Bonsoir All,
Je suis en train de me renseigner sur l'obfuscation, et n'ayant encore jamais pratique ni utilise, je me demande lequel est actuellement le meilleur (point de vue securite)
En vous remerciant.
Danyel.
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Le meilleur 'Obfuscateur' actuel ?
Bonsoir All,
Je suis en train de me renseigner sur l'obfuscation, et n'ayant encore jamais pratique ni utilise, je me demande lequel est actuellement le meilleur (point de vue securite)
En vous remerciant.
Danyel.
Obfuscator...
Je pense que le mieux c'est celui que l'on écrit soit même... Car je crois que tous ont été "craqués"...
Bon courage
Guillaume MARQUES
La sécurité du code en .NET c'est vraiment une grosse lacune. Quand ce n'est pas obfusqué on peut lire le code source directement avec un outil comme Reflector et avec un code obfusqué, on prend peut être 30mn à 1h pour chercher ce que l'on veut, et l'affaire est gagnée. Je pense que la solution la plus "sûre" en .NET serait d'écrire l'Interface Utilisateur en .NET et le code "sensible" en C++ natif car sinon l'application est un livre ouvert pour les crakers ... ( le C++ compilé en asm éttant beaucoup plus difficile à décompiler que le MSIL )
Celà dit le choix des obfuscateurs est vaste et personellement j'avais trouvé que Dotfuscator n'était pas mal ...
En effet,
Dotfuscator est pas mal, mais si l'on souhaite une solution réellement sécurisé, cela ne convient pas...
Le mieux (et le plus sûr) est de créé un exe en C++ qui décryptera des dlls .Net pour en lancer l'exécution.
Cordialement.
Guillaume MARQUES
ah tu crois ? et où l'exe en C++ décrypte-t-il les dlls ?Envoyé par guillaumemarques
- sur le disque ? et il suffit de logguer les accès au disque pour trouver la dll en clair ...
- en mémoire ? et dans ce cas un cracker peut quand même trouver la dll ... et de plus pour un gros logiciel tu te vois tout mettre en mémoire et devoir tout décrypter au startup ? ça va devenir une usine à gaz rien que pour démarrer ... et donc utilisateur non insatisfait : son programme qu'il a acheté 10 K € prend 20 ans pour démarrer et utilise toutes les ressources de son pc pour rien ...
Tu as bien de la chance si tu arrives à vendre des logiciels10K€...
Par contre, je suis d'accord avec toi, tout ce qui s'exécute peut se craquer (même en assembleur s'il le faut)...
Une des seules solutions un peu plus "sécurisée" que les autres, faire appel à des systèmes externes (type Dongle/Clé Aladin ou toute autre marque. Mais comme cela à un coût, il faut savoir si le jeu en vaut la chandelle
Cordialement
Guillaume MARQUES
c'était un exempleTu as bien de la chance si tu arrives à vendre des logiciels
sauf que cracker de l'assembleur prend beaucoup, beaucoup plus de temps que de cracker du MSIL et c'est pour celà que j'ai proposé d'écrire le code sensible directement en C++ natif...Par contre, je suis d'accord avec toi, tout ce qui s'exécute peut se craquer (même en assembleur s'il le faut
voilà, là, je commence a être d'accord avec toiUne des seules solutions un peu plus "sécurisée" que les autres, faire appel à des systèmes externes (type Dongle/Clé Aladin ou toute autre marque. Mais comme cela à un coût, il faut savoir si le jeu en vaut la chandellemais franchement, protection du code source en .NET c'est léger léger ...
Tout cela n'est guere encourageant ...
Il est peut etre simple de desoffusquer une petite DLL, mais la protection devient efficace si on applique une politique globale
En mettant tes assemblies dans le GAC et en te creant tes propres licences pour tes composants tu ecarte deja les curieux potentiels et force les perseverants a refaire a partir de zero toute ton application
Pour ces derniers qui utiliseraient une procedure automatisee, tu insere un systeme d'enregistement automatique de l'application lorsque l'application demarre pour la toute premiere fois (qui envoie un mail, lance une url sur le site du createur) Si l'application est consequante, il y a de fortes chances que ceci soit traduit par inadvertance
Tu serai juste parce que si je vois une application qui me dit ça ( genre McAfee qui me dit que cette application tente d'accéder à Internet alors qu'elle ne le devrai pas ) je crie au spyware et peut être que celà découragera certains utilisateurs sceptiques ...Pour ces derniers qui utiliseraient une procedure automatisee, tu insere un systeme d'enregistement automatique de l'application lorsque l'application demarre pour la toute premiere fois (qui envoie un mail, lance une url sur le site du createur) Si l'application est consequante, il y a de fortes chances que ceci soit traduit par inadvertance
Voici les 2 liens de Piotrek pour vs2005, framework2 et en francais
- http://msdn2.microsoft.com/fr-fr/lib...41(vs.80).aspx
- http://msdn2.microsoft.com/fr-fr/lib...h9(vs.80).aspx
Piocher dans le génie des dingues qui ont pondu ça : http://www.es.ioccc.org
Parce qu'un hello world écrit de cette manière : http://www.es.ioccc.org/1986/wall.c c'est vraiment la classe....
(et quand tu ajoutes du style : http://www.es.ioccc.org/1984/laman.c c'est encore plus beau !)
Je parlais d'une appli d'entreprise sencee etre achetee, pour le shareware grand public je suis d'accord avec toi
Répondre avec citation
Partager