Однако то, как проверяется пароль в PFTW, заслуживает серьезной критики. В ранних версиях пароль просто сравнивался со строкой, хранившейся в зашифрованном виде. Следовательно, можно было или откорректировать условие, в результате проверки которого принималось решение о правильности ввода пароля, или "подсмотреть" пароль в момент проверки.
В 1998 году Павел Семьянов разработал программу No More Secret Stuff (NMSS), позволяющую подобрать 32-битовый ключ и расшифровать архив не более чем за 4 недели на компьютере с процессором Intel Pentium 166 МГц. С тех пор производительность процессоров значительно выросла, и подбор ключа может быть осуществлен на одном компьютере за считанные дни. А если выполнять вычисления одновременно на нескольких машинах, то результат может быть достигнут буквально за насколько часов.
Очень многие программы распространяются в ZIP-архивах. И очевидная идея защиты дистрибутива — установка пароля на архив. Если выбранный пароль содержит буквы, цифры и знаки препинания и имеет достаточно большую длину, то для отыскания такого пароля перебором потребуется очень много времени. Однако кроме подбора пароля методом грубой силы (brute force) существуют и более эффективные варианты атаки.
Бухгалтерская программа от компании 1С исторически была защищена от копирования при помощи аппаратных ключей HASP. Для всех ключей HASP того времени существовали эмуляторы, и 1С нормально работала при отсутствии ключа, если на машине был установлен эмулятор, и очень многие это знали.
После перезапуска программа читает с диска регистрационную информацию и тиражирует ее в памяти в нескольких экземплярах. Это делается для того, чтобы противнику сложнее было найти место, где программа интерпретирует регистрационные данные.
И, конечно же, если регистрационные данные просто проверяются на корректность, ничто не мешает противнику исправить тело процедуры проверки таким образом, что любые введенные регистрационные коды будут считаться правильными. Лучше сделать так, чтобы регистрационная информация использовалась в жизненно важных функциях программы.
Программы, в которых предусмотрена возможность регистрации, выглядят привлекательно с точки зрения маркетинга. Действительно, пользователей должно радовать, что сразу после оплаты стоимости лицензии они получат регистрационный код и могут моментально превратить ограниченную версию в полноценную. Не потребуется ни выкачивание другого инсталляционного пакета, ни повторная инсталляция.
Противодействие мониторам работает только в том случае, если программа знает, как определить наличие монитора в памяти и как его обезвредить.
Поэтому часто противнику достаточно изменить логическое имя драйвера монитора, чтобы программа оказалась не в состоянии его обнаружить.
Для того чтобы ограничить период возможного использования продукта, необходимо в некоторой области компьютера сохранить дату установки или количество запусков. Обычно для этого используются произвольные файлы или реестр (Registry Database). Многие считают, что, спрятав такой счетчик в самый дальний угол операционной системы, они сделают невозможным обнаружение его местоположения, а следовательно, и сброс счетчика.
Если автор демонстрационной версии программы хочет сделать недоступным, например, пункт меню Save, то он может пойти двумя путями:
- при инициализации программы сделать этот пункт недоступным;
- удалить из программы весь код, относящийся к сохранению данных на диске, и при инициализации программы сделать пункт меню Save недоступным.
Так что модификация виртуальной машины является весьма сомнительным средством для защиты от декомпиляции псевдокода. К тому же, распространение модифицированной виртуальной машины почти всегда является нарушением условий лицензии, в согласии с которыми эта машина должна использоваться. В случае с виртуальной машиной FoxPro, являющейся собственностью корпорации Microsoft, ущемленными оказываются права последней, а это может вызвать серьезные последствия.
Программа разрабатывается в среде FoxPro и компилируется самым обычным образом. Чтобы ReFox невозможно было использовать для получения исходного текста программы, необходимо изменить способ кодирования псевдокода.
В любом случае, для многих популярных транслируемых языков программирования были разработаны декомпиляторы, позволяющие получить если не точную копию оригинального исходного текста, то часто эквивалентный код, который может быть скомпилирован и будет работать так же, как оригинальная программа. В разных языках программирования количество информации, сохраняемой в оттранслированном тексте, может отличаться.
Если для какого-то языка нет описания кодов операций, но этим языком пользуется довольно много программистов, рано или поздно кто-то задастся целью разобраться в деталях псевдокода и разработает весь необходимый инструментарий.
Библиотечные функции могут импортироваться и экспортироваться не только по имени (by name), но и по номеру (by ordinal). Это позволяет вообще исключить соответствующие имена из программы и библиотек.
Оказывается, защищенная программа так реагирует, в частности, на наличие в памяти процесса с именем MSDEV.EXE. Для справки, MSDEV.EXE — это имя основного файла Microsoft Developers Studio — набора средств разработки программного обеспечения, выпускаемого корпорацией Microsoft. Действительно, MSDEV.EXE может использоваться и для отладки программ, но основное его предназначение— именно разработка. То есть авторы PHOTOMOD считают, что пользователи их продукта ни в коем случае не должны пользоваться средствами разработки, предоставляемыми компанией Microsoft.
Но разнообразие версий программного обеспечения и оборудования настолько велико, что небольшой компании просто физически не удастся проверить обнаруженную особенность на всех конфигурациях, которые могут встретиться у пользователя. Но и крупным корпорациям это далеко не всегда под силу.
Разработчики протекторов стремятся использовать все доступные им возможности для повышения стойкости. Однако иногда они забывают, что, повышая защиту конкретной программы, они могут случайно ослабить некоторые элементы защиты.
Другой пример касается нескольких версий программы Adobe Acrobat eBook Reader, защищенной при помощи протектора РАСЕ InterLok. Защита использовала драйвер, устанавливаемый в ядро операционной системы, и одной из функций драйвера была борьба с отладчиком.
В комплект разработчика, поставляемый вместе с ключами HASP, входит протектор HASP Envelope. Цель этого протектора — защитить программу от исследования и даже запуска при отсутствии аппаратного ключа HASP.