Tester für phpkopierschutz gesucht.

hihi, sorry das ich lache. aber ich wollte schon ein Joke in das Script einbauen und der id 1013 mitteilen, daß der Akkount nicht wieder aktiviert wird.

Alle haben beim ersten Mal direkt versucht zu cracken und sind dabei aus eis gelandet. Versuch dochmal erst das das Script auch so läuft.

Sorry aber im Windowsteil ist noch ein Fehler drin den ich morgen bzw. später erst beheben werde. Daher scheint der Kopierschutz mit Windows noch nicht zu klappen.

An den Forumadmin:

Ich würde gern einen Link von diesem Forum auf meiner Startseite setzen.

Darf ich dass?

Gruß

Thomas.

Zitat:

Original geschrieben von tstoffregen
hihi, sorry das ich lache. aber ich wollte schon ein Joke in das Script einbauen...

sorry, dass ich jetzt lache, aber das ganze script ist ein joke

Zitat:

Original geschrieben von 3DMax
sorry, dass ich jetzt lache, aber das ganze script ist ein joke

Naja, das ist Deine persönliche Meinung.

Mir ist klar, es es hier und auch in anderen Forums viele gibt, die eher open source programmieren. Aber solange das Script nicht geknackt wurde, ist wohl doch nicht so ein Joke.

Aber Du wiedersprichst Dich etwas. Zum einen schreibst Du, Dein Script läuft nicht (unter Windows gibt es noch einen Fehler den ich heute noch behebe) - Dann sagst Du Du hättest den Quelltext mit einem Sniffer im Klartext bekommen. Du zeigt mit sogar ein Stück Dump in dem ganz klar base64 codierter Text steht:
00b0 63 6c 6f 73 65 0d 0a 43 6f 6e 74 65 6e 74 2d 54 close..C ontent-T
00c0 79 70 65 3a 20 74 65 78 74 2f 68 74 6d 6c 0d 0a ype: tex t/html..
00d0 0d 0a 5a 57 4e 6f 62 79 41 69 54 47 6c 36 5a 57 ..ZWNoby AiTGl6ZW
00e0 35 36 62 6d 56 6f 62 57 56 79 49 47 6c 7a 64 43 56bmVobW VyIGlzdC
00f0 42 6e 5a 58 4e 77 5a 58 4a 79 64 43 49 37 5a 58 BnZXNwZX JydCI7ZX
0100 68 70 64 44 73 3d hpdDs=

Zum zweiten sagst Du das wäre ein ich Echtzeit geladener Code.
Auch da muß ich Dich enttäuschen. Der Code den Du erhalten (Nachgeladen) hast, ist der gleiche wie im Step0 (Abfrage auf Deiner Seite). Der wird dann rausgegeben wenn die Variablen im Querystring nicht mehr gültig sind.

Zum dritten, ob das unbedingt so sinnig ist, zu versuchen eine Lizenz die gesperrt ist alle paar Minuten über mehrere Stunden zu testen, lass auch dahingestellt sein.

Zum vierten, zum einen sagst Du, Dir ist eine Variable verloren gegangen und zum anderen hast Du nur gesnifft.

Sorry, ich möchte mich nicht steiten, ich finde es nur nicht so toll wenn ich bzw. meine Arbeit als Minderwertig abgetan werden nur weil man selbst noch nichts erreicht hat.

Der Ansatz ist zur Zeit jedenfalls richtig an den Code zu kommen. Noch. :-)

Bzw. wenn das Script, welches eingesetzt wurde um an den Code zu kommen, schon von der Geschwindigkeit optimiert ist, brauche ich die Ebenen noch nicht einmal weiter dynamisch machen. Das glauch ich widerum aber nicht.

Ich möchte an dieser Stelle etwas zu dem Einwand sagen: "Ich lasse doch keinen Code von einem Fremdrechner auf meinem Server laufen". - Würde ich auch nicht und so ist es auch nicht geplant. Jeder der seine Applikationen schützen möchte benötigt selbst einen eigenen Lizenzserver. Somit läuft auch nur phpcode von ihm bzw. des endkunden auf dem Endkundenserver.

Zur Zeit läuft nur eine Testphase. Und den Kopierschutzcode werde ich noch nicht preisgeben.

LG

Thomas

Eine kleiner Testbericht.

25 User haben sich gestern angemeldet
19 haben getestet
5 Windowsuser dabei wo die Lizenz durch einen Fehler im Script direkt gesperrt wird
14 sind gesperrt worden weil der Kopierschutz mitbekommen hat, dass versucht wurde zu hacken.
Bei 8 Usern wurden die Beweise für die Hackerei gespeichert.
Bei einem würde es im normalen Leben sogar für eine Strafanzeige reichen.

Der Windowsfehler wird heute behoben.

Status: Der Koperschutz ist bis jetzt noch nicht geknackt worden.

Auch mit recht gut (zumindest auf den ersten Blick) geschiebenen Parsescript war es bislang noch nicht möglich an den geschützten Code zu kommen.

LG

Thomas

Zitat:

Original geschrieben von tstoffregen
Ich möchte an dieser Stelle etwas zu dem Einwand sagen: "Ich lasse doch keinen Code von einem Fremdrechner auf meinem Server laufen". - Würde ich auch nicht und so ist es auch nicht geplant. Jeder der seine Applikationen schützen möchte benötigt selbst einen eigenen Lizenzserver. Somit läuft auch nur phpcode von ihm bzw. des endkunden auf dem Endkundenserver.

Und wie wird dann dieser Lizenzserver vor Manipulation geschützt?

Zitat:

Original geschrieben von tstoffregen

Status: Der Koperschutz ist bis jetzt noch nicht geknackt worden.

Zitat:

Original geschrieben von wahsaga
Und wie wird dann dieser Lizenzserver vor Manipulation geschützt?

So wie Du auch Deinen Webserver vor maniputation schützt.

Der Kopierschutz besteht aus 5 php-dateien mit zur Zeit insgesamt ca. 1000 Zeilen Code und einer Datenbank.

LG

Thomas

Strafanzeige?

Es ist Teil deines Konzepts, dass der Schutz von einem anderen Host gestellt wird, als das zu schützende Gut. Damit vergrößert sich eben auch die Angriffsfläche.

Im "normalen Leben" siehts doch so aus (Realfiktion):
Bisher ging mir viel Geld durch "Raubkopien" flöten. Einen Anwalt konnte und wollte ich mir nicht leisten.
In der Not habe ich dein Produkt gekauft. Für einen hochverfügbaren Lizenzserver habe ich meinen letzten Groschen geopfert. *sic*
Nun kommen täglich Kundenbeschwerden, weil meine Produkte nicht funktionieren.
Dabei ist mein Code völlig in Ordnung. Nur haben die "Raubkopierer" mal wieder versucht, den Kopierschutz zu überwinden. Dadurch wurde die Lizenz ungültig.
Ich befürchte schon seit einiger Zeit, dass es gar nicht ums Kopieren meiner Werke geht, sondern dass die Konkurrenz meinen Kunden so ans Bein pisst. Aber was soll ich machen? Mein Lizenzserver liefert mir die Beweise des Angriffs, auf dass ich zum Anwalt laufe. Aber erstens bin ich nicht verzweifelt genug, ein Botnetz anzuzeigen. Zweitens kann ich es mir nicht leisten und meine Kunden wollen sowieso sofort eine dauerhafte Lösung. Was bleibt mir also anderes übrig, ich reiße die Lizenzgeschichte wieder ab, kehre zurück zum Status Quo: Ungesicherter Code, Verluste durch illegale Kopien, aber zumindest läuft bei meinen Kunden alles.

Zitat:

Original geschrieben von tstoffregen
So wie Du auch Deinen Webserver vor maniputation schützt.

Ich will ihn nicht vor Manipulation durch andere schützen, sondern du müsstest ihn vor mir schützen ...

Oder sehe ich das falsch - dass wenn ich deinen "Lizensierungsserver" (bzw. die Scripte, die darauf laufen) - in die Finger bekomme, ich das ganze doch relativ einfach umgehen könnte?

so, mal ein kleiner zwischenstand:

PHP-Code:

//phpinfo();
$nozend=1;
$nophped=1;
if ( $nozend )
    if ( $_ENV["PHPRC"])
        die("Will da jemand mit Zend debuggen?");

if ( $nophped )
    if ( $_REQUEST["PHPEdHidden"] )
        die("Will da jemand mit Nusphere phpEd debuggen?");

$qstr1=$_ENV["QUERY_STRING"];
if ( $nozend )
    if (stristr($qstr1,"debug"))
        die("Will da jemand mit Zend debuggen?");

.
.
.
.


while(!feof($fp1))
{
    $resstr1 = fgets($fp1, 12800);
    if ($con1 == 1)
        $res1 .= $resstr1;
    if ( "$resstr1" == "\r\n")
        $con1=1;
}
fclose($fp1);
$aa1=stripslashes(base64_decode($res1));
$aa11=stripslashes($res1);
eval("$aa1"); 


das war der code, der in der 2. stufe bei mir ankam (hab mal ein paar teile entfernt).

wenn ich mir die zeit genommen hätte, den etwas aufmerksamer zu analysieren, hätte ich mit $aa1 den schlüssel zum glück bekommen. mein fehler, jetzt bin ich erstmal gesperrt. anyway, wenn als nächstes das kommt, was ich vermute, habe ich die fehlenden codeschnipsel/funktionen/variablen, um mein nicht lizensiertes script lauffähig zu machen.

wenn du den obigen code jetzt noch etwas vollmüllst, dynamische variablen einbaust und weiss der teufel was noch machst, wird es vielleicht ein tacken lästiger, aber mehr auch nicht.

Welchen Sinn sollte es haben den eigenen Kopierschutz zu umgehen.

Ein reales Zenario: Du schreibt eine Software und stellst Deinen Kunden eine kopiergeschützte Version zur Verfügung. Selbstverständlich mit Deinem eigenen Lizenzserver.

Wenn Du meinst, nur weil du einen Quelltext der Grundebene hast, kommst du auch an anderer Leute kopiergeschützte Scripte. Da muss ich Dich enttäuschen. Das klappt nicht.

Die Grundebene wurde bereits mit einem recht guten Script geparst. Leider zu langsam. :-) Der Code verliert nach kurzer Zeit seine Gültigkeit. Und Du bekommst wieder nur die Grundebene.

Weiterhin werden die Ebenen noch "echt" dynamisch (und nicht nur dynamische Vars und functs) gemacht. Mit dem entsprechenden Datenmüll (oder auch kein Datenmüll wer weiss das schon). Ich möchte den Programmierer sehen der da noch etwas parsen kann.

Gruß

Thomas

Zitat:

Original geschrieben von Wurzel
so, mal ein kleiner zwischenstand:

PHP-Code:

//phpinfo();
$aa11=stripslashes($res1);
eval("$aa1"); 


das war der code, der in der 2. stufe bei mir ankam (hab mal ein paar teile entfernt).

wenn du den obigen code jetzt noch etwas vollmüllst, dynamische variablen einbaust und weiss der teufel was noch machst, wird es vielleicht ein tacken lästiger, aber mehr auch nicht.

Herzlichen Glückwunsch. Du hast es geschafft. :-)

Also muss ich mit den dynamischen Ebenen doch noch weitermachen. :-)

Du hast das Parsescript ja. Würdest Du auch die nächste Stufe testen wenn sie fertig ist?


Gruß

Thomas.

wenns der interpreter parsen kann, kann ein programmier das idr auch. obs längre dauert, ist ne andere sache.

Zitat:

Ich möchte an dieser Stelle etwas zu dem Einwand sagen: "Ich lasse doch keinen Code von einem Fremdrechner auf meinem Server laufen". - Würde ich auch nicht und so ist es auch nicht geplant. Jeder der seine Applikationen schützen möchte benötigt selbst einen eigenen Lizenzserver. Somit läuft auch nur phpcode von ihm bzw. des endkunden auf dem Endkundenserver.

Das der Kunde sein Programm aber immernoch von meinem Server abhängig macht (das ist ja nichts anderes, als wen ich von dir abhängig bin), hast du nicht bedacht?

Deine potenziellen Kunden wollen ja nicht die Katze im Sack kaufen. Sie verlangen eine Darstellung des Konzepts.

Und das mache ich hiermit auch. Beschreibe uns das gesamte Konzept / den Algorithmus!

Ein echter Kopierschutz bietet auch dann noch Schutz, wenn seine Details öffentlich sind. Sonst ist es lediglich Obfuscating oder gar nur Hoaxing.

Und komme jetzt nicht mit "kann es nicht veröffentlichen, ist ja meine Geschäftsidee"! Zu dieser Idee gehört schließlich auch die Auslieferung der Scripte als "Lizenzserver" und damit dürften die Interna ziemlich schnell publik werden.