[讨论]关键代码，关键数据放在云服务器来防止调试-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]关键代码，关键数据放在云服务器来防止调试

发表于: 2015-8-15 11:14 14471

[讨论]关键代码，关键数据放在云服务器来防止调试

flong

2015-8-15 11:14

14471

大家好，我提一个防破解、防调试的新思路。
如果把程序的关键代码，关键数据放到云服务器上，那么从破解者角度来说，无从接触这部分内容。破解的路径中断了，dump的方法不管用了。

设计思路是：
1、程序运行需要的关键代码放在云服务器上，本地不下载。云代码获得运算指令后，在云服务器上进行运算。云服务器下发运算结果，本地只获取运算结果，将运算结果参与后续运行。
2、关键数据放到云服务器，本地不能直接读取这部分数据，由云代码读取并计算。

本帖防破解的目标是：防止获得完整代码，防止单机获得完整功能运行。

你们觉得可行吗，现在有没有这样的例子出现呢？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・7

免费・0

支持

最新回复 (48) 1 2 ▶
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼道高一尺，魔高一丈，看似强悍，如果逻辑上有问题，再NB的方法也拯救不了 2015-8-15 11:20 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 3 楼这位仁兄，哲学少讲点。假如你来破解的话，有没有可以下手的地方？说说你的思路，讨论帖，不是牢骚贴。 2015-8-15 11:22 0
helyna 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 4 楼只要把本地的破解了，模拟向云发送指令，云计算完获取到正确结果，不还是一样被破解吗？那和破解账号密码的思路有何区别，密码什么的不都是在服务器进行一些运算的吗？ 2015-8-15 11:25 0
xiaohouhui 雪币： 96 活跃值： (36) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 155 粉丝 2 关注私信	xiaohouhui 1 5 楼网络游戏也是这样的啊，外挂还不是一大堆 2015-8-15 11:27 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 6 楼这就是市面上一些验证的常用思路 2015-8-15 11:27 0
Anuonuo 雪币： 150 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 68 粉丝 1 关注私信	Anuonuo 7 楼看起来思路很不错，为什么老想把数据放在服务器上就安全呢？ 2015-8-15 11:33 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 8 楼当然，我可能没说清楚，我再解释一下。 1、照你这么说，根本就不需要破解了，帐号密码扩散就可以了，这就不在本帖讨论的范围。如同windows密钥，一抓一大把。本帖不讨论这么简单的事情，本地帐号密码保护方法不在讨论之列。本帖防破解的目标是：防止获得完整代码，防止单机获得完整功能运行。（已添加到楼主贴） 2、至于你说的模拟指令，可能的存在这样的人，但是仍然刚性依赖云代码，本地并不能获得完整功能。这涉及到如何识别模拟指令，如何识别客户端的身份，是另外讨论的内容了。如果要详细讨论，范围太广了。 2015-8-15 11:40 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 9 楼这与简单验证还不同： 1、我这里说的是，关键代码放在云服务器，本地没有这部分代码。 2、你说的简单验证具有这样的特征：本地有完整功能。通过nop或者jmp就能跳过简单验证，从而获得完整功能。 2015-8-15 11:47 0
kingsdows 雪币： 135 活跃值： (106) 能力值： ( LV2，RANK：140 ) 在线值：发帖 12 回帖 110 粉丝 1 关注私信	kingsdows 3 10 楼就好像游戏会弄一个服务端, 很多重要逻辑都是在服务端运算. 一样的道理. 关键是, 你不可能把所有的东西都搬到服务端去. 看你能搬多少过去了. 2015-8-15 11:50 0
_委员长雪币： 238 活跃值： (197) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 161 粉丝 0 关注私信	_委员长 11 楼如果做得跟脱机挂一样呢。。。 2015-8-15 11:51 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 12 楼嗯嗯，与你说的有些相似。当然为了减轻服务端的负担，绝大部分的运算要放在本地，只把关键的代码放到服务器。例如：某些游戏本地刷枪、刷币是无效的。云数据里没有修改，虽然本地有枪、有钱，但是杀不死人，买不了装备。 2015-8-15 12:06 0
ruoe 雪币： 13 活跃值： (26) 能力值： (RANK：10 ) 在线值：发帖 68 回帖 219 粉丝 1 关注私信	ruoe 13 楼其实这个都是很难防止暴力破解的。。。大牛会把你的任何步骤都逆出来，除非，你本地只是类似一个播放器而已 2015-8-15 12:49 0
KooJiSung 雪币： 357 活跃值： (3438) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 14 楼游戏服务器挂了,除非你能做一个模拟服务器,不然游戏客户端等于废了关键是模拟服务器 2015-8-15 12:50 0
风随雨行雪币： 2513 活跃值： (575) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 15 楼模拟服务端返回给客户端正确的数据就行了 2015-8-15 13:28 0
cakegao 雪币： 296 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 46 粉丝 0 关注私信	cakegao 16 楼 (=_=)前提条件得建立在第一运行机器是联网的第二服务器部署的安全要达标，不过第二点不靠谱 2015-8-15 13:47 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 17 楼这不是废话吗？何为云计算？云计算本来就不是在本地计算，这玩意很早就出来了某P保护，某游戏检测，某xx，暗桩...还有一大堆流氓软件，不都是这样做的吗？跟肉鸡还有什么区别？都是流氓... 2015-8-15 14:07 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 18 楼。。。现在很多验证都这样啊，云端自定义算法，或者保留核心数据 2015-8-15 14:26 0
kernelwolf 雪币： 47 活跃值： (68) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 18 粉丝 1 关注私信	kernelwolf 1 19 楼现在常见的网络验证都有这样的功能了，保存关键数据，验证、下载回来只存放在内存中。 15L的模拟一般不行，数据加密每个用户都不一样的key，加时间参数什么的就更不好搞了。破解需要patch需要用到的数据，关键段通常都加上vmp，分析起来比较麻烦。思路不错，可以试试 2015-8-15 16:25 0
毁灭雪币： 346 活跃值： (129) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 210 粉丝 6 关注私信	毁灭 2 20 楼这个思路很多人都想过但中间的细节看你怎么处理! 2015-8-16 01:04 0
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 21 楼你这不新奇，你知道 SE 这个壳吗？他就是这样做的。。。。。。，而这种都是很久用一次的，如果你开发的程序是一个高使用率的东东，那除非你的东西做的前无古人，后很难来者，不然你等着给你自己用吧这也是从破解的角度来说的。。。。。。。。。。。 2015-8-16 01:51 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 22 楼我也看了SE壳，他的方法是高强度+网络验证。这与我上面说的简单验证是一样的：本地具有完整功能。而我说的方法就是要打破这种模式，将关键功能代码放到云服务器上，本地只有部分功能，离开了服务器，本地无法获得主要功能。甚至不加壳都可以。 2015-8-16 09:38 0
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 23 楼它功能就在云端，还有一大堆软件从云端执行的 2015-8-16 14:50 0
注定幸福雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	注定幸福 24 楼这样做跟楼上几位说法差不多：有几个解法,都是比较苦逼的： 1：想办法寻找帐号验证逻辑漏洞 2：如果关键代码不够复杂,那么可以尝试推出这段关键代码。 3：最苦逼的方法,弄一个正确的帐号,暴力把所有的运算结果都弄出来,放到本地后直接替换服务器的验证 4：暂时没想到。 2015-8-17 00:23 0
zkek 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 109 粉丝 0 关注私信	zkek 25 楼应该没那么简单。如果服务器和本地不同步，服务器主动断线什么的怎么办？ 2015-8-17 01:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

flong

发帖

263

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (48) 1 2 ▶
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼道高一尺，魔高一丈，看似强悍，如果逻辑上有问题，再NB的方法也拯救不了 2015-8-15 11:20 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 3 楼这位仁兄，哲学少讲点。假如你来破解的话，有没有可以下手的地方？说说你的思路，讨论帖，不是牢骚贴。 2015-8-15 11:22 0
helyna 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 4 楼只要把本地的破解了，模拟向云发送指令，云计算完获取到正确结果，不还是一样被破解吗？那和破解账号密码的思路有何区别，密码什么的不都是在服务器进行一些运算的吗？ 2015-8-15 11:25 0
xiaohouhui 雪币： 96 活跃值： (36) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 155 粉丝 2 关注私信	xiaohouhui 1 5 楼网络游戏也是这样的啊，外挂还不是一大堆 2015-8-15 11:27 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 6 楼这就是市面上一些验证的常用思路 2015-8-15 11:27 0
Anuonuo 雪币： 150 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 68 粉丝 1 关注私信	Anuonuo 7 楼看起来思路很不错，为什么老想把数据放在服务器上就安全呢？ 2015-8-15 11:33 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 8 楼当然，我可能没说清楚，我再解释一下。 1、照你这么说，根本就不需要破解了，帐号密码扩散就可以了，这就不在本帖讨论的范围。如同windows密钥，一抓一大把。本帖不讨论这么简单的事情，本地帐号密码保护方法不在讨论之列。本帖防破解的目标是：防止获得完整代码，防止单机获得完整功能运行。（已添加到楼主贴） 2、至于你说的模拟指令，可能的存在这样的人，但是仍然刚性依赖云代码，本地并不能获得完整功能。这涉及到如何识别模拟指令，如何识别客户端的身份，是另外讨论的内容了。如果要详细讨论，范围太广了。 2015-8-15 11:40 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 9 楼这与简单验证还不同： 1、我这里说的是，关键代码放在云服务器，本地没有这部分代码。 2、你说的简单验证具有这样的特征：本地有完整功能。通过nop或者jmp就能跳过简单验证，从而获得完整功能。 2015-8-15 11:47 0
kingsdows 雪币： 135 活跃值： (106) 能力值： ( LV2，RANK：140 ) 在线值：发帖 12 回帖 110 粉丝 1 关注私信	kingsdows 3 10 楼就好像游戏会弄一个服务端, 很多重要逻辑都是在服务端运算. 一样的道理. 关键是, 你不可能把所有的东西都搬到服务端去. 看你能搬多少过去了. 2015-8-15 11:50 0
_委员长雪币： 238 活跃值： (197) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 161 粉丝 0 关注私信	_委员长 11 楼如果做得跟脱机挂一样呢。。。 2015-8-15 11:51 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 12 楼嗯嗯，与你说的有些相似。当然为了减轻服务端的负担，绝大部分的运算要放在本地，只把关键的代码放到服务器。例如：某些游戏本地刷枪、刷币是无效的。云数据里没有修改，虽然本地有枪、有钱，但是杀不死人，买不了装备。 2015-8-15 12:06 0
ruoe 雪币： 13 活跃值： (26) 能力值： (RANK：10 ) 在线值：发帖 68 回帖 219 粉丝 1 关注私信	ruoe 13 楼其实这个都是很难防止暴力破解的。。。大牛会把你的任何步骤都逆出来，除非，你本地只是类似一个播放器而已 2015-8-15 12:49 0
KooJiSung 雪币： 357 活跃值： (3438) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 14 楼游戏服务器挂了,除非你能做一个模拟服务器,不然游戏客户端等于废了关键是模拟服务器 2015-8-15 12:50 0
风随雨行雪币： 2513 活跃值： (575) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 15 楼模拟服务端返回给客户端正确的数据就行了 2015-8-15 13:28 0
cakegao 雪币： 296 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 46 粉丝 0 关注私信	cakegao 16 楼 (=_=)前提条件得建立在第一运行机器是联网的第二服务器部署的安全要达标，不过第二点不靠谱 2015-8-15 13:47 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 17 楼这不是废话吗？何为云计算？云计算本来就不是在本地计算，这玩意很早就出来了某P保护，某游戏检测，某xx，暗桩...还有一大堆流氓软件，不都是这样做的吗？跟肉鸡还有什么区别？都是流氓... 2015-8-15 14:07 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 18 楼。。。现在很多验证都这样啊，云端自定义算法，或者保留核心数据 2015-8-15 14:26 0
kernelwolf 雪币： 47 活跃值： (68) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 18 粉丝 1 关注私信	kernelwolf 1 19 楼现在常见的网络验证都有这样的功能了，保存关键数据，验证、下载回来只存放在内存中。 15L的模拟一般不行，数据加密每个用户都不一样的key，加时间参数什么的就更不好搞了。破解需要patch需要用到的数据，关键段通常都加上vmp，分析起来比较麻烦。思路不错，可以试试 2015-8-15 16:25 0
毁灭雪币： 346 活跃值： (129) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 210 粉丝 6 关注私信	毁灭 2 20 楼这个思路很多人都想过但中间的细节看你怎么处理! 2015-8-16 01:04 0
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 21 楼你这不新奇，你知道 SE 这个壳吗？他就是这样做的。。。。。。，而这种都是很久用一次的，如果你开发的程序是一个高使用率的东东，那除非你的东西做的前无古人，后很难来者，不然你等着给你自己用吧这也是从破解的角度来说的。。。。。。。。。。。 2015-8-16 01:51 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 22 楼我也看了SE壳，他的方法是高强度+网络验证。这与我上面说的简单验证是一样的：本地具有完整功能。而我说的方法就是要打破这种模式，将关键功能代码放到云服务器上，本地只有部分功能，离开了服务器，本地无法获得主要功能。甚至不加壳都可以。 2015-8-16 09:38 0
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 23 楼它功能就在云端，还有一大堆软件从云端执行的 2015-8-16 14:50 0
注定幸福雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	注定幸福 24 楼这样做跟楼上几位说法差不多：有几个解法,都是比较苦逼的： 1：想办法寻找帐号验证逻辑漏洞 2：如果关键代码不够复杂,那么可以尝试推出这段关键代码。 3：最苦逼的方法,弄一个正确的帐号,暴力把所有的运算结果都弄出来,放到本地后直接替换服务器的验证 4：暂时没想到。 2015-8-17 00:23 0
zkek 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 109 粉丝 0 关注私信	zkek 25 楼应该没那么简单。如果服务器和本地不同步，服务器主动断线什么的怎么办？ 2015-8-17 01:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复