[讨论]关键代码，关键数据放在云服务器来防止调试-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]关键代码，关键数据放在云服务器来防止调试

发表于: 2015-8-15 11:14 14508

[讨论]关键代码，关键数据放在云服务器来防止调试

flong

2015-8-15 11:14

14508

查看主题内容

收藏・7

免费・0

支持

最新回复 (48) ◀ 1 2
guotouck 雪币： 35 活跃值： (642) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 26 楼没卵用，就比如现在市场的挂都把偏移数据全放服务器每次登陆从服务器获取到偏移数据，但一样给破。 2015-8-17 01:23 0
hulucc 雪币： 81 活跃值： (115) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 27 楼你说的这种属于云服务，没有漏洞不会被获取完整算法逻辑，最多被拿来利用 2015-8-17 10:19 0
风随雨行雪币： 2513 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 28 楼你一个应用偏要做成网游形式的，我也没意见。但是你要考虑到你那计算量服务器的投入成本，别最后cover不住成本 2015-8-17 11:44 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 29 楼是的，你指出了关键的地方。我的意思就是把本地软件服务，修改为部分云服务。因为服务器承担不了大量用户的运算要求，本地仍然承担主要的运算，只把一小部分关键的服务放到云服务器。 2015-8-17 23:42 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 30 楼这个不是写外挂。回帖好多人都说是挂。我重复一下，这不是外挂。只是讨论一下防破解的思路。你再看看我写的回复，和你说的有很大区别。对不起，不讨论外挂。上面举例说到游戏，这不是单纯讨论游戏。也可以用到其他软件上面。软件保护的对象不限定于游戏。 2015-8-17 23:49 0
zkek 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 109 粉丝 0 关注私信	zkek 31 楼关键代码段放到服务器上，然后有很多带时序的关键代码段，比如服务器返回了运算结果A，下一次按照时序，应该返回B了，但是客户端却没有请求B（估计破解的时候会请求B，只是无视服务器反回的结果吧），而是请求C，这种情况呢？就是把有先后顺序的步骤拆分成几个关键代码段放到服务器上 2015-8-17 23:52 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 239 关注私信	cvcvxk 10 32 楼开一个正确的客户端负责working,其他破解的从正确的客户端XXOO就行了~ 随便云~ 2015-8-18 11:25 0
freakish 雪币： 1157 活跃值： (847) 能力值： ( LV8，RANK：150 ) 在线值：发帖 33 回帖 203 粉丝 91 关注私信	freakish 1 33 楼网络版加密狗，加密狗可以复制，这个也可以复制 2015-8-19 15:50 0
Tee8088 雪币： 510 活跃值： (483) 能力值： ( LV7，RANK：100 ) 在线值：发帖 41 回帖 410 粉丝 31 关注私信	Tee8088 2 34 楼去看看那个PB的反编译工具，这么多年了好象没有公布出破解来的。 2015-8-19 22:38 0
Anzun 雪币： 5 活跃值： (108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 300 粉丝 1 关注私信	Anzun 35 楼直接绕过你那个关键代码达到破解效果 2015-8-19 23:36 0
风随雨行雪币： 2513 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 36 楼原客户端不请求B 为啥破解的时候会去请求B的逻辑 B对于客户端完全是透明的啊这个又不是暴力破解，分析客户端的请求时序就行了 2015-8-20 13:38 0
天涯一鸿雪币： 1040 活跃值： (1313) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 37 楼这个东西在刚有网络的时候就有了吧，小软件hold不住成本，大软件用户体验不好。这又不是网游，而且你说的是“关键代码”放在服务器上，不是“验证算法”，按中国这个网络环境，谁能忍受工作的时候网一波动软件就挂了，你网游还可以说延迟高自己解决，软件这么搞是要赔钱的 PS：实在要这么搞直接用浏览器+插件的形式不就完了，UI用HTML画还能节省一点成本，本地计算机的资源调用交给activex插件，跟一些充卡的程序差不多，拿不到算法本地只有访问资源的逻辑 2015-8-20 13:51 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 38 楼然并卵... 破解者关心的不是关键代码和关键数据只需要知道怎么跟服务端通信即可，随便你怎么云 2015-8-20 14:11 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 39 楼你这个思路很新颖，看来是一个突破口~ 我记得黑客写过一篇关于网银盗用的文章，意思是在被攻击者的电脑上安装木马，直接插入IE浏览器。当网银正确登陆的时候，黑客就远程遥控，直接操纵被攻击者的IE，达到转账的目的。现在最新的防范技术是可以防止的。我用的一款网银，u盾有个ok按钮，按一下ok按钮，转账才会进行。不能物理接触u盾，只凭借网络木马是不能转账的。 2015-8-21 12:17 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 40 楼我在楼主的贴里说了，直接nop或者jmp掉关键代码，是无意义的。不能收到服务器的数据，根本就无法进行后续运行！ 2015-8-21 12:22 0
kernelwolf 雪币： 47 活跃值： (68) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 18 粉丝 1 关注私信	kernelwolf 1 41 楼哈这个很适合楼主的想法 2015-8-21 12:35 0
ugvjewxf 雪币： 615 活跃值： (620) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 353 粉丝 11 关注私信	ugvjewxf 42 楼一直都有在在这么做的，把逻辑放到服务器上运算，客户端负责显示发送数据接收数据，这个需要考虑宽带最主要还是服务器的性能运算速度，十万个客户端连接你的服务器，你需要考虑你服务器的性能，十万百万客户端连接过来，我想大部门都厂家都会选择尽可能多的把代码逻辑放在客户的电脑上运行，毕竟服务器贵呀，钱的问题。如果你说的只是运行的时候，客户端的一些必要逻辑代码能过服务器以SHELLCODE的形式下放给客户端，然后再客户端负责运行。这些目前都有在用的。想要更进一步，只能等待全千M光纤进入家庭或者八核十六核处理器降到500元一个了，或许就会有更多神奇复杂的逻辑加密形式出现。 2015-8-21 15:05 0
Anzun 雪币： 5 活跃值： (108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 300 粉丝 1 关注私信	Anzun 43 楼不直接调用网页的形式不就OK了？你的意思类似于网站的COOKIES吧？ 2015-8-23 00:11 0
suwey 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 1 关注私信	suwey 44 楼如果你能将操作和数据完全分开然后数据相关的计算都在云端就可以达到你说的效果。。网游中也有这样的例子。。坦克世界基本客户端就只发操作服务端计算结果。。所以出来好几年了都没有真正意义上的外挂。。都是些客户端辅助。。最影响游戏性的一次也就是刚出来的时候坦克炮线的显示是从炮口一直连到目标。。然后被人利用做了加粗加色导致坦克开炮会暴露。。作为游戏来讲关键就是所有重要数据都有服务端计算。。客户端只发操作这样以前游戏里面的透视瞬移都无法作。。因为客户端看不到敌人的时候敌人的数据根本不会发给客户端。。服务端只接受你向前跑的操作。。至于跑得速度有服务端计算。。总之就看软件里面你如何处理了 2015-8-23 00:39 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 45 楼软件免费才是王道，其它多说无益，加密破解只是软件工程学的小角色，对于加密最多只能做到防止逆向工程，不管是VM还是把部分算法放进其它地方。对于破解，永远不可能防止。提高自身的软件质量更为重要，提高反逆向工程，对于破解，笑笑就行，无法防止。 2015-10-12 21:13 0
小小的心雪币： 408 活跃值： (156) 能力值： ( LV7，RANK：110 ) 在线值：发帖 12 回帖 193 粉丝 2 关注私信	小小的心 2 46 楼看到蛋爷来了，我就冒个泡 2015-10-12 21:34 0
xiaohang 雪币： 2219 活跃值： (3281) 能力值： (RANK：260 ) 在线值：发帖 20 回帖 212 粉丝 86 关注私信	xiaohang 3 47 楼这种东西不是没人想过，当初天堂游戏的核心运算也是放在服务器上的，类似你的思路，但不是还是被人做了私服？？简单的方法就可以对付了，搞个权限用户-》获取客户端所有可能向服务端发送的请求-》模拟客户端向服务端发起所有请求并记录-》做成一个数据表来响应客户端的请求-》劫持客户端与服务端的通信 2015-10-12 23:35 0
sungy 雪币： 549 活跃值： (2245) 能力值： ( LV7，RANK：100 ) 在线值：发帖 146 回帖 665 粉丝 31 关注私信	sungy 1 48 楼这个思路是对的，反对者只想到了片面的应用，这个就目前来说是相对安全的解决方案。比如，Xx橱柜设计软件，客户端只是采集测量数据，然后核心数据处理是在云端，处理结果返回客户端，客户端是可以通过一些模拟手段暂时通过验证，不过核心的东西破解者是无法取得的，官方可以随时监控客户端的行为，随时改变验证策略。破解只能是暂时而且不稳定的，核心的技术永远掌握到开发者手中！ 2015-10-13 00:26 0
yezhulove 雪币： 1787 活跃值： (340) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 303 粉丝 1 关注私信	yezhulove 49 楼人家等你云服务器爆个OD,一波搞定你云服务器。 2015-10-13 09:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

flong

发帖

263

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (48) ◀ 1 2
guotouck 雪币： 35 活跃值： (642) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 26 楼没卵用，就比如现在市场的挂都把偏移数据全放服务器每次登陆从服务器获取到偏移数据，但一样给破。 2015-8-17 01:23 0
hulucc 雪币： 81 活跃值： (115) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 27 楼你说的这种属于云服务，没有漏洞不会被获取完整算法逻辑，最多被拿来利用 2015-8-17 10:19 0
风随雨行雪币： 2513 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 28 楼你一个应用偏要做成网游形式的，我也没意见。但是你要考虑到你那计算量服务器的投入成本，别最后cover不住成本 2015-8-17 11:44 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 29 楼是的，你指出了关键的地方。我的意思就是把本地软件服务，修改为部分云服务。因为服务器承担不了大量用户的运算要求，本地仍然承担主要的运算，只把一小部分关键的服务放到云服务器。 2015-8-17 23:42 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 30 楼这个不是写外挂。回帖好多人都说是挂。我重复一下，这不是外挂。只是讨论一下防破解的思路。你再看看我写的回复，和你说的有很大区别。对不起，不讨论外挂。上面举例说到游戏，这不是单纯讨论游戏。也可以用到其他软件上面。软件保护的对象不限定于游戏。 2015-8-17 23:49 0
zkek 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 109 粉丝 0 关注私信	zkek 31 楼关键代码段放到服务器上，然后有很多带时序的关键代码段，比如服务器返回了运算结果A，下一次按照时序，应该返回B了，但是客户端却没有请求B（估计破解的时候会请求B，只是无视服务器反回的结果吧），而是请求C，这种情况呢？就是把有先后顺序的步骤拆分成几个关键代码段放到服务器上 2015-8-17 23:52 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 239 关注私信	cvcvxk 10 32 楼开一个正确的客户端负责working,其他破解的从正确的客户端XXOO就行了~ 随便云~ 2015-8-18 11:25 0
freakish 雪币： 1157 活跃值： (847) 能力值： ( LV8，RANK：150 ) 在线值：发帖 33 回帖 203 粉丝 91 关注私信	freakish 1 33 楼网络版加密狗，加密狗可以复制，这个也可以复制 2015-8-19 15:50 0
Tee8088 雪币： 510 活跃值： (483) 能力值： ( LV7，RANK：100 ) 在线值：发帖 41 回帖 410 粉丝 31 关注私信	Tee8088 2 34 楼去看看那个PB的反编译工具，这么多年了好象没有公布出破解来的。 2015-8-19 22:38 0
Anzun 雪币： 5 活跃值： (108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 300 粉丝 1 关注私信	Anzun 35 楼直接绕过你那个关键代码达到破解效果 2015-8-19 23:36 0
风随雨行雪币： 2513 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 36 楼原客户端不请求B 为啥破解的时候会去请求B的逻辑 B对于客户端完全是透明的啊这个又不是暴力破解，分析客户端的请求时序就行了 2015-8-20 13:38 0
天涯一鸿雪币： 1040 活跃值： (1313) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 37 楼这个东西在刚有网络的时候就有了吧，小软件hold不住成本，大软件用户体验不好。这又不是网游，而且你说的是“关键代码”放在服务器上，不是“验证算法”，按中国这个网络环境，谁能忍受工作的时候网一波动软件就挂了，你网游还可以说延迟高自己解决，软件这么搞是要赔钱的 PS：实在要这么搞直接用浏览器+插件的形式不就完了，UI用HTML画还能节省一点成本，本地计算机的资源调用交给activex插件，跟一些充卡的程序差不多，拿不到算法本地只有访问资源的逻辑 2015-8-20 13:51 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 38 楼然并卵... 破解者关心的不是关键代码和关键数据只需要知道怎么跟服务端通信即可，随便你怎么云 2015-8-20 14:11 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 39 楼你这个思路很新颖，看来是一个突破口~ 我记得黑客写过一篇关于网银盗用的文章，意思是在被攻击者的电脑上安装木马，直接插入IE浏览器。当网银正确登陆的时候，黑客就远程遥控，直接操纵被攻击者的IE，达到转账的目的。现在最新的防范技术是可以防止的。我用的一款网银，u盾有个ok按钮，按一下ok按钮，转账才会进行。不能物理接触u盾，只凭借网络木马是不能转账的。 2015-8-21 12:17 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 40 楼我在楼主的贴里说了，直接nop或者jmp掉关键代码，是无意义的。不能收到服务器的数据，根本就无法进行后续运行！ 2015-8-21 12:22 0
kernelwolf 雪币： 47 活跃值： (68) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 18 粉丝 1 关注私信	kernelwolf 1 41 楼哈这个很适合楼主的想法 2015-8-21 12:35 0
ugvjewxf 雪币： 615 活跃值： (620) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 353 粉丝 11 关注私信	ugvjewxf 42 楼一直都有在在这么做的，把逻辑放到服务器上运算，客户端负责显示发送数据接收数据，这个需要考虑宽带最主要还是服务器的性能运算速度，十万个客户端连接你的服务器，你需要考虑你服务器的性能，十万百万客户端连接过来，我想大部门都厂家都会选择尽可能多的把代码逻辑放在客户的电脑上运行，毕竟服务器贵呀，钱的问题。如果你说的只是运行的时候，客户端的一些必要逻辑代码能过服务器以SHELLCODE的形式下放给客户端，然后再客户端负责运行。这些目前都有在用的。想要更进一步，只能等待全千M光纤进入家庭或者八核十六核处理器降到500元一个了，或许就会有更多神奇复杂的逻辑加密形式出现。 2015-8-21 15:05 0
Anzun 雪币： 5 活跃值： (108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 300 粉丝 1 关注私信	Anzun 43 楼不直接调用网页的形式不就OK了？你的意思类似于网站的COOKIES吧？ 2015-8-23 00:11 0
suwey 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 1 关注私信	suwey 44 楼如果你能将操作和数据完全分开然后数据相关的计算都在云端就可以达到你说的效果。。网游中也有这样的例子。。坦克世界基本客户端就只发操作服务端计算结果。。所以出来好几年了都没有真正意义上的外挂。。都是些客户端辅助。。最影响游戏性的一次也就是刚出来的时候坦克炮线的显示是从炮口一直连到目标。。然后被人利用做了加粗加色导致坦克开炮会暴露。。作为游戏来讲关键就是所有重要数据都有服务端计算。。客户端只发操作这样以前游戏里面的透视瞬移都无法作。。因为客户端看不到敌人的时候敌人的数据根本不会发给客户端。。服务端只接受你向前跑的操作。。至于跑得速度有服务端计算。。总之就看软件里面你如何处理了 2015-8-23 00:39 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 45 楼软件免费才是王道，其它多说无益，加密破解只是软件工程学的小角色，对于加密最多只能做到防止逆向工程，不管是VM还是把部分算法放进其它地方。对于破解，永远不可能防止。提高自身的软件质量更为重要，提高反逆向工程，对于破解，笑笑就行，无法防止。 2015-10-12 21:13 0
小小的心雪币： 408 活跃值： (156) 能力值： ( LV7，RANK：110 ) 在线值：发帖 12 回帖 193 粉丝 2 关注私信	小小的心 2 46 楼看到蛋爷来了，我就冒个泡 2015-10-12 21:34 0
xiaohang 雪币： 2219 活跃值： (3281) 能力值： (RANK：260 ) 在线值：发帖 20 回帖 212 粉丝 86 关注私信	xiaohang 3 47 楼这种东西不是没人想过，当初天堂游戏的核心运算也是放在服务器上的，类似你的思路，但不是还是被人做了私服？？简单的方法就可以对付了，搞个权限用户-》获取客户端所有可能向服务端发送的请求-》模拟客户端向服务端发起所有请求并记录-》做成一个数据表来响应客户端的请求-》劫持客户端与服务端的通信 2015-10-12 23:35 0
sungy 雪币： 549 活跃值： (2245) 能力值： ( LV7，RANK：100 ) 在线值：发帖 146 回帖 665 粉丝 31 关注私信	sungy 1 48 楼这个思路是对的，反对者只想到了片面的应用，这个就目前来说是相对安全的解决方案。比如，Xx橱柜设计软件，客户端只是采集测量数据，然后核心数据处理是在云端，处理结果返回客户端，客户端是可以通过一些模拟手段暂时通过验证，不过核心的东西破解者是无法取得的，官方可以随时监控客户端的行为，随时改变验证策略。破解只能是暂时而且不稳定的，核心的技术永远掌握到开发者手中！ 2015-10-13 00:26 0
yezhulove 雪币： 1787 活跃值： (340) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 303 粉丝 1 关注私信	yezhulove 49 楼人家等你云服务器爆个OD,一波搞定你云服务器。 2015-10-13 09:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复