Php дебагеры, VLD или как их там. Чего против них делать?

[kaifo]

Php дисассемблеры, Vulcan Logic Disassembler или как их там. Чего против них делать?

Объясните плиз ламеру: если у меня в зазендином скрипте есть например такое

<?
$secret_key="секретный ключ";
?>

то через VLD видно значение $secret_key или нет?? И, если видно, то что нужно делать чтобы скрыть $secret_key от "хакеров"?

 

[Romantik]

что помешает мне
include()
потом echo $secret_key;
?

 

[si]

kaifo
дебагеры не работают с закодированными скриптами, по крайней мере зендовский, а вот сделать как сказал Romantik очень даже просто.

 

[kaifo]

это я ошибся и имел ввиду дисассемблер!!! (вообще я не знаю чего такое дебагер )
Vulcan Logic Disassembler --> http://www.derickrethans.nl/vld.php


"что помешает мне
include()
потом echo $secret_key;
?"

ну так я же зделаю в конце unset($secret_key) ;

>si

здесь были топики про взлом зазенденных скриптов с применением Vulcan Logic Disassembler. Я никогда такое не юзал - поэтому спрашиваю: видно ли в нем значения которыми инициализируются переменные и если да то как их скрыть?

 

[si]

Я никогда такое не юзал - поэтому спрашиваю: видно ли в нем значения которыми инициализируются переменные и если да то как их скрыть?

если коротко то эти значения можно увидеть и не обязательно для этого использовать vld и скрыть их никак не получится если они нужы в скриптах

 

[Romantik]

ну так я же зделаю в конце unset($secret_key) ;

и для чего тогда нужен $secret_key?

 

[kaifo]

> и для чего тогда нужен $secret_key?

это ж ведь не весь скрипт, а одна строчка из него. $secret_key используется в md5() для проверки некоторых переменных.

-~{}~ 14.07.05 12:35:

> скрыть их никак не получится если они нужы в скриптах

>si
так что выходит любая защита основанная, например на проверке серийного номера(или еще чего) с помощью секретного ключа, элементарно обходиться? Вытаскивается ключ и все

-~{}~ 14.07.05 12:43:

----
А вот еще вопрос: ну допустим увидеть можно, а можно ли изменить значение в закодированном файле? другими словами пропатчить зазенденный php байт-код?

 

[lucas]

так что выходит любая защита основанная, например на проверке серийного номера(или еще чего) с помощью секретного ключа, элементарно обходиться? Вытаскивается ключ и все

Так и есть. Другое дело, что львиная доля программы может быть написана лишь для "отвлечения внимания" на десятки лишних ветвлений, а сам ключ бует посимвольно распределен по коду.

 

[si]

kaifo
Все что один человек построил, другой завсегда сломать может (С) кино

 

[kaifo]

> для "отвлечения внимания" на десятки лишних ветвлений, а сам ключ бует посимвольно распределен по коду

>lucas

Можешь на примере показать как это делается:
1. лишние ветвления
2. ключ посимвольно распределен по коду

Plz.

 

[lucas]

Смысл примерно такой:

1. лишние ветвления

Много условных операторов и вызовов функций, имеющих на первый (и второй, а также третий) взгляд смысл.
В принципе, нормальный код, но помещенный для отвода глаз.

2. ключ посимвольно распределен по коду

Не хранить ключ одной строкой, а, например, несколькими в разных местах.
Или расшифровывать его в ходе п. 1 из другой строки/строк.

Тема частично упоминалась в километровом топике о защите от роботов по catcha-методам на xpoint, но ссылку, к сожалению, я найти не могу.