-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Кодирование скриптов ala Zend-Encoder
- Автор темы telepuzik
- Дата начала
Doomer
Guest
В Delphi существует механизм RTTI, когда к некоторым переменным можно обратиться по имени вроде
Сlass.GetVar('HelloWorld') := 1, но это не означает что прогу на Delphi можно дизкомпилить, просто в специальный массив сохраняются имена переменных и их адреса.
Crazy
Developer
"Прогу на Delphi" нереально перевести в исходный код исключительно по причине оптимизации.
К примеру, для TP3, в котором оптимизации не было в принципе, существовал декомпилятор, формировавший на выходе полноценный паскалевский исходник. С "дурными" именами, увы -- RTTI тогда не было.
К чему я это говорю? К тому, что у меня нет никаких данных о наличии оптимизатора в обсуждаемом энкодере. Если он там есть -- декомпиляция становится малореальным делом. Если его там нет -- это просто проблема "Неуловимого Джо".
Опять же, когда я говорю о малореальности декомпиляции оптимизированного кода, то имею в виду не невозможность этого, а лишь крайне высокую стоимость. Если ты готов потратить $200,000 на разработку декомпилятора, то я даже могу тебе команду подогнать. За полгода напишут.
К примеру, для TP3, в котором оптимизации не было в принципе, существовал декомпилятор, формировавший на выходе полноценный паскалевский исходник. С "дурными" именами, увы -- RTTI тогда не было.
К чему я это говорю? К тому, что у меня нет никаких данных о наличии оптимизатора в обсуждаемом энкодере. Если он там есть -- декомпиляция становится малореальным делом. Если его там нет -- это просто проблема "Неуловимого Джо".
Опять же, когда я говорю о малореальности декомпиляции оптимизированного кода, то имею в виду не невозможность этого, а лишь крайне высокую стоимость. Если ты готов потратить $200,000 на разработку декомпилятора, то я даже могу тебе команду подогнать. За полгода напишут.
telepuzik
тинки-винки
если ты прогу написал грамотно не полагаясь на session_register и register globals - работает на ура. вчерась потестил - без изменения проги - два раза пришлось добавлять переменные в список некодируемых. после этого все работало на ура. самое приятное - что "кодирует" все скрипты в проекте.Автор оригинала: Crazy
IMHO, пользование этой штукой -- тот еще геморрой с настройкой "а вот эти переменные портить нельзя".
Добавляется еще один полный цикл тестирования.
Crazy
Developer
Дело в скьюрити в том смысле, что негоже юзеру при срабатывании, к примеру, assert'а видеть полный путь. Т.е. не страшно, но все же не хотелось бы. Но авторы исходили конечно же не из этого.
То, что __FILE__ есть константа времени компиляции, вполне понятно. Но вот вопрос: если вызывать с указанием не просто имени файла, а с путем, то что сохранится в этой константе?
То, что __FILE__ есть константа времени компиляции, вполне понятно. Но вот вопрос: если вызывать с указанием не просто имени файла, а с путем, то что сохранится в этой константе?
STAH
Guest
Полный (?) лист всех протекторов
- Source Defender
- PHP Screw
- Zend Encoder
- PBC
- PHTML Encoder
- NIA Encoder
- microCode
- POBS
- Source Defender
- PHP Screw
- Zend Encoder
- PBC
- PHTML Encoder
- NIA Encoder
- microCode
- POBS
SeregaP
Guest
какая замечательная подборка ссылок. Мне б ее месяц назад
отвечу на некоторые неотвеченные вопросы
1) как кодирует Zend Encoder
в ZE включен Zend Optimizer, при кодировании скрипта сначала он обрабатывается ZO, приводится к более оптимизированному виду, потом он компилируется в байт-код для выполнения движком zend(php) (то же самое делает APC Cache, чья выдержка тут ранее приводилась). В этом байт-коде уже не видно исходников, но сделать обратное преобразование в принципе можно.
После этого байт-код уже шифруется каким то алгоритмом и записывается в файл.
Процесс расшифровки - обратный. Файл расшифровывается, получается байт-код, который уже пригоден для выполнения движком, он и выполняется
Отсюда плюсы и минусы:
плюсы: скорость выполнения у нас в общем случае возрастает, поскольку не надо компилировать файл, мы уже получаем готовый байт-код. Тратится, конечно, время на расшифровку, но для больших и средних файлов время компиляции гораздо больше чем расшифровки.
минусы: о взломе - теоретически такая возможность есть, поскольку у взломщика на руках есть и код расшифровщика, и зашифрованный файл, и сам ключ сокрыт где то в недрах зашифрованного файла. Однако поскольку исходных кодов, а след. подробнойстей алгоритма шифрования и хранения ZE ни у кого нет, то для выяснения метода шифрования и ключа потребуется декомпилировать выполняемый файл расшфровщика, написанного на СИ. Что, наверное, не проще, чем декомпилировать байт-код php в исходный php код.
То есть для большинства приложения такая схема может считаться достаточно надежной.
отвечу на некоторые неотвеченные вопросы
1) как кодирует Zend Encoder
в ZE включен Zend Optimizer, при кодировании скрипта сначала он обрабатывается ZO, приводится к более оптимизированному виду, потом он компилируется в байт-код для выполнения движком zend(php) (то же самое делает APC Cache, чья выдержка тут ранее приводилась). В этом байт-коде уже не видно исходников, но сделать обратное преобразование в принципе можно.
После этого байт-код уже шифруется каким то алгоритмом и записывается в файл.
Процесс расшифровки - обратный. Файл расшифровывается, получается байт-код, который уже пригоден для выполнения движком, он и выполняется
Отсюда плюсы и минусы:
плюсы: скорость выполнения у нас в общем случае возрастает, поскольку не надо компилировать файл, мы уже получаем готовый байт-код. Тратится, конечно, время на расшифровку, но для больших и средних файлов время компиляции гораздо больше чем расшифровки.
минусы: о взломе - теоретически такая возможность есть, поскольку у взломщика на руках есть и код расшифровщика, и зашифрованный файл, и сам ключ сокрыт где то в недрах зашифрованного файла. Однако поскольку исходных кодов, а след. подробнойстей алгоритма шифрования и хранения ZE ни у кого нет, то для выяснения метода шифрования и ключа потребуется декомпилировать выполняемый файл расшфровщика, написанного на СИ. Что, наверное, не проще, чем декомпилировать байт-код php в исходный php код.
То есть для большинства приложения такая схема может считаться достаточно надежной.