我们正在开发在线软件,需要对我们的服务器进行用户名/通过身份验证。有两种用户(付费和免费用户)。付费用户当然应该具有与免费用户不同的可用功能。不幸的是,我们的应用程序在每个新版本发布后的1-2周内就会破解。我们希望为现有的身份验证系统或能够执行此操作的专家付费,这使得Crackers尽可能地努力。我们在破解保护方面有一些经验,但这次我们不知道了。
这是我们尝试过的: - 分为两部分进行身份验证(AES-256发送和AES-256接收,每个会话都有8char静态nonce和24char灵活nonce) - 两个部分都经过了两个不同的混淆器(EAzfuscator +虚拟化功能和具有虚拟化功能的ConfuserEx)的混淆。 - 几个杀手 - MD5检查(他们没有帮助,因为破解者正在创建一个" Loader"它模仿我们的身份验证服务器)
您认识提供此类服务的公司吗?该应用程序是用C#编写的。
答案 0 :(得分:0)
让您的应用在每次向服务器发送任何内容时生成随机令牌字符串。然后让您的服务器根据令牌将加密的字符串发回给应用程序。如果来自服务器的加密令牌字符串解密到内存中的原始随机令牌字符串,则允许软件继续....如果不停止执行。这将停止装载机。
当您以纯文本形式发送回复时,破解者可以轻易地欺骗它,因为他们知道如何模仿它。加密响应使其每次都是随机的,这使得它更难破解。