TEIL 1

Liebe Forengemeinde,

in diesem kleinen Tutorial zeige ich euch mal die Vorteile von Obfuscaten von Programmen.

.net Programme, kann man mit ein paar Tricks kinderleicht knacken. (Dekompilieren etc.)
Viele Programme nutzen aber Sensible Daten (z.B. FTP Daten, E-Mail Daten u.s.w)
[Hierzu eine Wichtige Info: Sensible Daten gehören generell >> GAR NICHT << in ein Programm rein,
schon gar nicht fest im code. ]

Durch das Dekompilieren sieht man diese Daten im Klatext.

Folgendes Beispiel:
In einem kleinem Programm habe ich vor, eine E-Mail zu Versenden. Mein Originaler Source Code sieht wie folgt aus:

Wie wir sehen können, ist das Passwort im Klartext im Programm selbst eingebunden.
Das sollte man generell vermeiden. Optimal ist eine Verschlüsslung (z.B. eine Recht einfache, die CESAR Verschlüsslung)
[Wichtig: hierbei nochmal im Teil 1 / 2 die Info zum Thema Sensible Daten in einem Programm anschauen]

Nach dem Kompilieren ist das Programm nun auf jeden PC Einsatzbereit.
Aber bevor wir das machen, Dekompilieren wir das Programm mit einem kleinen Tool,
der Source Code den wir erhalten, sieht wie folgt aus:
(Da etwas länger, ist der Code im Spoiler)
Neben vielem anderen (dekompilierter DesignerCode, dekompilierter verborgener Code) findet sich auch unser Code aus dem ersten Listing, und zwar komplett und unverfälscht aus der dekompilierten Exe wiederhergestellt.

Wie wir es sehen, kann man Problemlos das Programm Dekompilieren und das Passwort auslesen (zeile#149).

@Moderator:
Teil 2 Folgt in einem Folgebeitrag, da der Inhalt vom Tutorial sonst zu lang ist!

zzgl Info:
Teil 2 kommt erst in 30 Mins.. (Sperre vom Forum aus)
(Sollte jemand jetzt schon an dem kompl. Tutorial Interessiert sein, ich habe es einmal in meinem Forum kompl. gepostet Klick hier)

Annoxoli schrieb:

Viele Programme nutzen aber Sensible Daten (z.B. FTP Daten, E-Mail Daten u.s.w)

und diese gehören NIEMALS fest in Code eingebettet !!!

TEIL 2:

Wenn wir unser Programm Obfuscaten, sieht der Source Code schon etwas anders aus:


Man kann noch grob die Strukturen vom Source Code erkennen, jedoch sehen wir unser Passwort nicht mehr!
Mit dem Tool, womit ich das entsprechende Programm Dekompiliert habe, zeigt in der Übersicht zwischen
dem Geschützten, und ungeschützten Programm deutliche Unterschiede:


Natürlich hat man niemals 100% Schutz vor Angriffen u.s.w.
aber wieso sollte man einem Einbrecher den Schlüssel in die Hand drücken,
wenn man Ihm auch eine Mauer vor der Nase bauen kann.

Screenshot vom Source Code:


Generell sollte man aber Methoden über FTP / EMail (bzw allgemein mit Empfindlichen Daten) vermeiden, und sich für eine andere Methode entscheiden.
Dazu bedenkt, das dass Dekompilieren von Programmen nur zur eigenen Überprüfung des Programms erlaubt ist.
Solltet Ihr dies bei einem anderen Programm machen, ohne die Erlaubnis vom Besitzer, so macht Ihr euch Strafbar!
(Edit by ErfinderDesRades:
Vergleichbares steht auch hier: Computerprogramme und das Urheberrecht: „Dekompilierung“
Alles natürlich ohne Gewähr, und mehr "Rechtsberatung" kann und darf hier auch gar nicht erfolgen.)

Für fragen stehe ich euch gerne zur Verfügung!

Gruß, Annoxoli

Quellen: Wikipedia (Cesar Verschlüsslung)
Dekompiler: ILSpy (Kostenlos)
Obfuscator Programm: DeepSea Obfuscator (Kostenpflichtig)
Tutorial Inhalt: by @Annoxoli

Zum Thema:

Wichtig ist wovor man schützen will. Wenn man das Programm vor Änderungen schützen will (dekompilieren -> kopieren -> ändern), reicht es manchmal schon kreativ zu sein, um andere zu verwirren (natürlich nur ein kleiner Schutz)

Wenn man vor dem kopieren oder dem generellen lesen des Sourcecodes schützen will, gibts nur 2 Möglichkeiten: Wechsel auf eine Sprache mit der man native Assemblys erstellen kann oder Obfuskieren.

Natürlich ist man selbst mit nativen Assemblys nicht 100% geschützt, aber anhand des Aufwandes ist es meistens unwirtschaftlich diese zu disassemblen und daraus lesbaren Code zu machen.

Beim Obfuskieren (z.B.: mit Themida) ist man zumindest von Leuten mit geringen Kenntnissen sicher, da Themida eine virtuelle Maschine (virtuelle Laufzeitumgebung) für das Programm erstellt, wodurch ein normaler Decompiler ala dotPeek oder JustDecompile nicht mehr in der Lage ist, den Code auszulesen.

Angeblich kann man durch auslesen des Arbeitsspeichers wieder an die Informationen kommen, aber das habe ich bis jetzt noch nicht versucht und selbst wenn es geht, muss man sich entweder mit asm oder IL-Code herumschlagen.

Um sichere Software zu erstellen, gehört wahrscheinlich auch den "Cracker" auf falsche fährten zu locken. Methoden die ähnlich heißen, aber verschiedene Dinge bewirken. (Allerdings wird die Wartung dadurch richtig schwierig)

In meiner letzten Firma wurde die .NET-Software richtig gesichert.
Das Programm wurde verschlüsselt und das Entschlüsseln auf dem Ziel-PC erfolgt mit Zugriff auf einen Dongle.
Diese Variante ist wohl nahezu sicher, allerdings kostspielig, womit sich sofort ergibt, dass auch Software ihren Preis hat.

In Deutschland ist das Dekompielieren (Reverse Engineering) generell nicht verboten!
Nichtmal wenn in den Lizenzvereinbarungen entsprechende Klauseln vorhanden sind!
Siehe Wikipedia!
de.wikipedia.org/wiki/Reverse_Engineering

Edit by ErfinderDesRades:
Ich wiederhole nochmal meinen Edit aus Post#4: Jede Aussage in rechtlichen Dingen ist ohne Gewähr, es sei denn, man ist Rechtsanwalt.
Auch diese Aussage ist ohne Gewähr.

Kleiner Zusatz, hab folgendes in der MSDN gefunden:

.NET-Assemblies sind für jedermann offen lesbar. Selbst Obfuskatoren können eine Software nicht wirksam verschlüsseln. Wie kann geistiges Eigentum dann vor dem Zugriff Dritter geschützt werden? Ist ein solcher Schutz überhaupt sinnvoll? Dieser Artikel zeigt, wie eine im Release-Modus erstellte Assembly disassembliert und dekompiliert werden kann. Es wird dargestellt, wie leicht es ist, den ursprünglichen Sourcecode zu rekonstruieren. Anschließend wird diskutiert, auf welche Weise Software-Hersteller sich vor der Offenlegung ihrer Produkte schützen, und dass es ein Leichtes ist, die angewandten Schutzmechanismen wieder zu brechen. Als Fallbeispiel wird die Methode Validate() einer Klasse IbanValidator betrachtet, ein Algorithmus, der die Prüfziffer einer International Bank Account Number (IBAN) berechnet und verifiziert, ob es sich um eine grundsätzlich gültige Kontonummer handelt (siehe Kasten „IBAN“).

Quelle: msdn.microsoft.com/de-de/library/bb979521.aspx

Also ich finde du hast ein guten Tutorial übers Obfuscateing gemacht. Aber es gibt doch viel mehr methoden sein Programm zu schützen, ich nenne mal ein paar mir bekannte:



- Obfuscateing

- Packing(bsp- UPX)

- Randomizeing (Variablen, String, ...)

- Junk Code (confuser)

würde mich freuen wenn du auch darüber tutorials machen kannst

@Routess:
Ich schau mal wann ich dafür Zeit habe.
Derzeit hab ich alle Hände voll zu tun.

Gruß, Annoxoli

Und wenn man das Passwort durch die "My.Settings" funktion aufruft? Sind sie sicher oder nicht?

My.Settings ist eine Klartext XML Datei und die kann jeder (der weiß wo sie sich befindet und das is nicht schwer rauszufinden) ansehen kann.

Gäbe es da auch einen kostenlosen Obfuscator?

Wie @Dodo: schon sagt, wird es ebenfalls im Klatext abgespeichert.
Was du machen kannst ist, eine Algorithmus entwickeln, der dein passwort verschlüsselt.
das kannst du dann zb. in einer Textdatei mitliefern oder wo anders abspeichern.
allerdings, ist es dann wieder möglich, unter .net an dein entschlüsslungspasswort zu kommen.
demnach, was in meinem tutorial steht:
am besten auf sensible daten im programm ( grade unter .net ) verzichten.
wenn es möglich ist lieber auf externe sachen verweisen ( wie zb. PHP Scripte etc. )

gruß, annoxoli
hier, habe ihn aber nicht getestet:
LINK NICHT MEHR VERFÜGBAR