[Alg] Geschreven programma's in DEMO-vorm

In C/C++ denk ik dat heel veel mensen het oplossen met #ifdef-dingen. bijvoorbeeld:



Moet je wel recompilen, en activeren dmv serieel nummer (dus van demoversie naar full versie) is dan niet mogelijk. Je kunt natuurlijk ook bij runtime met een if(demo_version) checken Net wat je het fijnst vind

Gewoon, een registratie inbakken zoals misterdata al zei, maar dan dynamisch.
Dus dat je wel met serials kan werken
Persoonlijk vind ik dit soort dingen altijd erg leuk om te maken. Zo veilig en flexibel mogelijk maken van je registratie procedure. Altijd lache
Heb al eens met internet gewerkt, hardwarematige registratie, autmatische registratie, benodigde bestanden, speciale cd's, diskette's met speciale sectoren, etcetc.. je kunt het zo gek niet bedenken.

[ Voor 28% gewijzigd door Nibble op 11-11-2003 21:52 ]

pkouwer schreef op 11 november 2003 @ 21:41:
Hoe kun je het eenvoudigst programmeren zodat er een demo-versie beschikbaar is en met een simpele ingreep, of zelf helemaal geen, dat dezelfde software een full-version is/wordt.

Wat wil je doen? Eerst een demo-versie verspreiden met gelimiteerde mogelijkheden die je kan opwaarderen, of een ongelimiteerde versie die na verloop van tijd gelimiteerd wordt, en die natuurlijk ook weer opgewaardeerd kan worden?

Om de verloop van tijd te kunnen uitrekenen kan je een nep-dll met daarin de installatie datum in de Windows map aanmaken. Zo kan je ook constateren dat je programma al eens is geinstalleerd geweest.

De moeilijkheid zit in de methode hoe je een demo-versie een full-versie kan maken. Deze methode moet wel redelijk tamper-proof zijn, alhoewel je er niet al te veel tijd aan moet besteden. De beste manier om cracked versies van je programma tegen te gaan is nog steeds om om de zoveel tijd zelf met een nieuwe versie/update uit te komen zodat oude versies achterhaald zijn.

In de nep-dll kan je ook nog een binaire string stoppen, zeg 160bits. Deze string is gebonden aan de versie van je programma (bv voor MijnProg v6, en v7 heeft weer een andere string).

Nu kan je, waneer mensen jou programma kopen, vragen voor hun naam en e-mail adres. Deze hash je dan. En het resultaat XOR je dan met de binaire string. Je koper krijgt dus 'zijn' serial, wat het resultaat is van deze XOR.

Jou programma doet min of meer hetzelfde - het hashed de naam en e-mail adres, XOR dat met 'zijn' serial en vergelijkt het resultaat met de binaire string in de nep-dll. Als dit klopt is het een full-version.

Nadeel van deze methode is dat het vrij makkelijk te kraken is - de manier van generen van de hash en het vergelijken met de binaire string zit allemaal in je programma en kan er uit gevist worden en veranderd. Een crack/patch is dan vrij makkelijk, alsook een serial generator.

Tisch. Allemaal zonde van je tijd, het wordt toch wel gekraakt, op een gegeven moment besteed me tijd in het beschermen van je app tegen cracks e.d. dan dat je aan het programma zelf werkt, dat is mijn ervaring iig.

Bliep, als je een programma schrijft voor je klant dan gaat hij dat niet zo snel kraken hoor. Dat gebeurt pas als je het schrijft voor het grote publiek

.edit: ben het wel mee eens dat de tijd die je steekt in de beveiliging in zo'n geval gewoon helemaal niet groot moet zijn, want dat is gewoon onzin

[ Voor 34% gewijzigd door .oisyn op 11-11-2003 22:32 ]

Jammer dat de TS hier niet meer duidelijkheid in verschaft; maar volgens mij wordt daar het woord registratie / serial niet in genoemd; het gaat hier om demo functionaliteit. Alle suggesties zijn, .oisyn's tip in acht nemend redelijk offtopic

Dan is de methode van lordsnow het beste denk ik... Je moet er wel rekening mee houden dat er mensen zijn die hun pc netjes houden en een extra dll file kan verwijderd worden door een of ander clean progje...

Als je kiest voor een beveiliging met serie nummers maakt het dan zo dat foutive nummers toch geaccepteerd worden. De foute nummers gewoon een willekeurige aantal dagen laten werken en dan op elk venster DEMO neerzetten.
Kijk hoeveel tijd je nodig heb voor het programma en kijk hoeveel het waard is als je het 1000 keer verkoopt van netto opbrengst 10 a 15% nemen en daar de security van bouwen. Je kan ook voor een dongle (met 3 verschillende nummers) kiezen als het een belangrijke applicatie is. Alleen het drijft de prijs op.

pkouwer schreef op 11 november 2003 @ 23:14:
2 - middels een licentiekey de demo full-version maken

Zolang jij het maar nietzoals de TurboPower ProActivate doet, waarbij de code voor het generen van de keys gewoon in het product gewrapped zat zodoende kon je dus keys generen met de demo programma zelf. Dit is naar mij mening een grove fout, dus ik denk dat je dan beter een "Lite" editie kan uitbrengen, waarbij bepaalde functionaliteit niet beschikbaar is en meegecompileerd is zoals al reeds eerder is benoemd.

Overigens kan ik nog meerdere programma's van multinationals opnoemen waarbij het bovenstaand probleem ook aan wezig is....

De beveiliging die ik aan het bouwen ben werkt met een public/private key pair. De licentie (dus wat de klant kan en mag met het pakket) wordt enkel en alleen verstrekt door onze internet-licentie-server, versleuteld met de private key. De applicatie kan de licentie ontcijferen middels de public key maar er niets aan wijzigen zonder de licentie ongeldig te maken.
De procedure is dan (globaal) als volgt: applicatie start, checkt aanwezigheid licentie, indien niet aanwezig haalt ie er een bij de licentie-server. Die verstrekt een trial-licentie (geldig voor x dagen vanaf registratie) of een volledige licentie die na 1 jaar vernieuwd moet worden (gratis). Er zit ook een check in of de applicatie niet al eerder een trial-licentie heeft gehad, middels een stuk of wat hardware identifiers.
App ontvangt de licentie en bepaalt aan de hand daarvan wat er wel of niet kan. Dat kan variëren van het uitschakelen van een paar menu-opties tot het compleet stoppen van de applicatie.

Het leuke van dit systeem is dat de verstrekking van de licentie volledig in onze hand is. Er is geen manier om de applicatie te runnen zonder licentie, en wij bepalen wat de klant kan en mag. Proces is volledig automatisch, klant hoeft alleen op een knop te drukken.

Uiteraard ben ik me ervan bewust dat deze beveiliging sterk maar niet onkraakbaar is. Als ontwerper van de beveiliging weet ik natuurlijk als geen ander waar je die kraakpoging moet gaan beginnen, maar dat vertel ik lekker niet

Het geheel wordt geregeld door een setje Delphi-componenten van Duitse makelij; ik verdenk de schrijver van de componenten er sterk van zelf ooit actief te zijn geweest in het hackwereldje.

[ Voor 7% gewijzigd door Delphi32 op 12-11-2003 00:59 ]

Het leuke van dit systeem is dat de verstrekking van de licentie volledig in onze hand is. Er is geen manier om de applicatie te runnen zonder licentie, en wij bepalen wat de klant kan en mag. Proces is volledig automatisch, klant hoeft alleen op een knop te drukken.

uhm, het is dus simpelweg een kwestie van 1 keer die private licentie van jullie onderscheppen, en vervolgens al het dataverkeer sturen naar een zelfgebouwde "license server", die je applicatie de hele tijd van de originele license-key voorziet.

hmm zo moeilijk is dat niet: maak gewoon een mooie vooral lastige functie (dus met veel x! enzo en delen daardoor zodat het voor jou makkelijker wordt) en laat daar je sleutels van afhangen.. tijd die het voor hen kost is de sleutel in deze.

pkouwer schreef op 11 november 2003 @ 23:35:
zo'n dongel is wel interessant, iemand praktische ervaring mee ?

*Mits goed gebruikt* is dit 1 van de sterkste beveligingen. Voor de gebruiker ook de meest vervelende denk ik, weer een usb slot kwijt Maar als je programma zo belangrijk is dat je er dongles voor gaat gebruiken zullen de gebruikers dat wel niet zo erg vinden.

Het voordeel van zo'n dongle is dat het programma niet te kraken is zonder dongle, als het programma geencrypt is met een code in die dongle. Dus de mensen die het zouden kunnen kraken zijn alleen de mensen met een dongle en dat beperkt natuurlijk wel. Als je de dongle wel hebt is het afhankelijk van je programma.

Vaak zit er bij zo'n dongle pakket ook een kant en klaar 'beveilig je programma'-tooltje maar die zijn meestal wel te kraken (in tegenstelling tot de beweringen van de fabrikant ), omdat het ook maar gewoon wrappers zijn om je programma, alleen nu gebruiken ze data uit de dongle.

Om het nog veiliger te maken kun je de API gebruiken en er eigen data/code mee encrypten. Dat is weer lastiger omdat de cracker dan alle mogelijke plekken waar de data gedecrypt wordt moet opzoeken. Je kunt het vervelender maken door ook op andere dagen andere stukken te decrypten, zodat het helemaal lastig wordt alle plekken te vinden.

Al met al dus redelijk veilig, maar een dongle kun je uiteindelijk gewoon vergelijken met een serial, zij het dat een dongle lastiger te kopieren en verspreiden is dan een serial. Als je eenmaal een dongle hebt is de sterkte van de beveiliging compleet afhankelijk van je applicatie.

Het leuke van dit systeem is dat de verstrekking van de licentie volledig in onze hand is. Er is geen manier om de applicatie te runnen zonder licentie, en wij bepalen wat de klant kan en mag. Proces is volledig automatisch, klant hoeft alleen op een knop te drukken.

Tsja, met licences lijkt me dat je ergens centraal in je code chekced of de opgehaalde licensie goed is. Hoogstwaarschijnlijk ergens een functie die true of false retouneerd, ik noem maar wat. Decompilen, code analyzen, wat bitjes omzetten en klaar..

Bovendien ga je in jouw situatie ALTIJD uit van een vaste internet-verbinding. En dat is natuurlijk een gevaarlijke aanname...

.oisyn schreef op 12 november 2003 @ 01:02:
[...]
uhm, het is dus simpelweg een kwestie van 1 keer die private licentie van jullie onderscheppen, en vervolgens al het dataverkeer sturen naar een zelfgebouwde "license server", die je applicatie de hele tijd van de originele license-key voorziet.

De private key zit op onze server, die komt dus nooit naar buiten en is dus niet te onderscheppen (tenzij je de server hackt natuurlijk ).

pgussow schreef op 12 november 2003 @ 09:24:
Tsja, met licences lijkt me dat je ergens centraal in je code chekced of de opgehaalde licensie goed is. Hoogstwaarschijnlijk ergens een functie die true of false retouneerd, ik noem maar wat. Decompilen, code analyzen, wat bitjes omzetten en klaar..

Was het maar zo eenvoudig
Er zit 1 centrale routine in de applicatie die de licentie ontcijfert met behulp van de public key die vrij eenvoudig te achterhalen valt (is nl geen geheim, daar is het een public key voor). De betekenis van deze licentie wordt op meerdere manieren verwerkt: dat kan idd met een function die true/false oplevert, maar er zijn meer wegen die naar Rome leiden. Decompileren kan natuurlijk altijd, daar is het software voor. Maar om de bitjes te gaan omzetten moet je heel wat bitjes aanpakken die op de raarste plekken zitten.

Bovendien ga je in jouw situatie ALTIJD uit van een vaste internet-verbinding. En dat is natuurlijk een gevaarlijke aanname...

Ik weet niet waar die aanname vandaan komt? Er is alleen bij opstarten eerste keer een verbinding nodig, maar dat mag ook best een dial-up zijn.

Delphi32, die beveiliging die jij gebruikt is die gemaakt door een rus of iemand met russisch achtige naam? Afgezien hiervan elke beveiliging is te kraken, zo ook jou programma dat het op verschillende plekken checked maakt allemaal niet uit.

alienfruit schreef op 12 november 2003 @ 11:11:
Delphi32, die beveiliging die jij gebruikt is die gemaakt door een rus of iemand met russisch achtige naam? Afgezien hiervan elke beveiliging is te kraken, zo ook jou programma dat het op verschillende plekken checked maakt allemaal niet uit.

Nope, geen russische achternaam...
Ook ik heb trouwens niet de illusie dat dit systeem onkraakbaar zou zijn, ik ben wel van mening dat deze beveiliging voor de gemiddelde hacker voldoende lastig is.

:-) Aha. Okay, ik dacht effe dat je die beveiliging van de maker van ASpack bedoelde Afgezien daarvan het cracken van dongles hoeft ook niet zo moeilijk te zijn, bijv. FlexLM based programma'S zijn niet zo moeilijk zolang je maar de SDK/.lib e.d. hebt, maar goed niks meer mee gedaan sinds v7

[ Voor 6% gewijzigd door alienfruit op 12-11-2003 12:03 ]

alienfruit schreef op 12 november 2003 @ 11:57:
:-) Aha. Okay, ik dacht effe dat je die beveiliging van de maker van ASpack bedoelde Afgezien daarvan het cracken van dongles hoeft ook niet zo moeilijk te zijn, bijv. FlexLM based programma'S zijn niet zo moeilijk zolang je maar de SDK/.lib e.d. hebt, maar goed niks meer mee gedaan sinds v6

Agree. Dat is ook de reden dat ik voor een wat goedkopere variant ben gegaan (deze set kost geloof ik iets van 2% van de prijs van FlexLM).

Overigens heb ik het idee dat we wat afdwalen... (jammer, onderwerp is zeer boeiend): TS wilde een demootje maken, geen beveiliging