Tester für phpkopierschutz gesucht.

was willst du noch mit dynamischen ebenen bauen? im grunde kommst du doch um 3 dinge nicht herum:

1. das script sendet eine anfrage an den lizenzserver
2. server antwortet mit code
3. code wird evaluiert

^^ ob das 1x läuft oder 5x, ist doch egal. du schickst mir den code, ich finde die notwendigen stellen (bzw. mein script) und gebe dir, was du willst. im oben genannten fall, einen unverdächtigen php-code mit dem unmanipulierten lizenzschlüssel-aufruf am anfang.

jede stufe, die deinerseits dazukommt, kostet zeit. die geschützte applikation braucht auch nochmal rechenzeit. wieder ein nachteil ... vor allem im vergleich zu zend oder ioncube.

nochmal das thema "zeit": du schreibst, dass deine variablen nur eine bestimmte zeit gültig sind. hier musst du berücksichtigen, dass die kommunikation von server zu server auch mal gestört werden kann. was pasiert dann? variablen-laufzeit abgelaufen, weil der connect 0,7 sec statt 0,3 gedauert hat mit dem ergebnis, dass unberechtigt die lizenz gesperrt wird? ... imho wieder eine schwachstelle. entweder hast du permanent genervte kunden am rohr, die unberechtigterweise gesperrt sind oder ein angreifer hat genügend zeit, zu probieren.

Nein, das ist das Szenario, welches für bereits als zu unzuverlässig abgelehnt haben.

Aus meiner Sicht als Kunde läuft was wichtiges ausschließlich auf meinem Server, ohne Abhängigkeiten von Fremdservern, deren Zuverlässigkeit und Sicherheit nicht meiner Kontrolle und Beeinflussung unterliegen.

Auf der anderen Seite wäre so eine Situation im normalen Leben nicht
passiert, bzw. ich habe den inhalt des eingesetzten Scripts und der würde
mit sicherheit für einen strafantrag reichen.

Als Startscript wurde ein Parserscript eingesetzt. Das ist natürlich nicht
Sinn der Sache. Normalerweise wird der Inhalt des geschützten Scriptes vom
Softwarehersteller in der Datenbank hinterlegt. Ich habe leider für
Testzwecke zugelassen, das der Inhalt von ersten Aufruf geschützt wird. Wenn
das schon ein parserscript ist, ist es natürtlich dumm für mich. Aber wie
gesagt, dafür ist es ein Test. :-)

Ich werde die Ebenen jetzt so dynamisch wie möglich machen.
Wenn das parsen länger dauert als die Gültigkeit des Codes habe ich mein Ziel doch erreicht.

Sollte der Code nicht mehr gültig sein, kommt zur Zeit eine Fehlermeldung. man könnte aber auch die grundebene wieder neu starten das parsen wird dadurch auch nicht schneller.

LG

Thomas

Ich werde den Code später sehr wahrscheinlich als open source deklarieren. Ich möchte nur den nächsten Schritt ohne fremde Hilfe schaffen. Schaffe ich das nicht, kann ich das Teil eh veröffentlichen. Ausserdem gibt es noch Möglichkeiten die Performance zu verbessern, bei der ich zwar die Idee habe, aber nicht in der Lage bin das selbst zu realisieren.

Ich komme ursprünglich aus der SPS-Programmierung und habe mir die Programmierung in 20 Jahren, über C64-Assembler, Pascal, C, PHP,... selbst beigebracht. Vieles entsteht mit Learning by doing.

Ich habe mit meiner Programmierung unter Linux auch schon sehr gute Erfolge gehabt. Unter anderem war ich knapp vier Jahre als freiberuflicher Programmierer für die erst WestLB, später WestLB Systems tätig. Dort habe ich eine Applikationsüberwachung für eine SER-Software (Anlagekonto/Fondsverwaltung) in zwei Releaseständen, völlig automon geschrieben. Auch die Idee kam von mir. Die Überwachung läuft heute noch produktiv und meldet jegliche Ausfälle in Echtzeit dem Operating. Leider ging es 2001 durch Krankheit nict mehr weiter. Heute bin ich 42 und Quereinsteiger, mein erster Beruf ist Binnenschiffer, ohne Abi oder Studium. Und von den paar Einsätzen die ich mit Kunden habe lebt man mehr schlecht als recht. Daher möchte ich meine Idee den Kopierschutz unparsbar zu machen, erst noch alleine versuchen.


LG

Thomas

Hast Du den Pfad manuell eingegeben? Da war noch ein Fehler drin. Der Fehler ist aber behoben und du kannst es erneut testen.

Ich habe gerade gesehen, das Teil ist nur geknackt worden weil unter anderem im Pfad "c\Apache\\Apache\\htdocs\\test.php(109) : eval()\'d code" stand. Das ist im normalen Leben nicht möglich, weil Pfad und Inhalt der Datei vorgegeben sind.

LG

Thomas

Versuch Dein Script doch nochmal laufen zu lassen. Ich habe die Variablennamen geaendert.

Wenn es so einfach war, dürfte es doch kein Problem sein oder?

Gruß

Thomas

bin noch gesperrt? id 1035

ist wieder frei.

Und wieder gesperrt.

Kommt Dir das bekannt vor?

---
function huhu()
{
$v = \"make my day\";
}
?\'.\'>\'));

---

LG

Thomas

ja, habe den korrekten pfad eingegeben.
der o.g. pfad ist nicht meiner. ich bin auch immer noch gesperrt id 1013. und was ist nun mit "Notice: Use of undefined constant..." davon bekomme ich knapp 30 fehlermeldungen ist ja wohl auch nicht i.o.

Die Fehlermeldungen mit den Konstanten sind normal. Leider.

Bsp:

$a="fopen";
${a}(...); Ist von der Sytax korrekt ergibt aber eben diese Fehlermeldung im Debugger.

ich hätte auch $a(...) schreiben können, aber daduch ist der Inhalt der Variable schon mit einem Debugger sichtbar.

Ich habe den Pfad korregiert und dich wieder freigeschaltet.

Wenn Du nichts geändert hast seit deinem ersten Aufruf müsste es auf Anhieb laufen. Ansonsten wird die Lizenz gesperrt weil der Dateiinhalt verändert wurde.

Frag Wurzel. Der hat die Erfahrung gerade gemacht. :-)

LG

Thomas

ok, meine zeit ist momentan etwas knapp.

du möchtest jetzt in der ersten stufe das aufrufende script auslesen und auf deinen server übertragen. da ich von verherigen versuchen weiss, was da läuft, ist es etwas einfacher. aber das entschleiern der vars ist ja nun kein akt.

ich würde dir jetzt per preg_replace nachdem der befehl zum code auslesen kommt, meinen dummy-code einspeisen. danach bekomme ich von dir stufe2. wahrscheinlich ist der code nun hier auch verschleiert, also dasselbe spiel wie oben nochmal. etc. pp.

hab grad nochmal die gegenprobe gemacht ohne code einzufügen und bin wieder gesperrt.

wenn du mitloggst, hast du jetzt
5-6 erstaufrufe ohne weitere rückmeldung, weil ich das unterbunden habe.
1 aufruf mit bewusst manipuliertem code, der zur sperre führt als gegenprobe.

ohne es jetzt näher zu prüfen, imho keine große verbesserung.
meine mail angekommen?

so, ich habs:

$data33=stripslashes(base64_decode(\"ZWNobyAnaGFsbG8nOw==\"));
da steht mein code echo 'hallo';
und von mir aus kannst du noch 1000 ebenen einbauen, ich bekomme das in ein paar sekunden raus.



edit: hab mal noch php-tags hinzugefügt.
was ist denn los, tstoffregen, hat's dir die sprache verschlagen?

:-) Etwas.

Von Wurzel das Script hab ich gesehen und finde zur Zeit noch keine Möglichkeit etwas dagegen zu tun.

LG

Thomas

wie gesagt, ich habe diesmal überhaupt nichts mit php geparst - einfach das letzte http-paket von deinem server gesnifft - thats all.

gut, du könntest das jetzt auch wiederum "verschleiern" aber deine dynamischen variablen und zeitbegrenzungen der vorherigen x-ebenen greifen überhaupt nicht mehr.
es wird sozusagen alles auf eine ebene heruntergebrochen und man hat dann alle zeit der welt, diese zu analysieren.

Das ist richtig. die Verschleierung, Dynamisierung und die dynamischen Variablen/Funktionsnamen muessen noch auf alle Ebenen durchgezogen werden.

Für das Problem mit Wurzels Script, habe ich schon eine Lösung. :-)

Das dürfte so jetzt nicht mehr klappen.

Bzw: meine Erweiterung des Steps muss auch nochmal verschleiert werden.

Aber das Du das Script nur mit einem Sniffer herausbekommen hast, ist mir ein Rätsel da der Transfer base64_decodiert passiert. Aber auch da gibt es Abhilfe. :-)

Dafür ist die Testphase ja da.

LG

Thomas.