Reverse engineering

2cztery7 OP · 24-01-2015 21:09

czytam sobie tę książkę i dowiedziałem się, że wyciągnięcie kodu źródłowego z .jara, .apk czy dotnetowego ILa nie stanowi żadnego problemu dla przeciętnego 13-latka.
drążąc temat dalej zacząłem się zastanawiać:
czy to oznacza, że publikując jakąkolwiek grę/aplikację na androida, każdy może bez problemu dorwać się do mojego kodu?
czy jest jakaś możliwość, żeby ktoś dorwał się do kodu strony internetowej napisanej np. w asp.net czy javie EE/spring? tu sprawa jest chyba trudniejsza, bo klient otrzymuje tylko wygenerowany kod, jeżeli się nie mylę. ale jak to jest?
no i czy da się, oraz czy jest sens jakoś się przed takim czymś zabezpieczać? czytałem o programach, które zamieniają nazwy klas, zmiennych itp. na krzaczki typu OIl110OOlIl, ale nawet to wydaje się dość słabą zasłoną.

Absherr · 24-01-2015 21:18

Jeśli chodzi o Javę i Springa raczej nie będzie tak łatwo jak z jar/apk, bo war (webowe jarki) leżą na serwerze i tam są tylko dostępne. No chyba że ktoś zdobędzie kontrolę nad serwerem, ale to będziesz miał wtedy większe zmartwienia ;d
A jeśli chodzi o obfuskację, to da się to tak zrobić, że kod jest w 100% nieczytelny (zobacz chociażby przykłady na wiki).

Lord Premium · 24-01-2015 22:35

czytałem o programach, które zamieniają nazwy klas, zmiennych itp. na krzaczki typu OIl110OOlIl, ale nawet to wydaje się dość słabą zasłoną.

Zamienia nazwy klasy i rozwala strukture ILa ale na wszystko jest lekarstwo.
Ogólnie, żeby zabezpieczyć .NETową appke trzeba się posłużyć natywnymi metodami oraz jakimś egzotycznym obfuscatorem.
Dla przykladu taka appka jak fulcrum czy jakos tak ma natywny loader który dekompresuje kod msila, ladujego do pamieci, dodaje magiczne rzeczy i wstrzykuje w proces-słup.

Nie wiem co za ksiazke czytasz, bo jestem za leniwy zeby kliknac, ale pamietaj, ze nic cie tak nie nauczy jak praktyka

Alex Fortune · 24-01-2015 23:10

LordCompi napisał

Cytat został ukryty, ponieważ ignorujesz tego użytkownika. Pokaż cytat.

Zamienia nazwy klasy i rozwala strukture ILa ale na wszystko jest lekarstwo.
Ogólnie, żeby zabezpieczyć .NETową appke trzeba się posłużyć natywnymi metodami oraz jakimś egzotycznym obfuscatorem.
Dla przykladu taka appka jak fulcrum czy jakos tak ma natywny loader który dekompresuje kod msila, ladujego do pamieci, dodaje magiczne rzeczy i wstrzykuje w proces-słup.

Nie wiem co za ksiazke czytasz, bo jestem za leniwy zeby kliknac, ale pamietaj, ze nic cie tak nie nauczy jak praktyka

to tez jest do cofnięcia

Generalnie binarka to zlepek jakiegoś źródła. Tyle, że C++ kompiluje do Assemblera, który jest na tyle ,,skomplikowany" , że nie da się w nim za dużo *praktycznie* zrobić ( bo teoretycznie masz dostęp do czego chcesz jak uda Ci się zrozumieć każdą linijkę xd ), a C# / Java do ILa, kwestia tylko deobfuskacji.

Lord Premium · 24-01-2015 23:48

*praktycznie* to dla poczatkujacych. Btw, tak jak Alex napisal wszystko da sie zlamac, bo ten kod stworzyl czlowiek, kompilator stworzyl czlowiek, kompa stworzyl czlowiek, a wiadomo jak to z tym jest

Kusterek · 25-01-2015 00:03

dokładnie, kompilator zamienia kod zrozumiały dla człowieka na kod maszynowy, działa to jednak w 2 strony.

Jednak widziałem na własne oczy, że np miałem w swoim kodzie warunki switch a zdekompilowało mi to za zbiór if else if xD

BBsrv · 25-01-2015 00:29

Kusterek napisał

Cytat został ukryty, ponieważ ignorujesz tego użytkownika. Pokaż cytat.

miałem w swoim kodzie warunki switch a zdekompilowało mi to za zbiór if else if xD

bo od strony "technicznej" switch i if elseif działa tak samo, po prostu switch jest wygodniejszy w użyciu dla ciebie, ale przez komputer oba są zrozumiałe tak samo

Alex Fortune · 25-01-2015 04:44

BBsrv napisał

Cytat został ukryty, ponieważ ignorujesz tego użytkownika. Pokaż cytat.

bo od strony "technicznej" switch i if elseif działa tak samo, po prostu switch jest wygodniejszy w użyciu dla ciebie, ale przez komputer oba są zrozumiałe tak samo

niekoniecznie

istnieje struktura switch w kompilatorach C++, jakoś na podstawie integera i skoku na podstawie tablicy adresów.

thinusbaun · 25-01-2015 11:10

A nawet w pewnych przypadkach switcha jest używane wyszukiwanie binarne dla optymalizacji.

Malpa of Hell · 25-01-2015 11:44

Czytam sobie nazwe tematu, wchodze z nadzieja ze ktos mi nasunie pomysl jak zrobic prywatny serwer pewnej gry a tu ksiazka i webservery

Co do publikacji aplikacji na androida to pamietaj ze przecietny kowalski nie ma roota i nie skopiuje sobie jej z systemu. Ale to tak tylko o przecietnych.

Aveleinen · 30-03-2015 15:27

Osobiście polecam Java2Exe. Szyfruję klasy i zmienia do postaci binarnej. Oczywiście tak jak mówi @Kusterek da się też to rozkompilować, ale nie zrobi Ci już to 13 latek, a trzeba się trochę namęczyć. W sumie to jak na to spojrzeć to wszystko da się dzisiaj rozkompilować. Rozwiązanie jest jedno - utrudnić jak to tylko się da :)

Temat: Reverse engineering

Narzędzia tematu

Oceń ten temat

Reverse engineering

Informacje o temacie

Użytkownicy przeglądający temat

Podobne tematy

[US][7.4] Nostalther Violet - True 7.4 Reverse Engineered Server - Starts September 10th 2022

Zakładki

Zakładki

Zasady postowania