The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Как защитить программу на Perl, чтобы никто не смог её прочитать (perl security)


<< Предыдущая ИНДЕКС Правка src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: perl, security,  (найти похожие документы)
From: Владимир Палант <http://xpoint.ru/user/info.xhtml?id=user999815130-20423>; Newsgroups: http://xpoint.ru Date: Mon, 23 Apr 2004 18:21:07 +0000 (UTC) Subject: Как защитить программу на Perl, чтобы никто не смог её прочитать Оригинал: http://xpoint.ru/articles/perl_code_secure/index.xhtml Disclaimer: все приведённые примеры предназначены для демонстрации принципов, а вовсе не являются готовыми к использованию решениями. Самый простой способ защиты программы это использование компилятора perlcc (Unix/Linux) или perl2exe (Windows), который создаёт из программы обычный выполняемый файл. Этот метод однако имеет много недостатков. Помимо ненадёжности компиляторов и потери кроссплатформенности, компиляции как таковой как минимум во втором случае не производится. Созданный выполняемый файл содержит полный интерпретатор Perl и саму программу в зашифрованном виде (так объясняется громадный размер файла). Уже существуют утилиты, позволяющие расшифровывать программу из такого файла. Рассмотрим методы защиты, при которых программа выполняется интерпретатором Perl как обычно. Защитить программу с абсолютной надёжностью таким образом невозможно. Программа должна быть понятна для интерпретатора, значит в ней сможет разобраться и человек. Единственное, что можно сделать, это усложнить понимание программы. В идеале расшифровка программы требует больше усилий, чем написание аналогичной новой программы. Однако чтобы достичь этого, требуются в первую очередь большие усилия от самого программиста. Помимо того во многих случаях снижается скорость выполнения программы. Поэтому вам следует сначала задать себе вопрос - а действительно ли это нужно, стоит ли того эта программа? Самый элементарный способ (и чаще всего используемый) - зашифровать программу, поместить её в переменную, а вконце поставить расшифровщик: $var='7072696e74202248656c6c6f2c20576f726c6421223b';eval pack('H*',$var); Можно использовать более надёжный способ шифрования, чем запись шестнадцатиричным кодом. Тем не менее это слабая защита - всегда нужен расшифровщик в программе и воспользоваться им может любой. Достаточно заменить в верхнем примере eval на print, чтобы получить исходный код программы. Это изменение программы обратимо. Однако есть обратимые изменения программы, после которых восстановить программу сложнее. Основная идея при этом - шифрование программы не целиком, а кусками: %var=("abrakadabra" => "func");foreach (keys %var){*{$_} = *{$var{$_}}}; sub func { print "Hello, World!"; } abrakadabra(); В этом примере в программе содержится список имён, из которого последующий код создаёт псевдонимы для функций. Вместо имени функции при вызове в программе используется ничего не значащий псевдоним, что резко понижает читабельность программы. В реальной программе список, разумеется, не будет храниться в столь очевидном виде, а будет как-нибудь зашифрован. Но даже тогда всё ещё можно заменить обратно все псевдонимы на настоящие имена функций, но это уже не так тривиально, как в предыдущем примере. Самый большой интерес представляют необратимые изменения. Частично таковым является удаление всех переводов строк, комментариев, лишних скобок и пробелов из файла - в общем всего ненужного, что было там лишь для повышения читабельности. Это необратимо лишь частично, поскольку некоторые редакторы могут автоматически расставить переводы строк и табуляторы. Тут уже видна первая проблема: если автоматически опознать лишний пробел ещё сравнительно просто, то со скобками это гораздо сложнее. Пример: $a = (2)+1; print (2)+1; Если первая строка и без скобок работает нормально, то во второй их надо обязательно оставить, чтобы не изменить результат. Следущим шагом является переименование всех идентификаторов (имён переменных и функций). Для наибольшего эффекта новые имена должны быть похожи, чтобы запутать того, кто решит разбираться в программе. При этом можно вспомнить, что Perl позволяет создать функцию, скаляр, массив и хеш с одним и тем же именем, чем не помешало бы воспользоваться. В идеальном варианте одинаковое имя получают переменные, которые используются поблизости: @r4t24swc=("Hello, World!"); %r4t24swc=("Hello, World!" => 1); $r4t24swc=$r4t24swc[0]; r4t24swc($r4t24swc) if ($r4t24swc{$r4t24swc}); sub r4t24swc {print shift} Далее следует замена операций на менее читабельные, которых как раз в Перле несчётное количество. К примеру можно преобразовать такую программу: @list = ("Hello World!"); foreach $entry (@list) { if (length($entry)==12) { print $entry; } } в эту: @list = ("Hello World!"); for ($i=0;$i>=$#list; do { $entry=$list[$i]; { do { print $entry; } if (length($entry)==12); } $i++; }) {} Здесь были выполнены три операции: * Цикл foreach был превращён в цикл for * Тело цикла было перенесено в его выражение инкремента * Условный оператор if был преобразован в модификатор оператора. Аналогично можно поступить с unless, while и until. Что можно сделать ещё? Можно вставлять в программу бессмысленные куски, которые ничего не делают: $do_nothing = 12; $abrakadabra = $do_nothing; # Здесь много текста $do_nothing -= $abrakadabra; # Опять много текста while ($do_nothing) { print "Abrakadabra\n"; $do_nothing=do_something($do_nothing); } В идеале эти бессмысленные операции должны быть разнообразными и похожими на окружающую их программу, чтобы их было сложнее распознать. Очевидно, что реализация программы для автоматического преобразования вещь нетривиальная. Требуется как минимум синтаксический разбор программы. Тут можно взглянуть на модуль B (есть в стандартной инсталяции Perl). Альтернативно могут помочь программы flex и yacc/bison. Ссылки по теме: * Защита WWW-сценариев от несанкционированного копирования и модификации http://infocity.kiev.ua/hack/content/hack146.phtml?id=1872 * shroud - Protecting Proprietary Perl Source Code http://www.craic.com/resources/tech_notes/tech_note_2.html

<< Предыдущая ИНДЕКС Правка src Установить закладку Перейти на закладку Следующая >>

 Добавить комментарий
Имя:
E-Mail:
Заголовок:
Текст:




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру