Autenticação em arquivos Flash para desktop

[fNobre]

Olá,

Tenho que desenvolver um aplicativo que rodará em flash que fará a autenticação(uma verificação de cdkey mesmo) do mesmo. O problema é: peguei uma pequena aplicação em flash e baixei um decompilador e daí consegui ver o código fonte da mesma. Isso é sempre possível em qualquer aplicação flash?

Eu não conheço programação em flash, na verdade. Só vi que possui uma estrutura como qualquer outra linguagem de programação, então é possível fazer o que quero. A partir daí vou começar a estudar pra aprender como fazer. Mas se o código estiver limpo pra qualquer usuário ver com um decompilador não há porque fazer esse tipo de autenticação.

Desde já, agradeço.

[void_brain_void]

mas um algoritmo de autenticação (não sei bem que tipo de autenticação vc quer, mas...) deve ser seguro mesmo sabendo-se como funciona. Vou te dar um exemplo: se te apresento um MAC SHA-1, teoricamente (existem ataques) mesmo você sabendo como funciona cada passo do SHA-1 você não teria como descobrir o conteúdo que gerou aquilo, pois, para a maioria de classes de MAC's gerado pelo SHA-1 é mais "prático" fazer ataque por força bruta e 2^160 (SHA-1 clássico) é muito tempo para se perder...

Agora um esquema calcado numa senha "compilada" no fonte não é nem um pouco esperto, lógico...

[gurdz]

Olá fNobre,

Realmente, é muito fácil achar aplicações que decompilem softwares desenvolvidos em Action Script, principalmente em Flash. Porém, uma questão: você conseguiu acesso ao código fonte de um arquivo compilado como .swf ou como .exe?

Nunca vi decompilador para executáveis em Flash (não que eu procure muito também). Se tiver sido .swf, tente com o .exe. Se conseguir, realmente não há porquê perder tempo complicando código para esconder de outras pessoas o que nem deveria aparecer em princípio.

Abraços,
Gustav Meirinho
Gustav 3.1 beta

[fNobre]

mas um algoritmo de autenticação (não sei bem que tipo de autenticação vc quer, mas...) deve ser seguro mesmo sabendo-se como funciona. Vou te dar um exemplo: se te apresento um MAC SHA-1...

Por MAC SHA-1 você fala de pegar o endereço MAC e criptografar com SHA-1? Procurei rapidamente aqui no google mas não consegui entender o que é isso. Se for, com o código limpo você saberia que está pegando o endereço MAC e ele que vai ser a mensagem. Esse que é o meu problema, mesmo colocando a senha em outro lugar quem está lendo o código poderia ir nesse mesmo lugar(que estará claro para ele), pegar a senha e criptografar e mandar para o programa.

Realmente, é muito fácil achar aplicações que decompilem softwares desenvolvidos em Action Script, principalmente em Flash. Porém, uma questão: você conseguiu acesso ao código fonte de um arquivo compilado como .swf ou como .exe?

Eu tinha conseguido de um .swf. Na verdade, não sabia da possibilidade de compilar um arquivo flash como .exe. Parece-me que vou poder fazer como .exe e então dificulta um tanto bom a decompilação já que o usuário precisaria de um dissasembler.

[mmachado]

Not so fast:
exe2swf | freshmeat.net

[]s, MM

[void_brain_void]

MAC que me referi foi de "Message Autentication Code" e não de "Media access control" ou outro qualquer... É o resultado que o SHA-1 te retorna tendo recebido de você uma string, chunks, etc...

Mesmo com exe, se você define uma senha "compilada", é só olhar provavelmente na seção DATA do PE, ELF, COFF ou o que seja, e esses tipos de desvios e travas não é necessário ser guru em ASSEMBLY para vê-los.

Uma forma lusa, mas um pouco mais garantida é preparar a aplicação para descriptografar em uma máquina específica, via alguma coisa que a torne única (a máquina). O MAC da placa? quem sabe, ou ainda o serial do HD... O que você precisaria é criar um executável responsável por descriptografar um outro executável criptografado abaixo dele, posto lá por exemplo via um "copy /B foo+bar foobar.exe"... É um conceito de virus stealth (eu acho que é esse mesmo o termo).

Tudo que teria que fazer é ler o próprio arquivo à partir do elemento zero da lista de argumentos recebida, pular o total em bytes do "desempacotador", descriptografar o resto e dar um flush de tudo em um outro arquivo, depois é só rodar o outro e pronto. É um método até bacana, já fiz isso para bobeiras e funcionou legal. Só ter disposição de implementar.

[404nfound]

Cara tem um software que eu uso de vez em quando chamado "SWF Decompiler" ele tem várias funções como "Descompilar o SWF" em várias etapas extrair o "SOM,ACTION SCRIPT, IMAGENS" etc...
Dá uma olhada nele é shareware mas tem a versão de teste !

[fNobre]

Not so fast:
exe2swf | freshmeat.net[]s, MM

Esse tipo de programa analisa trechos específicos do código pra fazer essa "conversão", é? Será que teria como modificar o código pro programa não funcionar?

Uma forma lusa, mas um pouco mais garantida é preparar a aplicação para descriptografar em uma máquina específica, via alguma coisa que a torne única (a máquina)...

Eu vou tentar fazer alguma coisa aqui nesse sentido pra testar antes de continuar minhas perguntas hehe. Acho que me falta muito conhecimento pra só tentar discutir agora sem algo prático. Pelo que sei essas duas alternativas não vou poder implementar, mas vou tentar algo aqui e posto se descobrir algo ou aprender algo novo pra perguntar. Obrigado pelas dicas. ;D

Cara tem um software que eu uso de vez em quando chamado "SWF Decompiler" ele tem várias funções como "Descompilar o SWF" em várias etapas extrair o "SOM,ACTION SCRIPT, IMAGENS" etc...
Dá uma olhada nele é shareware mas tem a versão de teste !

Foi esse programa que me fez começar esse tópico hehe ;p