9-го марта опубликовал в блоге заметку “Советник GOLD MINE. Первое впечатление”, в которой отметил о большой дыре в защите этого советника. О проблеме сообщил автору, но это его не слишком интересует и он промолчал. Так как в конференции http://pitforex.com/index.php выложена декомпилированная часть ex4 в виде файла mq4, то некоторую информацию могу опубликовать без всякого вреда, хуже автору уже не будет.
Прежде чем поделиться информацией о советнике, несколько слов о фирме ООО «ЯСМИН «ТД», предлагающей оборудование для газо и электросварочных работ (например, инвертор arc и др.). Актуальность предложения возрастает с приближением лета, так как это самое время для выполнения разных строительных работ, в том числе на даче. Предлагаемые инверторы Сварог моделей ARC включает в себя бытовые однофазные модели на 160-200 А и промышленные трехфазные аппараты с максимальной мощность сварочного тока в интервале от 250 до 630 А. Использовать инвертор можно для проведения ручной дуговой сварки. Можно будет подумать о том, чтобы приобрести бюджетную модель для работ на даче.
Возвращаясь к основной теме. Советник можно скачать по ссылке http://lid-info.com/forex/goldmine/GoldMine.exe.
Обратите внимание на скрипт идущий вкомплекте boxbreakout_keygen.ex4. Вероятно, его автор специально приложил для тех, кто хочет сэкономить деньги и не покупать его советник. Такой вот оригинальный маркетинговый ход. Запускаете скрипт boxbreakout_keygen.ex4. Он обращается к функции из библиотеки boxbreakout_keygen.dll
#import «boxbreakout_keygen.dll»
int getCode(int a0);
#import
Вводите в окне номер счета и получаете код регистрации.
При запуске советника отрабатывает
Обращение к функциям
#import «boxbreakout_protect.dll»
int CheckCode(int a0, int a1);
int TimeStamp(int a0, int a1, double a2, double a3, double a4, int a5, double a6, double a7, double a8);
double getUp(int a0, int a1, double a2, double a3, int a4, int a5);
double getLw(int a0, int a1, double a2, double a3, int a4, int a5);
#import
переменные
a0 — номер вашего счета
a1 — полученный номер регистрации
Ключеделка пишется за несколько минут. Примерно за час дает коды регистрации для всех счетов, которые вообще возможны. От счета номер 1 до счета 99999999. Выложить ключеделку не могу, хотя ключеделка написана и ее скришоты и выборочные результаты работы программы переданы автору с информацией о том, что его защита не совершенна. Замечу, что полную декомпиляцию скрипта регистрации я не делал, так же как не делал и полной декомпиляции самого ex4 файла советника. Моя методика оценки защиты предусматривает только получение информации о тех функциях, которые есть в dll и обращение к ним. То есть можно говорить об анализе защиты, но не о полном взломе программы, как таковой. То, что автор выложил родную ключеделку-скрипт вместе со своим продуктом, то его ляп. Если автор не хочет уделять должное внимание (и тратить деньги) на защиту своих разработок, то это тоже его личный выбор. Не хочет человек получать дополнительную прибыль и смешит Интернет свои маркетингом, так то его выбор и позиция — уважайте (и пользуйтесь продуктом бесплатно, если автор такую возможность пусть и не явно, но предоставил). Я не занимаюсь взломом защит, созданием их, установкой и улучшением (относится не только к программам с ex4 + dll) — да. Большинство современных защит со связкой ex4+dll идут с системной (методической) ошибкой. Это позволяет, например, вычислить коды регистрации для советников
Progressor v 1.5, http://forex4youclub.ru/ru/progressor
Progressor v 1.9, http://forex4youclub.ru/ru/progressor1.9
Rebis 1.2, http://forex4youclub.ru/ru/rebis
GRAIL 2.0, http://lid-info.com/forex/grail/demo/start/
GRAIL 3.0 http://lid-info.com/forex
и др. Если найдется человек, который захочет получить информацию о том, как это делается. О бреше и о заготовках для подбора кода, то готов такого человека за разумное число. правильных денег обучить и предоставить информацию в полном объеме. Как дальше будет использовать знания человек, для того, чтобы делать надежные защиты своих советников или по образцу клепать ключеделки зависит только от личного выбора самого человека. В общем, моя позиция — стандартная позиция человека, занимающегося безопасностью. Участвовать в обсуждениях, отмечать явные ляпы и помогать людям, но не публиковать и не распространять программы собственной разработки, нарушающие чужие авторские права. Например, тот же исходник GoldMine я смотрел уже, после того, как его выложили и мой комментарий с фрагментом ухудшить ситуацию координально уже не может. Скрипт ключеделки тоже полностью не смотрел — сделает кто-то декомпиляцию — загружу и посмотрю, сам делать декомпиляцию не буду. Итого, если кого заинтересуют какие либо вопросы по защитам — оценка их надежности, разработка — обращайтесь.
На этом на сегодня все.
