Russian Qt Forum

Применял ли кто обфускацию строковых констант бинарника ?
Чтобы любопытный пользователь не смог заглянуть и посмотреть строки, некоторые из которых могут содержать чтото важное.
Для целей защиты от дурака.

Можно попробовать из алфавита набирать индексами нужное слово.
Можно в ресурсах хранить картинки и расшифровывать их в строки по цвету.
Можно штрихкоды коды хранить в ресурсах.

Можно сжимать строку получив байтовый массив (например, алгоритмом deflate)
Байтовый массив кодировать в base64 и хранить его как строку

Потом обратными получить исходную строку.

---

Кодировать/декодировать по какому-нибудь алгоритму шифрования. Ключ, где-то спрятать среди переменных.

не, иметь в коде не читаемую самому же себе строку неудобно совсем
я думаю использовать чтото из https://github.com/andrivet/ADVobfuscator
вот думаю какие проблемы могут быть

Вы случаем не пароли / секретные ключи храните? :)

Вообще-то строки должны храниться в ресурсах (не путать с Qt ресурсами)

Он имеет в виду строковые константы в коде. Которые в бинарник попадают в читаемом виде, вполне мб даже в ресурсы.

Тут нужно или обфусцировать весь бинарник после компиляции, либо писать свою "надстройку" типа moc. Готовых решений для такой задачи я не видел :)

а где же их еще хранить ? )

самое банальное — использовать шифр Цезаря

это ответ на вопрос о хранении пароля в бинарнике или обфускации строк ?

обфускация :)

А что если самораспаковывающийся архив? Для дурака, с первого взгляда совсем не заметно и не понятно, да и распаковка будет не на диске, а в ОЗУ.

1. сторонний софт не охота тянуть, возиться с его багами
2. можно и командой распаковать, так что защиты никакой нет
3. это ничем не лучше обфускатора "на шаблонах"

Я использовал SimpleCrypt

У меня сделано просто (в VS2008, но идея понятна), строковые константы вынесены в файл asm, где видны в читаемом виде:
В файле cpp объявлено:
Функция декодирования примитивна: идти по массиву и xor'ить, пока не получим нулевой байт.
Допилить до Qt-овых особенностей уже нетрудно  :).

Ну вообще-то нужно хэши хранить. Ну или хранить зашифрованными, с паролем пользователя... тут все от задачи зависит.

Смотря с чем работаешь :)
Если к какому-то сервису обращаешься, то ему ведь передается пароль, а не хеш от пароля, а тот уже если правильный пароль хеширует и в базе сохраняет, а так отдать хеш пароля, чтобы сервис сделал хеш хеша пароля, чтобы потом ругаться :)

У меня была задача - строка должна оставаться открытой (видимой) в бинарнике, например, это может быть информация об авторских правах, но стойкой к изменению, т.е. любопытный пользователь изменяет строку в HEX-редакторе, а она все равно предстает в программе в неизменном виде.

Для решения использовалось помехоустойчивое кодирование (коды Рида-Соломона). Вкратце, суть: вместо исходной строки используется строка вида с проверочными символами в конце. В случае повреждения (изменения) символы исходной строки восстанавливаются из проверочных в результате декодирования.

Это так-называемая систематическая форма кодирования, в которой исходная информация используется в неизменном виде. Существует и несистематическая форма, в которой исходная информация в неизменном виде не присутствует, что можно использовать для целей сокрытия.

Существует несколько открытых и нет С/С++ либ для решения задач, связанных с помехоустойчивам кодированием.

Это если где-то в строке были изменены некоторые символы, а если заменить полностью строку?

Можно все строки заархивировать, и в случае нарушения crc востанавливать("архив" внутри исполняемого файла). Проще asprotect использовать.

Декодер поймет, что информация не восстановима. Проверочные символы (абракадабра в конце) воспринимаются как какой-то код, и их не патчат, поскольку хз что это такое (по крайней мере на первый взгляд). Более того, их можо разместить в другом месте посреди кода.