Здравствуйте! Надеюсь, я по попал по адресу, задавая свой вопрос в этом под-форуме.
Есть исполняемый в Windows .exe-файл. Мне нужно сделать несколько копий этого файла и раздать его нескольким людям. Если кто-то выложит его в интернет, то я не смогу вычислить кто это мог быть. Поэтому для каждой копии файла нужно добавить какую-то скрытую информацию, благодаря которой я смогу вычислить "сливатора". Первое, что на ум пришло это сделать разные хеш-суммы, но у меня есть только exe файл без исходников, я могу что-то в Hex-редакоре изменить и тогда хеш будет другой, но, наверное, пострадает сам файл и будет работать некорректно? Есть какие-то мысли, уважаемые программисты? Мне не важно, каким способом я буду отличать копии файлов. Понятно, что просто переименовать не подойдет. Надо любой более скрытый метод...
Я вообще не программист и мало чего понимаю. Очень прошу помощи. Спасибо.

Стеганография

Элементарно. Берете WinHex, открываете прогу - видите там прямо сразу текстовую фразу "This program must be run..." или "...cannot be run..." Вместо нее можете забить что угодно.

AleX_SPb
Элементарно. Берете WinHex, открываете прогу - видите там прямо сразу текстовую фразу "This program must be run..." или "...cannot be run..." Вместо нее можете забить что угодно.
то есть смысл в том, что если я в WinHex вижу текст, который можно прочитать, то на его месте можно вбить что угодно верно?

Да. Именно этот текст - атавизм. Он нигде не используется. Можете менять как хотите.

В зависимости от сообразительности получателей файла менять текст лучше незаметным образом, например, варьировать число пробелов между словами, добавлять или убирать пунктуацию и пр.

не надо варьированием текста заниматься... выбираете любой небольшой кусок текста примыкающий к "каля-маля" и заменяете его полностью на каля-маля. а вот это "маля-каля" потом незначительно варьируете, да просто нумерацию введите в любой его части. т.е. пронумеруйте раздаваемые копии...

да, и пользуйте только "атавистичные" куски текста, как посоветовали.

Ситуация, прямо скажем, непростая.
Думаю, лучшее, что вы можете сделать, — это использовать готовые коммерческие решения для защиты ПО от нелегального использования — "протекторы". Функция отслеживания распространяемых копий посредством цифровой подписи у большинства из них имеется, хоть и не является основной. Конечно, отсутствие исходников сильно снижает надежность такой защиты.

P.S. Тривиальные способы пометки, предложенные выше, элементарно сводятся на нет сравнением двух-трех экземпляров файла и изготовлением нового, неизвестного даже распространителю.

~wildwind~
Ситуация, прямо скажем, непростая.
Думаю, лучшее, что вы можете сделать, — это использовать готовые коммерческие решения для защиты ПО от нелегального использования — "протекторы". Функция отслеживания распространяемых копий посредством цифровой подписи у большинства из них имеется, хоть и не является основной. Конечно, отсутствие исходников сильно снижает надежность такой защиты.
Спасибо, а можно узнать название такого протекторного ПО?

~wildwind~
Думаю, лучшее, что вы можете сделать, — это использовать готовые коммерческие решения
думаю, есть бесплатное решение:
сгенерить самоподписанный сертификат и подписать им разные экземпляры с разным таймстампом (разрешение с точностью до секунды).
в дальнейшем в подписанных копиях ничего нельзя будет поменять без нарушения валидности ключа.

используйте разный наклон точки между именем файла и его exe-хвостом...
каждую меру градуса подпишите фамилией потсливатиля (потенциального сливателя)...

ionico
Из того, что на слуху, Themida, VMProtect, Asprotect.
Armadillo был известен в прошлом (сейчас уже не продается).

Konstantin Mironovich
ничего нельзя будет поменять без нарушения валидности ключа
В данном случае валидность ключа заботит только распространителя, но не взломщика.

AleX_SPb
Элементарно. Берете WinHex, открываете прогу - видите там прямо сразу текстовую фразу "This program must be run..." или "...cannot be run..." Вместо нее можете забить что угодно.

Тайный распространитель может обработать файл двоичным упаковщиком (или сразу несколькими, комбинируя настройки). И выложить это. Обратный процесс может быть достаточно трудоёмким.

Это как раз легко лечится. Можно ведь менять не текст в MZ-заголовке (или еще что-то неиспользуемое), а какую-то свою константу(-ы) в данных. А потом по какому-то условию/действию, известному только автору, эту константу выводить.
Как я понимаю, мы предполагаем простейший одноразовый вариант - надо спалить одного "распространителя" (возможно полного нуля в вопросе) малотиражного специфического продукта Если нет - ессно нужны решения совершенно другого уровня.

AleX_SPb
Можно ведь менять не текст в MZ-заголовке (или еще что-то неиспользуемое), а какую-то свою константу(-ы) в данных.
Есть ли какая-то общая метода добавить свою константу в exe файл?
Насколько я понял - исходников у автора нет.

Исправлено: uvs, 05.02.2016 17:07

Да, исходников нет

Упппс, тогда конечно отставить

Идея с текстом "This program must be run..." очень неплоха. Вряд ли кто-то будет туда лазить. Можно заменить некоторые символы на русские буквы аналогичного начертания, тогда и случайный просмотр не выявит закладки.

Гланое чексумму exe не забудте поправить.

AzikAtom
случайный просмотр не выявит закладки
Вы что, действительно полагаете, что человек, которому заплатят за эту работу, будет смотреть туда глазами?

~wildwind~
Я полагаю, что человек, решивший слить свой экземпляр программы не будет кому-то платить за нахождение подобных идентификаторов. Да и будет ли он об этом знать?

AzikAtom
Да и будет ли он об этом знать?
а мы ему тут как раз и объяснили где искать. возможно.
иначе я не понимаю почему нет исходников.

Ну, про более профессиональные способы сообщил ~wildwind~, за что ему спасибо.
Обязательно буду им пользоваться в следующий раз, но пока я ограничился "подправить буквоки", т. к. надо было срочно, во-вторых способ ориентирован на чайников еще больших, чем я.

ionico
Вдогонку не забудте подправить еще и чексумму... как я уже говорил. А то палитесь.

vertur
Вдогонку не забудте подправить еще и чексумму... как я уже говорил. А то палитесь.

А вот это интересно, как её подправить? Я делаю каждый файл с разными "буковками", но надо, чтобы у всех файлов была одинаковая сумма. Как это возможно?

ionico
Как это возможно?
Наоборот, одинаковая сумма будет, если её не подправить. Сама сумма вычисляется на основе данных файла, и при изменении "букв" она должна тоже измениться, чтобы соответствовать новому состоянию.

сумма проверяется только для драйверов и dll, которые грузятся при старте системы. остальное пофиг. с сертификатом валидность проверяется проще.

Konstantin Mironovich
антивирусы теперь настолько ленивы что даже чексумму не проверяют ?

vertur
а смысл, если вирусы ее патчат?
не спец, но, помнится, еще в 90е, антивирусы хранили инфу о файлах в своих базах, которые шифровали.

меня больше занимает вопрос про драйверы. они же теперь обязательны к подписи.
получается, что при загрузке проверяется две чексуммы? одна сертификатная, другая из PE хедера..

Konstantin Mironovich
Чесно говоря, незнаю как в вашей богодельне всё уже устроено - чексуммы, да всем пофиг, драйвера на С++ - исключение, да тоже пофигу...,
Дело за малым - отменить сертификаты, все равно их никто не проверяет.

Это я конечно-же пальцы перигибаю, потому что чексумма в заголовке - она простая с кучей хорош изученных коллиженов.

vertur
ну это у вас там богадельня, а у нас все денег стоит. сертификаты для подписи кернел кода очень недешевы.
сертификаты как-то проверяются. причем драйверные точно. если раньше обязательно было для x64, то тут столкнулся что на Win8.1 x86 тоже потребовалась подпись.
погуглил: проблема не только у меня. пользователи EVGA Afterburner жалуются.
есть выход с self-signed сертификатами, но пока неясно где они работают на 100%. по кр мере инсталлер может такие сертификаты прописать в trusted root. такая вот "дыра".

Konstantin MironovichНихерасебе! Это ж всю идею подписи модулей сводит на ноль!

Закроют, как пить дать закроют. И все самоподписанные из траста выкинут.

dozen
Это ж всю идею подписи модулей сводит на ноль!
не все так просто(tm)
делается это под правами администратора, которые получаются с согласия пользователя, который осуществляет инсталляцию.
msi пакет тоже подписывается. хотя "unknown publisher" тут прокатывает.

И все самоподписанные из траста выкинут.
изначально (vista time) вроде так и было. винда периодически проводила чистки. но сейчас как-то не замечаю.

у кернел драйверов есть более удивительные свойства. их можно открывать прогой из user-mode (если они уже открыты админом). многие драйвера при установке не выставляют нужные права на открытие. по умолчанию user все может. полагаю, так произошло потому что авторы бездумно копировани код друг у друга. я имею в виду популярные проги типа cpu-z и т.п.

Зато "ну это у вас там богадельня, а у нас все денег стоит. сертификаты для подписи кернел кода очень недешевы."

А у нас все наоборот - по умолчанию юзер ничего не может, даже если хочет. Причем совершенно бесплатно.

Добавление от 11.02.2016 04:57:

Чтобы Мелкомягкие дыру закрыли ? Размечтался. Они только после релиза Windows Seventeen прочухаются и добавят еще с десяточек дыр.