Reverse engineering

Wersja do druku

24-01-2015, 21:09
2cztery7

Reverse engineering

czytam sobie tę książkę i dowiedziałem się, że wyciągnięcie kodu źródłowego z .jara, .apk czy dotnetowego ILa nie stanowi żadnego problemu dla przeciętnego 13-latka.
drążąc temat dalej zacząłem się zastanawiać:
czy to oznacza, że publikując jakąkolwiek grę/aplikację na androida, każdy może bez problemu dorwać się do mojego kodu?
czy jest jakaś możliwość, żeby ktoś dorwał się do kodu strony internetowej napisanej np. w asp.net czy javie EE/spring? tu sprawa jest chyba trudniejsza, bo klient otrzymuje tylko wygenerowany kod, jeżeli się nie mylę. ale jak to jest?
no i czy da się, oraz czy jest sens jakoś się przed takim czymś zabezpieczać? czytałem o programach, które zamieniają nazwy klas, zmiennych itp. na krzaczki typu OIl110OOlIl, ale nawet to wydaje się dość słabą zasłoną.
24-01-2015, 21:18
Absherr

Jeśli chodzi o Javę i Springa raczej nie będzie tak łatwo jak z jar/apk, bo war (webowe jarki) leżą na serwerze i tam są tylko dostępne. No chyba że ktoś zdobędzie kontrolę nad serwerem, ale to będziesz miał wtedy większe zmartwienia ;d
A jeśli chodzi o obfuskację, to da się to tak zrobić, że kod jest w 100% nieczytelny (zobacz chociażby przykłady na wiki).
24-01-2015, 22:35
Lord

Cytuj:

czytałem o programach, które zamieniają nazwy klas, zmiennych itp. na krzaczki typu OIl110OOlIl, ale nawet to wydaje się dość słabą zasłoną.

Zamienia nazwy klasy i rozwala strukture ILa ale na wszystko jest lekarstwo.
Ogólnie, żeby zabezpieczyć .NETową appke trzeba się posłużyć natywnymi metodami oraz jakimś egzotycznym obfuscatorem.
Dla przykladu taka appka jak fulcrum czy jakos tak ma natywny loader który dekompresuje kod msila, ladujego do pamieci, dodaje magiczne rzeczy i wstrzykuje w proces-słup.

Nie wiem co za ksiazke czytasz, bo jestem za leniwy zeby kliknac, ale pamietaj, ze nic cie tak nie nauczy jak praktyka
24-01-2015, 23:10
Alex Fortune

Cytuj:

LordCompi napisał

Zamienia nazwy klasy i rozwala strukture ILa ale na wszystko jest lekarstwo.
Ogólnie, żeby zabezpieczyć .NETową appke trzeba się posłużyć natywnymi metodami oraz jakimś egzotycznym obfuscatorem.
Dla przykladu taka appka jak fulcrum czy jakos tak ma natywny loader który dekompresuje kod msila, ladujego do pamieci, dodaje magiczne rzeczy i wstrzykuje w proces-słup.

Nie wiem co za ksiazke czytasz, bo jestem za leniwy zeby kliknac, ale pamietaj, ze nic cie tak nie nauczy jak praktyka

to tez jest do cofnięcia

Generalnie binarka to zlepek jakiegoś źródła. Tyle, że C++ kompiluje do Assemblera, który jest na tyle ,,skomplikowany" , że nie da się w nim za dużo *praktycznie* zrobić ( bo teoretycznie masz dostęp do czego chcesz jak uda Ci się zrozumieć każdą linijkę xd ), a C# / Java do ILa, kwestia tylko deobfuskacji.
24-01-2015, 23:48
Lord

*praktycznie* to dla poczatkujacych. Btw, tak jak Alex napisal wszystko da sie zlamac, bo ten kod stworzyl czlowiek, kompilator stworzyl czlowiek, kompa stworzyl czlowiek, a wiadomo jak to z tym jest
25-01-2015, 00:03
Kusterek

dokładnie, kompilator zamienia kod zrozumiały dla człowieka na kod maszynowy, działa to jednak w 2 strony.

Jednak widziałem na własne oczy, że np miałem w swoim kodzie warunki switch a zdekompilowało mi to za zbiór if else if xD
25-01-2015, 00:29
BBsrv

Cytuj:

Kusterek napisał

miałem w swoim kodzie warunki switch a zdekompilowało mi to za zbiór if else if xD

bo od strony "technicznej" switch i if elseif działa tak samo, po prostu switch jest wygodniejszy w użyciu dla ciebie, ale przez komputer oba są zrozumiałe tak samo
25-01-2015, 04:44
Alex Fortune

Cytuj:

BBsrv napisał

bo od strony "technicznej" switch i if elseif działa tak samo, po prostu switch jest wygodniejszy w użyciu dla ciebie, ale przez komputer oba są zrozumiałe tak samo

niekoniecznie

istnieje struktura switch w kompilatorach C++, jakoś na podstawie integera i skoku na podstawie tablicy adresów.
25-01-2015, 11:10
thinusbaun

A nawet w pewnych przypadkach switcha jest używane wyszukiwanie binarne dla optymalizacji.
25-01-2015, 11:44
Malpa of Hell

Czytam sobie nazwe tematu, wchodze z nadzieja ze ktos mi nasunie pomysl jak zrobic prywatny serwer pewnej gry a tu ksiazka i webservery

http://puu.sh/eSjYZ/03eb08e611.jpg

Co do publikacji aplikacji na androida to pamietaj ze przecietny kowalski nie ma roota i nie skopiuje sobie jej z systemu. Ale to tak tylko o przecietnych.
30-03-2015, 15:27
Aveleinen

Osobiście polecam Java2Exe. Szyfruję klasy i zmienia do postaci binarnej. Oczywiście tak jak mówi @Kusterek da się też to rozkompilować, ale nie zrobi Ci już to 13 latek, a trzeba się trochę namęczyć. W sumie to jak na to spojrzeć to wszystko da się dzisiaj rozkompilować. Rozwiązanie jest jedno - utrudnić jak to tylko się da :)