Die einfachste Methode ein Wasserzeichen in eine beliebige Stelle zu setzen ist ein Marker wie im Eingangsthread geschrieben wurde. Ein Tool zum Patchen braucht nur die Binärdatei nach dem Marker zu suchen und in diesen den Code zu schreiben.
Mein Ansatz ist sicherlich nicht unmöglich auseinanderzunehmen, darum geht es mir auch nicht. Aus Erfahrung weiß ich, dass je länger ein Kopierschutz halbwegs sicher ist, desto länger halten sich auch die Käuferzahlen. Selbst wenn es nur 3 Wochen nach einem Release dauert, sind dass immerhin 3 Wochen mehr in denen Kunden die Software kaufen. Ich schreib jetzt nicht um welches Produkt es sich handelt, aber es ist recht beliebt und weltweit im Einsatz. Aufgrund der notwendigen Rückmeldungen (es braucht halt Internet zum vollständigen funktionieren) sehe ich wo die meisten Nutzer herkommen. Vor ein paar Jahren gab es viele Raubkopien im ehemaligen Ostblock und nun sind die meisten IP's aus dem nahen Osten (Iran, Syrien, Ägypten) bzw. leider auch aus Deutschland.

Peter

wir benutzen übrigens auch themida von oreans in IBExpert, und ja, man hat dann
durchaus das ein oder andere Antivirenprogramm gegen sich, aber das waren meistens
AV Programme, von denen ich manchmal noch nie etwas gehört hatte. Wir nutzen
üblicherweise www.virustotal.com zu testen.

Umgekehrt kann man diese Vorgehensweise gegenüber den Kunden auch als Vorteil
verkaufen, weil eine mit themida geschützte Software, bei denen das Kompilat
rauf und runter gegen Viren geprüft wurde, kann auch auf dem Weg zum Kunden
nicht mehr verseucht werden. So manche zweifelhafte Downloadadresse im Internet
ist nur dafür da, etablierte Software mit unerwünschten Schadprogrammen zu
verbreiten.

Wir bekommen regelmäßig Anfragen von irgendwelchen zweifelhaften Downloadportalen,
die unser Produkt natürlich ungefragt mit 5 Sternen bewerten wollen, wenn wir
denn den Download über deren Portal zulassen. Ich hab mir da durchaus mal
Beispiele angesehen und festgestellt, das dort ein Setup einer Software, die
ich auch von der Hersteller Homepage bekommen konnte, immerhin ein paar MB größer
war als die Version vom Hersteller. Was auch immer die da als Wrapper drumherum
bauen weiß ich nicht, interessiert mich auch nicht, aber für die paar MB braucht
ein potentieller Kunde keine dubiosen Downloadmanager.

Unsere EXE Dateien und DLLs verlassen unsere Server aber nur so wie wir das
wollen und die sollen auch immer so bleiben, wie wir die freigeben. Und da
hat Themida eine gute Lösung, weil du egal welches Byte in der EXE veränderst
damit die EXE nicht mehr lauffähig machst.

Die AV Programmhersteller stecken nun mal in einem Dilemma, weil es auf
Betriebssytemebene ein einfaches sein könnte, Verfahren für Softwarehersteller
zu erfinden, mit denen sich binär veränderte Dateien erkennen lassen könnten.

Gibt es aber bei windoofs nicht, jedenfalls nichts relevantes. Wenn sich nun
ein System wie Themida im Markt etabliert, dann ist die Notwendigkeit für
Antivirenprogramme kaum noch gegeben. Was liegt also näher als so eine Software
zu verteufeln?

Im Anhang hab ich noch mal die Präsentation von meiner Ekon Session zu diesem
Thema angehängt, einige hier kannten die ja schon durch persönliche
Anwesenheit

Ich versteh deine Logik dahinter nicht:

"Wenn sich nunein System wie Themida im Markt etabliert, dann ist die Notwendigkeit für
Antivirenprogramme kaum noch gegeben."

Du weißt schon, dass teilweise mit Themida selbst Viren/Trojaner etc. geschützt werden.
D.h. aus einem von AVs erkannten Virus kannst du X-Themida Virus Versionen machen die ggf. alle nicht erkannt werden. Ist doch logisch, dass man am einfachsten dann generell als AV-Hersteller einfach Themida-geschützte Dateien als Virus erkennt und sich nicht z.B. wie UPX/ZIP/RAR den Aufwand macht einen Entpacker zu schreiben.
Es ging früher z.B. oft genug, dass man nen Virus genommen hat, den einfach mit unterschiedlichen Stufen von UPX gepackt hat und der wurde nicht mehr erkannt.

Wenn aus einem Programm X eine eindeutige Themida Version Y erstellt werden würde, dann könnte man leicht dafür eine Signatur schreiben. Aber leider kann man zu viele Einstellungen vornehmen in Themida vornehmen...

Und wenns nur darum geht, dass bei einer kleinen Änderung die Exe nicht mehr laufen soll, dann schreibst dir selbst ne Checksum-Routine. Sorry aber das kann man bei Themida auch umgehen, dort schützt eher das Obfuscaten der Funktionen.

Aha? Noch nicht geguckt, oder nicht tief genug geguckt?

Den müßtest du aber nochmal erklären. Interessiert mich insbesondere weil Themida ja scheinbar meinen Job gefährdet

Wenn du jetzt mit TPM und Signaturen ala AuthentiCode kämst, würde ich ja noch mitgehen. Aber auch da gibt es Probleme. Wird der Kreis der vertrauenswürdigen Personen zu groß, kann deren Überprüfung nicht mehr so gründlich ablaufen oder wird entsprechend teuer.

Genaugenommen wird es dann als verdächtig angezeigt. Virus oder Trojaner könnte man ja nur mit entsprechender tieferer Analyse sagen. Da aber gerade Themida besonders häufig von Malware-Autoren benutzt wurde/wird, hat man sich stillschweigend darauf geeinigt eine mit Themida bearbeitete Datei als verdächtig einzustufen.

Und noch kurz zum Vortrag: Dongles können sicher sein, aber die meisten Entwickler meinen, daß sie nur das SDK reinlinken brauchen und dann ihre Software automagisch geschützt ist. Leider liegen sie da falsch ...
Ansonsten ist es doch i.O. wenn ihr damit zufrieden seid und mit den "Nebenwirkungen" leben könnt.

Thema digitale Signaturen kenn ich durchaus, unsere Software ist digital signiert, aber was hindert den Hacker daran, die Routinen, in denen wir die Gültigkeit der Signatur prüfen, lahm zu legen? Eine Windows API Call wie WinVerifyTrust in einer Exe zu finden und die Strukturen des Codes drumherum zu analaysieren stelle ich mich als das einfachste vor!

Ob dein Job im Antivirumfeld durch Themida gefährdet ist wage ich auch zu beweifeln, aber wenn insbesondere Microsoft oder vielleicht sogar Hardwarehersteller wie Intel/AMD sich auf Standards einigen würden, die sich nicht mal eben durch simples bytepatching umgehen lassen, zum Beispiel Signaturprüfung auf Hardwarebasis, dann wäre es für Softwarehersteller einfacher, gewisse Verfahren zu etablieren, die das cracken sicherlich auch nicht unmöglich machen, aber doch deutlich erschweren. Ist aber vielleicht auch zu theoretisch, was ich mir da vorstelle, da bist du sicherlich wesentlich tiefer drin. Ich für meinen Teil möchte mich aber mit deinem Spezialwissen gar nicht messen, sondern habe halt in themida eine für uns ganz brauchbare Lösung gefunden, die scheinbar nicht jeder mit vertretbarem Aufwand umgehen kann und das reicht mir als Anforderung.

passender hätte ich das auch nicht zusammenfassen können

Kann man auch "verstecken" den Aufruf. Aber wenn ich es umgehen müßte, würde ich es ohnehin nicht in der EXE selber machen sondern über einen Loader oder ähnliches.

Ansonsten:
Hacker != Cracker


Ein gesundes und frohes Jahr 2011 wünsche ich.

Ich finde die angetretene Diskussion ja schon nett, aber persönlich sind mir die getesteten Sicherheitstools ein Graus. Halt Kommerz für die breite Masse und somit anfällig für Hacks. Sprich einmal eine Anwendung die so ein Paket nutzt gehackt und schon sind dutzende andere kompromitiert. In den letzten Tagen habe ich mir mal etliche Ansätze im Internet angeguckt und dabei ist mir eines aufgefallen: Es wird an allen Ecken nur mit ganz lauwarmen Wasser gekocht. Sprich: fast jeder Ansatz ist ein feister Clone, eines schon bestehendem.

Ein netter Trick ist zum Beispiel den Programmstart ab $40000 zu überschreiben und somit einem Procdump zu erschweren.