当前位置：文江博客话题详情

保护 Delphi 应用程序中的字符串

发布于 2024-08-17 04:13:10 字数 230 浏览 4 评论 0原文

我们有一个驱动 MS SQL Server 数据库的 Delphi 2006 应用程序。

我们发现了一个漏洞，可以将可执行文件加载到十六进制编辑器中并修改 SQL。

我们的长期计划是将此 SQL 移至 CLR 存储过程，但这还有一段路要走，因为我们的许多客户仍在使用 SQL 2000。

我们考虑过混淆字符串，有人推荐用于执行此操作的工具吗？

有没有更好的解决方案，也许是代码签名？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

白首有我共你 2024-08-24 04:13:10

很抱歉直言不讳，但如果您正在考虑在可执行文件中应用“安全”措施，那么您就注定失败。任何加扰方案都无法留住普通黑客。

您还没有解释您的应用程序是如何设计的。数据库是由您托管还是驻留在您客户的场所？如果是后者，那么就忘记安全性并开始聘请律师以获得良好的保密合同，以便您的客户表现良好。如果是前者，那么使用存储过程是最简单的方法。

回复收藏 0 原文

沉溺在你眼里的海 2024-08-24 04:13:10

如果嵌入式 SQL 遭到黑客攻击，则意味着您的数据库是相当开放的，任何拥有 MSQRY32.EXE（即 MS Office）的人都可以获取您的数据。

如果您是供应商，那么您不能依赖在客户端启用 CLR。那么，为什么不在版本无关的数据库中使用非 CLR 存储过程和正确的权限呢？

回复收藏 0 原文

煞人兵器 2024-08-24 04:13:10

这不是一个漏洞。如果你的机器很容易让人在本地修改 EXE，那么这就是你的漏洞。

所有 EXE 都可能被黑客攻击，如果有人拥有本地管理员帐户访问权限，那么您的游戏在他们接近您的资源字符串之前就已经结束了。

回复收藏 0 原文

蓬勃野心 2024-08-24 04:13:10

完全保护是不可能的，但你可以让“随意攻击”变得更加困难。我使用的简单系统是“ROT47”类型系统，它类似于 ROT13，但范围更广。然后代码如下所示：

frmLogin.Caption := xIniFile.ReadString(Rot47('$JDE6>' {CODEME'System'}),

这里的关键是我有一个包含字符串的注释，这样我就可以看到它，但更重要的是我在 FinalBuilder 构建脚本中运行的实用程序也可以看到它。这使我能够确保发布代码中的字符串始终是最新的。该实用程序在行中查找 {CODEME，如果找到，则知道要正确输出的数据的格式。

It will never be possible to protect completely, but you can make "casual attack" harder. The simple system that I use is a "ROT47" type system which is like ROT13 but wider ranging. The code then gets to look like the following:

frmLogin.Caption := xIniFile.ReadString(Rot47('$JDE6>' {CODEME'System'}),

The key here is that I have a comment which includes the string so both I can see it, but more importantly so can the utility that I run in my FinalBuilder build script. This allows me to ensure that strings are up-to-date at all times in release code. The utility looks for {CODEME in the lines, and if found knows the format of the data to output appropriately.

回复收藏 0 原文