http://www.s-a-ve.com/ -> FAQ -> ganz unten: AntiCracking Tipps.

hier nochmal nen link zu nem thread der hier schonmal gelaufen ist: http://www.delphipraxis.net/internal...ect.php?t=8142

ganz interessant, behandelt in etwa das gleiche thema, nur geht es hier (fast) nur ums cracken. Dort (und auf den dortigen links) finden sich anleitungen und tools mit denen man etwas weiter in dieses Gebiet blicken kann. Sind zwar sieben seiten, aber ich finde es hat sich gelohnt diesen thread nochmals auszugraben ...

Eine interessante Methode sind beispielsweise Fibers unter NT. Auch sollte es mit einem Fork() teilweise möglich sein zumindest Debugger auszutricksen. Hagen hat auch schon sehr schöne Beispiele angeboten, in denen der Hauptteil mit einer bekannten und sicheren Verschlüsselungsmethode verschlüsselt wurde und nur der richtige Key die Ausführung ermöglichte! Da der entsprechende Algo, wenn er gut getestet wurde (sicher nicht von dir oder mir sondern von Mathematikern!), sicher ist, ist es auch die EXE. Einen EXE-Dump nach Eingabe des korrekten Schlüssels verhindert es nicht. Ist also die Schlüssellänge kurz genug, bleibt noch immer Brute-Force.

Dongles sind auch eine Möglichkeit, IMO aber die unsicherste. Habe kurz vor Weihnachten sowas am Wickel gehabt (Crypto-Box® Versa (CBV)). Da die Programme im Usermode laufen gibt es immer eine Schnittstelle zwischen Dongletreiber (Kernelmode) und Programm (Usermode) und das ist meist eine DLL. Ersetzt man diese, ist der Dongle überflüssig ... noch einfacher und nichtmal illegal (weil man ja nichts verändert) ist das Kopieren der Trojaner-DLL in das Programmverzeichnis, da der PE-Loader zuerst im Programmverzeichnis und dann im Suchpfad nach den DLLs sucht. Man behilft sich also mit einem bekannten Window-Mechanismus. Ausserdem ist das Programm ja gekauft, es ging nur darum das lästige Dongle-Hinundherschleppen zu vermeiden (und die Dinger brennen gern mal durch, der Softwarehersteller bietet einem dann meist kulanterweise an eine neue Lizenz zu erwerben )

@c113plpbr: Der Thread ist langweilig und sinnlos (bis auf Hagens sehr schöne Ausführungen).

Verwechsele bitte nicht einen Softwareschutz mit Verschlüsselungen. Man kann sehr wohl absolut sichere Systeme konstruieren. Meine Aussage war: ein Softwareschutz der auf reiner Software basiert KANN NICHT sicher sein.

D.h. aber NICHT das z.B. eine von mir verschlüsselte Datei unsicher vor dem entschlüsseln durch einen Hacker ist auch wenn er die Sourcen meiner Verschlüsselungs-Software besitzt. Der Unterschied ist nämlich das das benutzte Passwort zur Verschlüsslung in einem Kopf gespeichert ist. Sozusagen ist das wichtige Geheimniss zur Entschlüssung in einer einbruchsicheren Hardware gespeichert.

Als Softwareschutzt taugt dieser Weg aber nichts. Denn das benutzte Passwort zum Schutz der Software MUSS durch die Software selber zugreifbar sein. Es müsste im Falle eines Softwareschutzes irgendwo gespeichert werden, an einer Stelle wo der Hacker auch Zugriff hat. Somit macht die Grund-Thematik eines Softwareschutzes die Anwendung von sicherer Kryptgraphie sinnlos/überflüssig. Es sei denn man baut diese Kryptographie in Zusammenhang mit einbruchsicherer Hardware ein.

Es gibt nun verschiedene Ansätze für einen Softwareschutz:

1.) die Benutzer-Einstellung zum Produkt und Firma wird geändert. D.h. der Support, Preis und Vertriebsweg der Software wird durch den Hersteller so abgeändert das der Benutzer KEIN Interesse daran hat die Software zu knacken. Z.b. OpenSource + Internet + 0 Euro Preis.

2.) die Softwareindustrie nimmt Einfluß auf die Politik und schafft Gesetze die das Hacken ansich verbieten. D.h. der totale Überwachungsstaat damit die Softwareindustrie auch überprüfen kann ob geknackt wird. Patente, der National Security Act der USA, DRM = Digital Rights Management, Regional Codes der DVD, Trustcenter usw. usw. sind solche Maßnahmen.

3.) Man benutzt zusätzliche Techniken und bringt einbruchsichere Hardware ins Spiel. Bei diesem Weg ist es aber WICHTIG das zu keinem einzigsten Zeitpunkt die Software vollständig entschlüsselt bzw. ungesichert ist. D.h. wenn man solche Hardwaresysteme zum Schutz benutzen will so muß diese zu jedem Zeitpunkt des Softwarevertriebes, Speicherung und auch während der Anwendungsphase mit dieser Hardware verbunden sein. Somit MUSS möglichst jede Information erstmal digital vorliegen (globale Digitalisierung der Informationen), die Vertiebskanäle und die Speicherung der Daten muß zu jedem Zeitpunkt verschlüsselt werden und immer auf Hardware erfolgen die einbruchsicher ist. Der Fritz-Chip innerhalb der CPU von PC's + das CPRM=Contens Protection Management innerhalb von Speicherkarten wie SD-/xD Cards oder IDE Festplatten + der MedialPlayer 9 mit der Einweg-Dekodierung von WMV Dateien (d.h. die Windows-Software ermöglicht KEINELEI Umkodieren von WMV Dateien) + die Schaffung von komerziellen Trustentern zur Verwaltung der nötigen Schlüssel=Identitäten sind solche Lösungen. NUR alle zusammen + entsprechhende Gesetze lösen das Problem. Dadurch wird Information=Wissen unfrei und kontrollierbar.

Die Maßnahmen 2. und 3. kann man als derzeitigem Trend in der Welt beobachten. Denn den Einfluß und die finanzielle Macht der großen Konzerne ermöglicht diesen exakt diese Wege.
Der Weg 1.) sprich der Trend zu OpenSource ist der derzeitige Anti-Weg zu 2) und 3) der freiheitsliebenden Menschen, entscheide dich.

4.) der Wettlauf mit dem Hacker ! Hier versucht der Programmerer mit allen Tricks zu verhindern das ein Hacker/Cracker die Software analysieren kann. Z.b. Anti-Disassembling um durch passives Disassembling den Hacker in die Irre zu leiten. Dabei nutzt der Programmierer sehr häufig Schwachstellen der durch die Cracker benutzten Disassembler aus. Das fatale daran !? Beginnt der Cracker zu cracken und schafft es auch, so knackt er NICHT nur die Software, sondern lernt nebenbei auch noch die Tricks des Programmieres. Bei der nächsten Software MUSS der Programmierer sich also absolut neue Maßnahmen einfallen lassen.
Desweiteren werden häufig "polymorphe" Systeme verwendet. D.h. selbst-entpackender und verschlüsselter Programcode. Die Software verändert sich durch die Registration, sie ist polymorph. Hier in der DP gab es mal ein Thread der sich damit befasste. Mein Program das auf Verschlüsseltem-Programcode basierte der durch einen Polymorphen-Verschlüsselungsalgo beruht (sprich der Ver/entschlüsselungscode compiliert sich selber auf Grund des Registrationskey) wurde bis heute nicht geknackt. Aber! nur weil ICH der einzigste BIN der bis heute den richtigen Registrationscode in meinem KOPF gespeichert hat. Dies widerspricht aber der Softwaredistribution. Denn irgendwann muß ich dem Benutzter seinen RegCode senden. Dieser Benutzer kann aber nun die Software sich vollständig von selbst entschlüsseln lassen. IST der Benutzer ein Cracker so kann er damit also eine ungeschützte Softwarekopie herstellen. D.h. der reine Softwarebasierte Schutz einer Software WIDERSPRICHT immer der logischen Argumentation der heutigen Kryptographischen Systeme.

Softwareschutz ist also gleichbedeutent mit Profitsicherung und Profitsicherung wird durch Politische Maßnahmen für entsprechende Gesetze zum Schutz des Privateigentumes erfolgen. Damit könnte man übertrieben behaupten das ein Cracker/Hacker immer gegen das heutige bestehende Gesellschaftliche System verstößt.

Dir als Programmierer wird entweder der 1. oder 4. Weg übrigbleiben. Im 4. Weg verlierst du mit 99%'tiger Wahrscheinlchkeit immer gegen die Cracker/Hacker. Im 1. Weg schaffst du dir dagegen 99% der Menschheit zum Freund

Softareschutz, Kryptographie usw. sind also UNSERE Berührungspunkte als Programmierer mit der Welt der Politik.

Gruß Hagen

Da musst du entschuldigen, aber für mich war (bis nach diesem Beitrag) der Unterschied immer relativ klein Ich bin halt kein Profi wie du

Ich muss vielleicht noch erklähren, wie ich darauf gekommen bin: Ich wollte demnächst ein Prog schreiben, indem man einzelne Einträge verschlüsseln können soll. Und als ich das jetzt gelesen hab, hab ich mir schon überlegt, diese Funktion nicht einfach wegzulassen. Aber jetzt bin ich ja wieder ein bisschen schlauer.

Man liest sich, Stanlay

Ok, die Frage ist wieviel Prozent der Menschen du daran hindern willst das die Software geknackt ist.
Echte Profis wirst du durch einen reinen Softwarebasierten Schutz nicht aufhalten können. Allerdings, gerade echte Profis wählen die Software die sie knacken wollen sehr penibel aus. D.h. deine Software muß sich schon lohnen zu knacken, sie müsste also was ganz einmaliges können und zudem noch schweine teuer sein. Es gibt auch bei Crackern/Hackern sowas wie eine natürliche Fairness. Preiswerte Shareware für jederman die gut gecodet ist wird meistens verschont, denn davon gibts viel zu viele. Viel eher sind Programme der großen Konzzerne betroffen.

Somit kannst auch du mit deiner Shareware noch deinen Lebensunterhalt verdienen. Das wichtige an deinem Konzept muß es sein, das du zusätzlich zu deiner guten und preiswerten Software einen guten Support bietest. Am besten ist es die eigentliche Software nur als Mittel zum Zweck zu betrachten. D.h. von dir angebotene und käufliche Information werden durch deine Software erst erlebbar. Der Anwender zahlt also NICHT für die Software sondern für die Informationen. Ein gutes Beispiel für diese Wirkungsweise war der Internet Explorer von Microsoft. Um das Windows-OS attracktiv zu machen wurde der IE als kostenlose Zusatzsoftware angeboten. Da dies aber in auslegbarer Weise als unlauterer Wettbewerb angesehen wurde, hat MS schlußendlich den IE als integralen Bestandteil in das Windows-OS integriert. Heute surfen ca. 90% aller Menschen mit dem IE !!

Willst du aber Kryptographie in deine Software einbauen um die sensiblen Daten der Anwedner zu schützen dann gibt es sehr wohl sichere Verfahren. Denn nur IST es im Interesse des Benutzers seine Passwörter gut zu wählen und an für ihn sicheren Stellen zu speichern (Kopf).

Gruß Hagen

Also zu cracken geht dein Prog in 5 Minuten (siehe c113plpbr).

Und dein Passwort lautet: "Leerzeichen"5geht Nicht - gibts Nicht....

Es gibt nen supi disassembler der läuft die ganze zeit im Hintergrund. Und wenn man ne bestimmte tastenkombination drückt sieht man an welcher stelle der grad im programm is und erstpart sich somit das suchen nach der passwortabfrage. Einfach wenn die dumme passwortabfrage kommt tastenkombination drücken und schwubs - stelle die zu ändern ist gefunden

Sorry, da haste aber ein Programm geknackt das garnicht von mir ist
Nein, das ist NICHT das Passwort meines Programmes ! Ich würde NIEMALS ein solches Passwort verwenden. Mein letztes Program nutzt einen 512 Bit Zufallsschlüssel, er representiert also keine Wörter, Sätze sondern reine binäre Bits.

Ich rate dir aber nicht Zeit zu verschwenden. Mein Program kann nicht geknackt werden, zumindestens nicht mit der heutigen Technik, Wissen und Zeitaufwand.

Gruß Hagen

@Mikko:
Es hat nichtmal fünf minuten gedauert ... egal, für das passwort war ich zu faul ... wie hast du das eigentlich rausgekriegt?

@negaH:
Ich glaube 'SirThornberry' meinte nicht dein Programm, sondern das von eddy das ich gecrackt habe ... deines ist relativ sicher, zumindest vor anfängern wie mir ...

Ich hab do noch ne schutzidee: Psychotricks ... ob das funktioniert???