Sicurezza della versione di prova

Question

Sicurezza della versione di prova

#1 da (2 voti)

3

Sto sviluppando software stand-alone in BDS 2006. Voglio fornire una versione di prova per 6 mesi - l'utente può usarlo per solo 6 mesi, ma non più su un particolare sistema.

Ho gestito la maggior parte dei casi ma non so come gestire altri casi, tra cui:

1. Sulla formattazione di un PC

Questo perché sto salvando i dati crittografati (numero di tentativi e altre informazioni releted) in un file e nel registro. Nel formato questi andranno persi, quindi se l'utente utilizza il software per 6 mesi e formatta il pc e lo reinstalla, potrà utilizzare il software per altri 6 mesi.

2. Fermare il tempo in modo tale da utilizzare per sempre il software Trial Version senza Scadenza.

Ci sono alcuni s / w disponibili che fermeranno l'orologio per usare il software per sempre. Ho trovato una soluzione a questo seguendo il numero di tentativi. Se il numero di tentativi supera un limite, non consentirà l'esecuzione dell'applicazione, ma desidero comunque impedire all'utente di reimpostare la data.

EDIT1

Se ottengo i dettagli dell'hardware durante il download e il salvataggio nel database e controllo su ogni download, se ho visto che la configurazione h / w nega l'accesso.

In questo caso l'utente può scaricare da altri sistemi (quindi ovviamente i dettagli di h / w non corrisponderanno e sarà in grado di scaricare e reinstallare sul sistema).

Qualcuno ha qualche idea?

hardware access-control

posta pradnya 23.04.2012 - 14:43

fonte

1 risposta

Leggi altre domande sui tag hardware access-control

Ci sono incidenti noti di malware Linux provenienti da repository non ufficiali? Aggiorna i token con le SPA

score 2 · Answer 1

I am saving the encrypted data (no. of tries,and other releted info) in a file and in the registry.

Se i tuoi utenti sono esperti di tecnologia, non sarai in grado di scoiattolare le informazioni nel registro senza che loro se ne accorgano. Possono semplicemente tornare a una versione precedente della voce di registro.

Microsoft ha provato fingerprinting del dispositivo memorizzando le caratteristiche del dispositivo in wpa.dbl. Non ho gestito una macchina Windows da un po ', quindi non so quanto bene funzioni, se è usato su Windows 7, o se quel file è leggibile da altri processi. Ricordo che dovevano fare un sacco di lavoro per rendere l'impronta del dispositivo robusta contro piccole modifiche ai dispositivi.

In its simplest form, activation (on a Net-connected PC) is a matter of sending a unique code from your PC to a server at Microsoft. That server then returns an activation code, which allows you to keep using the operating system. The unique code belongs to your computer alone and acts as a flag to Microsoft if your copy shows up on another PC or you significantly alter some part of your PC. Fully Licensed, a software-licensing technology firm in Germany, figured out how the process works and shared the details with the world. Activation starts with an Installation ID--a packet of encrypted data containing the 25-character XP serial number combined with hardware information--which is sent to Microsoft over the Internet. While you have the option to register your copy of XP (that is, send personal information to Microsoft separately from activation) during the activation process, Fully Licensed verified that no personal information is gathered, stored, considered, or transmitted during activation. The registration process, on the other hand, does collect personal data, such as your name, address, and e-mail address, but as a separate process that is not required for activation. If your PC isn't connected to the Internet when you install or activate XP, the OS presents the Installation ID on your screen, and you must read it over the phone to a Microsoft customer service person. (A special program, called msoobe.exe, creates the ID.) At Microsoft's activation server, a program checks the ID to verify that the data arrived intact and that the product ID has not been used with a different hardware fingerprint (that is, another computer). XP stores the system fingerprint on your PC in a file named wpa.dbl. From now on, whenever you reinstall that copy of Windows, the Microsoft server compares the original system fingerprint and OS serial number created at first activation with the current system fingerprint for that product serial number.

If the product ID and hardware fingerprint from a new installation are not significantly different from a previous activation, the activation server generates a 44-digit Confirmation ID code and sends it back to your PC.

Sembra che ci sono altri disponibile in commercio soluzioni di rilevamento delle impronte digitali sul mercato.

Quindi, se è possibile derivare un'impronta digitale dispositivo o sulle spalle fuori l'attivazione MS uno, si potrebbe criptare con una chiave privata su un server, e far controllare il software con una chiave pubblica incorporata nel software in modo che la necessità della macchina non essere collegato in modo affidabile alla rete per avviare il software.

Nessuno di questi aiuta se l'installazione di Windows è all'interno di una macchina virtuale in cui i dispositivi sono virtualizzati.

In alternativa puoi provare le impronte digitali non hardware. Ricordo vagamente un po 'di gente di Berkeley che ha inventato un modo per identificare le macchine personali anche quando Tor era in esecuzione guardando i font installati. Molti programmi di Windows portano i font, i font vengono raramente disinstallati e i font sono disponibili per i browser, quindi osservando determinate versioni dei font potrebbero trovare un'impronta digitale ragionevolmente affidabile. Questo potrebbe sopravvivere alla re-imaging, supponendo che l'utente del tuo software voglia continuare a far girare altri programmi sulla stessa macchina.

link

In general, plugins and fonts are the most identifying metrics...

We tested the hypothesis that font orders are informative, by checking to see if any returning, cookie-accepting users had font lists whose order had changed.

Tieni presente che l'invio di queste informazioni a un server, anche in forma di digestione, potrebbe essere qualcosa che devi richiedere il consenso dell'utente prima del tempo.