Защита от тиражирования программ

Мне надо защитить один коммерческий программный продукт от несанкционированного тиражирования.



Насколько я понимаю, самый простой путь - привязка к CD. Прочитал статью "Антиконтрацептивы для CD" в "Хакере" 05/04. После ее прочтения мне стало невесело: основная ее мысль в том, что все существующие защиты давно поломаны, и, если нельзя скопировать защищенный диск, то сэмулировать-то запросто. В статье приводится список защит, которые уже просто не актуальны: Cactus Shield, cd-cops, laser-lock, LibCrypt, SafeDisk 1/2, SecoROM, Star-Force 1/2. И это только public список. Я подозреваю, что на самом деле дело обстоит еще хуже.



Насколько я понял, привязка к CD обходится даже любителями, знай себе, нажимай на кнопки в эмуляторе и все. И даже если Star-Force 3 (я так понял, это самая эффективная защита CD на сегодняшний день?) сейчас не поддерживается эмуляторами, то через месяц-другой будет.



Хотя мой продукт предназначен для одной организации и его не будут изучать профессионалы крякеры (т.к. он нужен не всей России, как, например, 1С), но, тем не менее, хотелось бы создать более или менее надежную защиту (от заинтересованных лиц в этой организации, а такие найдутся).



Возможно ли все-таки обеспечить должную защиту путем привязки к CD? Может, все-таки есть методы, которые не под силу взломщикам?





Это первая часть вопроса. Теперь вторая: если все же надежная привязка к CD невозможна (или вы убедите меня в обратном?), то как организовать хорошую защиту программ от несанкционированного тиражирования?



Я вижу единственный способ: аппаратные ключи защиты. Что вы на это скажете? Насколько они надежны и оправдывают ли они себя? Какие нюансы есть в защите аппаратными ключами? Или они так же спокойно обходятся, как привязка к CD?





И, наконец, заключительная часть: какие книги посоветуете по данным двум проблемам (диски и ключи) и самой защите от копирования? Какие сайты стоит посетить, какие публикации почитать? Я пока читал только Склярова, "Искусство защиты и взлома информации".



Буду ОЧЕНЬ благодарен за помощь.

 

Dmitri

1) Star-Force 3 уже полгода, если не больше ломают.

2) Для твоего случая , если есть "плохие ребята", то имея доступ к ключу или СиДи они могут изготовить эмулятор.

Эмулятор ключа наверное тяжелее сделать, т.к. СиДи можно физически прочесть, а в ключе может быть заложена "непрощупываемая логика". И ,в любом случае, при покупке защиты, ты получишь только SDK и качество защиты будет зависеть от тебя.

 

Буду ОЧЕНЬ благодарен за помощь



Такой валюты нет.



А вообще - брал бы ты StarForce. Донглы - штука хорошая. Над некоторыми из них профи еще думают (любопытные дискуссии ведутся...). Так что выбор твой пусть заключается или в донгле, или в старфорсе.

 

А если еще лучше подумать, то я бы не стал использовать ни то, ни другое. Реализуйте схему защиты сами. С привлечением профессионалов в области криптографии. Таких профи я знаю не одного и даже не двух. Если грамотно составить протокол, использовать хорошие алгоритмы - то ломать будут долго и нудно.

 

... не уверен ,но кажется полная копия диска (вместе с Star Force 3) делается программой Clony XXL (http://pc-special.de), или последней версией Alchogol...

 

volodya

В этом случае привязать можно только к железу и ОС.

Такая защита обходится относительно проще, хотя вариант любопытный. При хорошей постановке может оказаться не хуже. Но у него есть большое но : при смене железа и перестановке ОС нужна "перепривязка". Безопасный способ только один - ехать самому лично со спец программой.

В противном случае "привязка" выдирается для тиража.

 

В этом случае привязать можно только к железу и ОС.



Скажи, ИДУ кто-нибудь к железу привязывал? А много ли ты видел варезных IDA 4.6? А? Я тебе отвечу - НИ ОДНОЙ. Для публичного использования - НИ ОДНОЙ. А почему? Не думал?

 

ИМХО, в случае с IDA это больше организационные меры, подкрепленные парой "показательных" идентификаций варезных копий...

 

Ключевая фраза: идентификаций варезных копий

Водяные знаки! Автор, раздавший свое добро, будет быстро опознан. И лишится всех благ. Вот и все! Грамотный протокол! Грамотный!

 

Мужики, а что это за волшебная защита в Иде? Как она реализована (в смысле что за принцип)?

 

RSA подпись key файла. Проблема не в защите как таковой а в водяных знаках.

 

Foamplast

Исследование IDA 4.01. Схема защиты с "водяными знаками"

 

Вот давно сидит в голове такая система, может не новая но кумекал сам и очень давно, ставится в USB или COM разъем микроконтроллер (н-р PIC) в нем зашиты куски кода исполняемой программы (много кусков). Естественно без ключика ничего работать не будет. Но данные в МК надо защитить криптографическим преобразованием, н-р серийный номер - ключ. Может так работает HASP - не разбирался...

Недостаток - дороговато.

 

Давайте растечемся мыслью по древу и уточним постановку задачи.

Во-первых, есть ли желание и время заниматься "своей" защитой или требуется с минимальными затратами что-то "навесить". Поскольку речь идет о дисках и ключах, то автор вопроса склоняется ко второму и дальнейшие размышления может пропустить.

С другой стороны, если продукт "не будут изучать профессионалы крякеры (т.к. он нужен не всей России..)", то кто будет ? Пионэры-любители из хельхейма ? От их любознательности вполне может сгодиться простенькая, но грамотная защита, которую нельзя обойти одним bpx-ом и заменой je.

Далее, если "продукт предназначен для одной организации", которая к тому же раполагается "в соседнем подъезде", а автор солидный джентльмен и не собирается "с бабками рвать за бугор", то правомерно говорить о сопровождении продукта. Тогда отпадают вопросы с его установкой и переустановкой при смене железа или оси, а также и "опознание автора, раздавшего свое добро". При определенных условиях можно доверить и саму программу установки - часто в подобных организациях работают одни "девочки", которых научили нажимать на определенные кнопки, а установками и настройками заведует спец, вызывающий доверие.

Ну и, возвращаясь к ценности продукта, неплохо бы отбросив самомненье трезво оценить, а кому он еще (не удержусь, скажу "нафиг") может быть нужен. Посмотрите электронные приложения к компьютерным журналам или соответствующие сайты - чего там только нет, крыша съедет отделять зерна от плевел. Если программа стоящая и попадет в другую солидную организацию, то это рано или поздно вскроется и можно заявить свои претензии. А если утащат несколько копий для "домашнего" использования - то и фиг с ним. Вопрос-то, наверное, в соотношении затрат и размере упущенной выгоды.



PS: сам сталкивался с аналогичной "проблемой", пока не понял что игра не стоит свечь. Хотя элементарную защиту от хельхейма к привязкой к железу все-таки поставил. Но это скорее защита от прямого копирования, чем от взлома.

 

Asterix

Прочёл я статью. Только там всё в стиле: заменим байт, получим... А нет обзора какого-нибудь? В статье вроде всё ясно, а мозаика никак не сложится в понятный узор. То есть я не полностью понимаю схему защиты.

 

Foamplast

> А нет обзора какого-нибудь? В статье вроде всё ясно, а мозаика никак не сложится в понятный узор. То есть я не полностью понимаю схему защиты.



Другой статьи я не встречал.

А от внутренностей Ида мне хочется блевануть на клаву,

ибо для Borland C++ код вида

Код (Text):

1. test eax,eax
2. jnz @label
3. xor eax,eax
4. ...

видимо считается нормальным явлением.

 

Мне вот интересно, почему никто ещё не додумался скинуться по рублику($1)

 

Asterix



Идея давольно заманчивая )

Вопрос только, КТО согласиться, деньги в принципе то маленькие.

 

Asterix давай мыл и собирай народ

 

А что, ее можно будет "тиражировать".

Там же кроме водяных знаков еще ключевой файл есть ?

Да и за такие действия не только поддержки лишат, но и засудят. Налицо "преступные действия ,совершенные группой лиц по предварительному сговору". Это братцы бандитизм называется