Как защитить приложение от внедрения кода?

Question

[Дмитрий Донской]

Здравствуйте, каким образом можно защитить приложение написанное на C++.

Хотелось бы узнать:

1. как можно обнаружить и предотвратить внедрение чужого кода;
   
2. защитить данные приложения от чтения/записи из вне;
   

Сейчас для защиты приложения используется:

1. Проверка хэш-сумм файлов, полученных от сервера;
   
2. Хранение важных данных с солью(магическим числом);
   

Так же был бы благодарен за полезную литературу по написанию "анти-чита" и других вспомогательных утилит по обеспечению безопасности.

Делать гибридное приложение(использовать C++ и виртуальную машину: lua, pawn, squerli, и другие) не хочется - дополнительная трата времени и сил, вдобавок в два раза больше отлаживать код.

Comments

[Дмитрий Донской]

Вся логика приложения проверяется на сервере. Но в любом же случае есть возможность отследить вызовы методов на клиенте и их подменить свои путем стороннего модуля или патчем приложения.

Answer 1

[Adamos]

Можно попробовать представить, что именно может делать чит с данными, и встроить проверку, не были ли данные изменены нелогичным способом.
Своего рода тест, встроенный в само приложение. Кстати, если действительно периодически вызывать некую функцию с тестовыми данными и сравнивать результаты с известными, можно поймать момент, когда функция была подменена и стала делать не то или не так. Без всяких проверок хэшей и пр.

Comments

[Дмитрий Донской]

Хорошо, так мы можем отловить подмену пользовательских данных, таких как уровень/деньги/позицию и так далее, НО, который проверяются на сервере и подмена таких данных бессмысленна. Так как "Кэш" хранится на сервере, и данные обратно сбрасываются на реальные. Но это не поможет поймать перехват функций, допустим стрельбы и так далее, который не проверяются на сервере. Так же можно, например, заблокировать вызов определенного RPC пакеты, который даст преимущество читеру

Answer 2

[Вячеслав Барсуков]

Способов много, от простого - сверки хеше, до сверки количества строк или символов в приложении.
Все больше от фантазии зависит.

Comments

[Дмитрий Донской]

Такой способ больше подходит для защиты ресурсов приложения(графика, настройки и т.д);
А каким способ можно запретить или хотя бы отловить внедрение внешнего модуля(dll)/подмену вызова функций в приложении

Answer 3

[Владимир Мартьянов]

В общем-то сложная задача... Коммерческие протекторы - думаю, простой вариант.

Comments

[Дмитрий Донской]

не могли бы привести примеры, и на сколько это оправданно? В плане внедрения в приложение и дальнейшая поддержка; какие могут быть подводные камни, например, если приложение должно быть кроссплатформенное(windows/linux/android/ios)?

[Владимир Мартьянов]

sentike: VMProtect может помочь, а может и нет. Осложнит задачу определенно. Оправданность - вам считать, стоит оно того или нет. Кросплатформенность потребует, вероятно, разной защиты на каждой платформе. Про инжекты на ведроиде/огрызкоси я даже не слышал.