرش سورس یه برنامه در این باب تو این تاپیک به این خوبی گذاشته نشد


دوستان خواهشن یه نمونه سورس از پرداخت درون برنامه ای رو اگه ممکنه تو این تاپیک بزاردید من تا رفرش کد رو رفتم ولی یه بعضی جاهاش رو نتونستم همش null بر میگردونه

https://barnamenevis.org/showthread.p...B2%D8%A7%D8%B1
:|

[dany323]

چطور عدد امضای برنامه خودمون رو پیدا کنیم؟

[Behrooz_CS]

دوستان یه کتابخانه هست که ضد پچ هست و امنیت را تضمین می کنه. با C++‎ هم پیاده کردن:

http://antipatcher.ir

[Abbas Naghdi]

با سلام .

ما با چنتا از بچه ها گروه برنامه نویسان تلگرام رو راه اندازی کردیم . خوشحال میشیم دوستان دوست داشتند بپپیوندند .

قوانین :

برسی برنامه نویسی موبایل

برسی و تبادل اطلاعات و بازار یابی

برسی برنامه نویسی سیستم عامل های موبایل

لینک گروه : https://telegram.me/joinchat/CATI0wNWc7bmUEv7xg1E5Q

[1371mamali]

دوستان این مشکل یک راه حل خیلی ساده دارد

اگر با یک دیباگر جواب برگشتی lucky pathcer رو بعد از خرید چک می کردید و اون رو با جواب برگشتی بازار مقایسه می کردید راه حل میومد جلوی چشماتون.

به لطف عدم وجود کیف پول برای مارکت های ایرانی ( مثل Google wallet ) مقدار orderId در مارکت های ایرانی وجود ندارد و به جای آن Token قرار گرفته است.
حالا شما خیلی راحت می تونید مقدار orderId و توکن رو با هم مقایسه کنید، اگر مساوی بودن جواب برگشتی از بازار اومده و خرید انجام شده، ولی اگر برابر نبودند یعنی جواب رو lucky patcher فرستاده. ( نحوه استفاده پیوست شد )

اگر نرم افزارتون رو منتشر کردید از روش استفاده کنید و یک آپدیت جدید بدید ولی اگر تازه می خواهید نرم افزارتون رو منتشر کنید پیشنهاد میشه حتما راه حل ایمن تری اجرا کنید.

بهترین روش اینه که شما از API ـه توسعه دهنده بازار استفاده کنید چون خرید هایی که تو بازار ثبت شده رو می تونید بررسی کنید. ( من از این روش فعلا استفاده نکردم ولی یکی از دوستان آموزشش رو گذاشته تو این تاپیک)

یک روش دیگه هم هست که میتونید کلا تابع verifyPurchase که تو کلاس IabHelper هست رو تو سرور خودتون اجرا کنید و public key رو که فقط برای این تابع استفاده میشه در نرم افزار نذارید و امضای بازار رو تو سرور بررسی کنید.

نحوه عملکردش هم فکر می کنم به این صورته که بازار همون Json برگشتی خرید رو میاد با public key انکود می کنه و میفرسته برای شما، تو تابع verifyPurchase این جواب انکود شده توسط public key دیکود میشه و با جواب برگشتی مقایسه میشه، اگه برابر بودن یعنی درسته، حالا شما باید این جواب انکود شده ( همون signature در جواب برگشتی بازار ) رو به سرور خودتون بفرستید و توسط public key خودتون دیکودش کنید و در جواب بفرستید برای نرم افزار تا با جواب برگشتی از بازار مقایسش کنه. ( تو خیلی از سایت های خارجی این روش کامل توضیح داده شده و کدهاش هست، سرچ بزنید میاد )

اگه میشه بیشتر راهنمایی کنید خیلی خلاصه هستش گفته هاتون

[1371mamali]

راه حل اینجاست اگه کسی میفهمه یه توضیح بده ببینیم باید چی کار کنیم درکل اما اینطور که پیداست بخش اول مربوط به امضا و کلید میشه و بخش دوم مربوط به نصب بودن لاکی پچر اگه کسی میفهمه توضیح بده اگه تو کد مشکلی دیدید
ببخشید :

بخش اول

Code to check your certificate
(public void checkSignature(final Context context
}
try
Signature[] signatures = context.getPackageManager().getPackageInfo(context.getPackageName(),PackageManager.GET_SIGNATURES).signatures
;


( < if(signatures[0].toCharsString()!=<YOUR CERTIFICATE STRING GOES HERE
}
Kill the process without warning. If someone changed the certificate//

is better not to give a hint about why the app stopped working//

;( ()android.os.Process.killProcess(android.os.Process.myPid

{
{
(catch(NameNotFoundException ex
}
Must never fail, so if it does, means someone played with the apk, so kill the process//
;(() android.os.Process.killProcess(android.os.Process.myPid
{

{


And how to find which one is your certificate, simple too. You must produce an APK, in release mode, as the debug certificate is different from the release one always. Output your certificate string to a temporary textview to copy it, or to a text file with the next call, IMPORTANT: DO NOT output it the logcat, as the string is too large and the logcat will not show it all and cut the last char characters

;()signatures[0].toCharsString

;(()example:YourTextView.setText(signatures[0].toCharsStringNow, remember that when you are back to debug mode, the certificate is different again, and might be different sometimes on each build, so you will get a debug


hell. Then it is better to use next line to have it easier when developing, and place it right before calling the certificate testing

(if((context.getApplicationContext().getApplicationInfo().flags &=ApplicationInfo.FLAG_DEBUGGABLE)!=0
}
; return
{


So avoid calling this certification code if in debug mode

بخش دوم تست لاکی پچر

And now the lucky patcher checker
This code will check its existence. I decompiled all versions of Lucky Patcher, and i've found out that its creator used 2 package names between all realeases. So you only need to keep track of new versions and keep adding future lucky patcher package names to the checking functions.
Also a recommendation, encrypt the package names strings instead of just harcoding them as in the example, so lucky patcher does not come out with a new version which just replaces the strings patching them. Lets make it difficult for crackers


()private boolean checkLuckyPatcher
}
(("if(packageExists("com.dimonvideo.luckypatcher
}
;return true
{

(( "if(packageExists("com.chelpus.lackypatch
}
; return true
{

(("if(packageExists("com.android.vending.billing.InAppBillingService.L UCK
}
; return true
{

;return false
{

(private boolean packageExists(finalString packageName
}
try
}
;( ApplicationInfo info =this.getPackageManager().getApplicationInfo(packageName,0

( if(info ==null
}
No need really to test for null, if the package does not//
exist it will really rise an exception. but in case Google//
changes the API in the future lets be safe and test it//
; return false
{

; return true
{
( catch(Exception ex
}
If we get here only means the Package does not exist//
{

; return false

{

منبع:

http://stackoverflow.com/questions/1...=votes#tab-top

[mhmf1369]

سلام دوستان بنده راهش رو پیدا کردم بدون نیاز به سرور
شما باید لاکی پچر رو گول بزنید به این صورت که قبل از خرید اصلی یک درخواست با SKU جعلی که توی پنل بازار تعریف نکردید بفرستید حالا اگر پرداخت موفقیت آمیز بود یعنی لاکی پچر نصب هست و داره کار می کنه و اگر نبود یعنی لاکی پچر نصب نیست به همین راحتی

[aydin321]

آره جواب داد. یعنی در برنامه ای که توسط لاکی پچ شده بود جواب داد. احتمالا در برنامه ای که پچ نشده دیگه حتما جواب بده. باز دوستان تست کنن

فقط جهت اطمینان باید در دستور if موارد بیشتری چک بشه، مثل Payload و INAPP_DATA_SIGNATURE و ...
یعنی قبل از دستور if باید یه همچین چیزی بنویسیم:

                     Purchase pu = inv.getPurchase(SKU_PREMIUM);

                     if (pu == null)

                         mypayload = "";

                     else

                         mypayload = pu.getDeveloperPayload();

بعد در دستور if چک کنیم که مقدار payload هم درست باشه.

یه نکته مهم دیگه؛ قبل از ورود به صفحه خریدتون، حتما چک کنید که کاربر در بازار لاگین کرده باشه -هر چند اگه چک نکنید، خود بازار چک می کنه- چون اگه این مساله چک نشه و کاربر در بازار لاگین نکرده باشه این کدی که دوستمون گذاشتن خطا میده
کدش رو هم به نظرم در یکی از پستها دوستان گذاشته بودن

با سلام بله درسته در این صورت با لاکی پچر پچ نمیشه و مشکلی نداره
;(Purchase pur = inventory.getPurchase(SKU_PREMIUM;((mIsPremium = (inventory.hasPurchase(SKU_PREMIUM) && pur.getDeveloperPayload().equals(paylod

[jef313]

از دوست عزیزمون mrzzrm تشکر میکنم، برای اینکه وجودش به من انگیزه داد
اول اینکه من اعتقاد دارم اگر کسی تونسته کاری رو بکنه پس منم میتونم
دوم اینکه سطح فرهنگ ایشون انگیزه داد تا برای بقیه راه رو هموار تر کنم و یک توضیح کوچیک بدم

دوستان استفاده از API بازار به هیچ عنوان سخت نیست، شاید یکم پیچیدگی داشته باشه ولی سخت نیست
من اطلاعاتم از وب و PHP به شدت کمه و اکثر اطلاعاتم رو از آموزش خوب دوست عزیزمون harani گرفتم ( لینک آموزش )

برای اینکه از API بازار بتونید استفاده کنید نیاز به دانش حداقلی از سرور و PHP و متدهای GET و POST و همچنین JSON توی وب سرویس دارید
توی اندروید هم که AsyncTask رو بدونین و نحوه ارتباط با وب سرویس
همین آموزش رو بخونید این اطلاعات رو به دست میارید ( البته باید یکمم سرچ و جستجو بکنید )

به شخصه کار من با یک هاست رایگان و یک فایل php که کلا فکر کنم 20 خط داره درست شد

مستندات بازار خیلی گنگ و خلاصه توضیح داده اما میشه پیاده سازیش کرد

مستندات بازار رو تا جایی که refresh_code بگیرید به صورت دستی ادامه بدید، از اینجا به بعدش رو با سرور گزارش بگیرید
( لینک مستندات )

متاسفانه چون اطلاعاتم از وب کمه نمیتونم خوب توضیح بدم یا آموزش کامل و جامعی برای همه بذارم، اما این کد PHP منه که باهاش از بازار گزارش خرید رو میگیرم

<?php



if(empty($_REQUEST['package']) || empty($_REQUEST['product']) || empty($_REQUEST['tokenid'])){

echo "error";

return;

}



$package = $_REQUEST['package'];

$product = $_REQUEST['product'];

$tokenid = $_REQUEST['tokenid'];



$refcode = 'کدی که از بازار گرفتین - رفرش کد';



$url = 'http://pardakht.cafebazaar.ir/auth/token/';

$data = array('grant_type' => 'refresh_token', 'client_id' => 'آیدی کلاینت', 'client_secret' => 'رمز کلاینت', 'refresh_token' => $refcode);



# Create a connection

$ch = curl_init($url);



# Form data string

$postString = http_build_query($data, '', '&');



# Setting our options

curl_setopt($ch, CURLOPT_POST, 1);

curl_setopt($ch, CURLOPT_POSTFIELDS, $postString);

curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);



# Get the response

$response = curl_exec($ch);



$jsonResponse = json_decode($response, true);



$access_token = $jsonResponse['access_token'];



$result = file_get_contents("https://pardakht.cafebazaar.ir/api/validate/$package/inapp/$product/purchases/$tokenid/?access_token=$access_token");



echo $result;



curl_close($ch);





?>

به این فایل سه تا پارامتر باید بفرستید، یکی اسم پکیج، یکی آیدی محصول و دیگری توکنی که بعد از خرید به برنامه داده میشه همون purchase.getOrderId

داخل فایل باید refresh code رو که از بازار به صورت دستی گرفتید بذارید
آیدی کلاینت و رمزش رو هم وارد کنید

در جواب به شما یک رشته JSON داده میشه، اگر خالی بود یعنی پرداخت درست نیست، اگر که شامل استاتوس و سایر مشخصات خرید بود یعنی درسته

پاسخ درست به شکل زیره
{"consumptionState": 1, "purchaseState": 0, "kind": "androidpublisher#inappPurchase", "developerPayload": "hojjat", "purchaseTime": 1424267267085}

پاسخ غلط هم فقط {} فرستاده میشه

در صورتی که access code اشتباه باشه هم ارور 404 میگیرید

دوستمون به جای اینکه بیان از سرور استفاده کنن، دقیقا همین کد PHP رو توی اندروید نوشتن
ولی خب امنیتش زیاد تضمینی نیست، چون شما باید همه اطلاعات رو قرار بدید توی برنامه

دوست داشتم میتونستم کاملتر توضیح بدم، اما دانشم در این حد نیست متاسفانه

تشکر میکنم از شما

ولی یک سوال دارم برای دریافت توکن خرید یا اعتبار خرید کاربر که برنامه را به صورت خرید فروشی دریافت کرده است یعنی قبل از دانلود برنامه پرداخت را انجام داده چگونه باید عمل کنیم ایا کسی راهی میشناسه

دارم یه اپ سفارشی مینویسم که حتما بایستی به صورت فروشی در اختیار کاربر قرار بگیره