9 odpowiedzi w tym temacie

[dram]

Witam... Razem z Knopsikiem próbowaliśmy zaszyfrować dane (np. hasła) Tzn. to ja próbowałem on torpedował moje pomysły.

Tzn chodzi o to ,żeby zaszyfrować hasło np. do bazy danych w pliku .amxx tak aby nie mogło zostać rozczytane np. przez Knopersa - hakersa.....

Pozdrawiam.

Użytkownik dram edytował ten post 25.05.2011 06:22

[R3X]

jeśli udostępniasz źródło to nie ukryjesz przed odpowiednio zaawansowanym programistą, tak czy inaczej do połączenia potrzebujesz hasła wprost, a można tuż przed tym dać log_amx() czy cokolwiek innego co wyświetli hasło

możesz próbować zaciemnić kod przed makrodefinicje czy nazwy zmiennych, zapisanie liter w niestandardowy sposób (np. jako tablicę liczb), tylko , że kompilator amxxpc umożliwia zatrzymanie procesu kompilacji na stanie tuż po prekompilacji i wszystko będzie jasne


jak chcesz zamazać hasło w pliku .amxx to trochę inna kwestia, ale też mogę Ci podpowiedzieć co i jak


Edit.
chyba jednak chodziło Ci o plik .amxx, w sumie moja odpowiedź jest taka sama, bo na podstawie kodu dla maszyny wirtualnej można otrzymać pseudoasemblerowy kod i to wszystko co pisałem wcześniej dotyczy też tego (ale jest dużo trudniejsze niż w przypadku .sma)

jedyna opcja to wycięcie z plik .amxx komentarzy; jak to zrobić nie mogę tu powiedzieć; macie próbujcie złamać hasło w hidden.amxx; sma jest to samo z wyjątkiem hasła

Załączone pliki

•  test.zip   3,11 KB  44 Ilość pobrań
  

[dram]

Mhm początkowo zakładajmy że bez podawania .sma chce zabezpieczyć hasło/login w .amxx. Np. Tak aby nikt nie mógł odczytać tych danych.

Zakładamy taką sytuacje... Robie sobie plugin w którym mam łączenie się z bazą mysql... Oczywiście aby się połączyć muszą być te dane w pliku .amxx.

I jeżeli będzie przeciek tego pluginu gdzieś ktoś go odczyta, to wyciągnie hasło bez problemu.


Więc krótko jak zabezpieczyć dane... Zakładając że ktoś kto rozszyfrowuje ma tylko dostęp do .amxx

Ew. Jak nie możesz to na pw napisz mi.

Użytkownik dram edytował ten post 25.05.2011 13:50

[R3X]

Sądzę nie zrobisz nic złego z taką wiedzą poszło PW

[Knopers]

Powiem wprost iż tym razem nie mam pojęcia jak wyciągnąć od ciebie to hasło.
Zawsze mógłbym tutaj spróbować metodą Brute Force ale nie o to tutaj chodzi.

Pewnie gdybym posiedział nad tym trochę to może by mi się udało wyciągnąć to, aczkolwiek nie jest to już takie łatwe.

Dodatkowo pojawia się pytanie czy jeśli tego użyjemy to czy nie będzie problemów z połączeniem do bazy i odczytem obszernego pliku *.amxx przez interpreter amxx'a.

[R3X]

Hasło ciągle jest zapisane w pluginie jako ciąg bajtów, ale amxxdump ma mało do powiedzenia na temat takiego pluginu. Jedyny niepożądany skutek tego zabiegu to fakt, że plugin nie może być przełączony w tryb debug.

[Knopers]

Hasło ciągle jest zapisane w pluginie jako ciąg bajtów

Co oznacza że na pewno da się je wyciągnąć. Jak wrócę z zajęć angielskiego to biorę się za lekturę Deassemblacji plików amx i kodów żródłowych samego amxx'a

[R3X]

dokładnie to robi amxxdump, więc musisz być bardzo zdeterminowany; na pewno musisz szukać tekstów w sekcji data; w amxx sdk znajdziesz kod źródłowy kompilatora, na pewno Ci się przyda

[Ortega]

Szukacie rozwiązania tam gdzie zupełnie go nie znajdziecie lub po prostu jest to za bardzo skomplikowane. Podczas gdy rozdzielałem różne moje koncepcje i wizje, doszedłem do wniosku, że zabezpieczenie amxx kodu wynikowego jest dosyć trudne, więc trzeba wyjść poza ramki. Od razu wspominam, że to rozwiązanie nie jest wcale znacznie łatwiejsze.
Zatem, wyobraźmy sobie plugin, który łączy się z daną bazą sql. Jak zapewne wiecie wykorzystywany jest do tego celu moduł sqlx. Zatem, poszedłem o krok naprzód i w końcu dostrzegłem tą jakże prostą zależność. Rozwiązanie jest niemal na tacy, wystarczy tylko umieć logicznie myśleć i znajdować alternatywy. Tak, chodzi mi o przerobienie modułu sqlx na własny moduł, łączący się z jak podkreśliłem daną bazą.
Powinny pojawić się teraz pytania nt. przecież taki moduł czyli w zasadzie bibliotekę można zdeassemblować i dostać stringi itd. na tacy. Otóż z pomocą przychodzi nam program Themida. Myślę, że więcej nie trzeba mówić, a resztę zdołacie wywnioskować, poszukać i dopracować.

[R3X]

ukrycie komentarzy to mniej niż sekunda roboty, kod jest łatwy do modyfikacji i w miarę bezpieczny (jak wyjmiesz hasło z hidden.amxx to stawiam piwo )