Filename des ausgeführten C++ Programmes ermitteln & SQL-Incections verhindern & PC eindeutig identivfizieren

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Filename des ausgeführten C++ Programmes ermitteln & SQL-Incections verhindern & PC eindeutig identivfizieren

    Weis jemand ob und wie es möglich ist den Dateinamen seines eigenen C++ Programmes zu ermitteln?
    Den Pfad vom Programm kann man ja einfach per folgendem Code ermitteln aber wieso finde ich im ganzen Internet keine Möglichkeit den eigenen Dateinamen zu ermitteln?

    Quellcode

    2. CFBundleRef mainBundle = CFBundleGetMainBundle();
    3. CFURLRef resourcesURL = CFBundleCopyResourcesDirectoryURL(mainBundle);
    4. if (!CFURLGetFileSystemRepresentation(resourcesURL, TRUE, (UInt8 *)path, PATH_MAX))
    5. {
    6. std::cout << "Error";
    7. }
    8. else
    9. {
    10. CFRelease(resourcesURL);
    11. std::cout << "Current Path: " << path << std::endl;
    12. }
    Alles anzeigen

  • Ne der Pfad ist "/Users/nico/Library/Developer/Xcode/DerivedData/MIDI_Harfe_Mac-bcvayvzjqdomjdhgqeynzktbfuqf/Build/ jedoch brauche ich den Namen der der bei mir z.B. MIDI_Harfe_Mac ist. leider kann ich den nicht einfach im code angeben da die Datei ja umbenennt werden könnte.

    Vielen Danke noch für den Tip mit argv[0] ist wirklich viel einfacher, gibt jedoch auch nur den Pfad.

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von nicoboss ()

  • So habe es jetzt per Splitten des Strings geschafft. :)
    Ich habe einfach argv[0] genommen zugeschnitten. :)

    @Thallius Ich brauche dies hauptsächlich für die Update Funktion. Ausserdem dient es zur Verschlüsslung des Hashes der mein Programm an einen Bestimmten Computer bindet. Weiteres über diese Art von Kopierschutz könnt ihr unter vbarchiv.net/workshop/workshop…t-online-aktivierung.html nachlesen. Es ist zwar in Visual Basic aber ausser Application.ExecutablePath konnte ich alles in C++ übersetzen. Zusätzlich wird auch noch von der Application ein Hash erstellt um Modifizierungen zu verhindern. Also eigentlich brauche ich dies sogar 3mal. 1mal nur Programmname und 2mal mit Pfad. :)

  • gritsch schrieb:


    auch macht es keinen sinn die systemversion, RAM-größe etc in den hash zu nehmen sonst ist das ganze nach einer änderung ja ungültig.


    Kannst Du das mal bitte Microsoft mitteilen, damit ich nicht einmal im Jahr nach dem Systemwechsel mitten in der Nacht mit der Hotline telefonieren muss, um mein Word neu freischalten zu lassen? Danke! :cursing: ;)

  • Ich brauche natürlich nicht den Applicationsname als Hash sondern lese mit ihm per ifstream myfile (Executable_Path); die Applicationsdatei ein.

    @gritsch was ist an diesem php code so witzig?
    @zerm danke kannte ich noch nicht
    @kmr Mittlerweile haben die zum Glück die Aktivierung um einiges verbessert.

    Ihr könnt mir ja gerne sagen, was alles noch an dieser Hashfunktion schlecht ist. Aus Platzgründen habe ich die GetMac Funktion nicht gepostet. Ich bin immer für Verbesserungsvorschläge bereit. Um das Problem mit Hardwareveränderung zu lösen, kann jeder Lizenzschlüssel 10mal aktiviert werden.

    C-Quellcode

    1. void GetHash(void)
    2. {
    3. string sys_fingerprint;
    4. stringstream sys_fingerprint_ss;
    5. sys_fingerprint_ss << GetMAC() << get_cpu_freq_max() << get_sys_info() << statvfs_vfs();
    6. sys_fingerprint=sys_fingerprint_ss.str();
    7. cout << sys_fingerprint << endl;
    8. hash<string> hash_fn;
    9. std::size_t str_hash = hash_fn(sys_fingerprint);
    10. std::cout << str_hash << '\n';
    11. }
    14. #include <stdio.h>
    15. #include <stdint.h>
    16. #include <sys/types.h>
    17. #include <sys/sysctl.h>
    19. string get_sys_info(void)
    20. {
    21. uint64_t freq = 0;
    22. uint64 sys_info[] = {0,0,0,0,0,0};
    23. size_t size = sizeof(freq);
    25. if (sysctlbyname("hw.memsize", &sys_info[0], &size, NULL, 0) < 0)
    26. {
    27. perror("sysctl");
    28. }
    30. if (sysctlbyname("hw.ncpu", &sys_info[1], &size, NULL, 0) < 0)
    31. {
    32. perror("sysctl");
    33. }
    35. if (sysctlbyname("hw.physicalcpu_max", &sys_info[2], &size, NULL, 0) < 0)
    36. {
    37. perror("sysctl");
    38. }
    40. if (sysctlbyname("hw.logicalcpu_max", &sys_info[3], &size, NULL, 0) < 0)
    41. {
    42. perror("sysctl");
    43. }
    45. if (sysctlbyname("hw.tbfrequency", &sys_info[4], &size, NULL, 0) < 0)
    46. {
    47. perror("sysctl");
    48. }
    50. if (sysctlbyname("hw.busfrequency_max", &sys_info[5], &size, NULL, 0) < 0)
    51. {
    52. perror("sysctl");
    53. }
    55. /*
    56. //Die restlichen 3 habe ich nicht zum laufen gebracht da ich dass mit diesen Struct und Strings in konbination mit sysctlbyname nicht verstehe.
    57. struct cpu_bootinfo *cpu_bootinfo = NULL;
    58. size = *cpu_bootinfo;
    59. if (sysctlbyname("machdep.bootinfo", &cpu_bootinfo, &size, NULL, 0) < 0)
    60. {
    61. perror("sysctl");
    62. }
    63. cout << cpu_bootinfo << endl;
    65. string sys_info_machine;
    66. size = sizeof(sys_info_machine);
    67. if (sysctlbyname("hw.machine", &sys_info_machine, &size, NULL, 0) < 0)
    68. {
    69. perror("sysctl");
    70. }
    71. cout << sys_info_machine << endl;
    73. string sys_info_model = "";
    74. size = sizeof(sys_info_model);
    75. if (sysctlbyname("hw.model", &sys_info_model, &size, NULL, 0) < 0)
    76. {
    77. perror("sysctl");
    78. }
    79. cout << sys_info_model << endl;
    80. */
    82. stringstream freq_ss;
    83. freq_ss << (hex) << (uint64_t)sys_info[0] << (uint64_t)sys_info[1] << (uint64_t)sys_info[2] << (uint64_t)sys_info[3] << (uint64_t)sys_info[4] << (uint64_t)sys_info[5];
    84. return freq_ss.str();
    85. }
    86. string get_cpu_freq_max(void)
    87. {
    88. uint64_t freq = 0;
    89. size_t size = sizeof(freq);
    91. if (sysctlbyname("hw.cpufrequency_max", &freq, &size, NULL, 0) < 0)
    92. {
    93. perror("sysctl");
    94. }
    95. stringstream cpu_freq_max_ss;
    96. cpu_freq_max_ss << (hex) << (unsigned long)freq;
    97. return cpu_freq_max_ss.str();
    98. }
    101. #include <sys/statvfs.h>
    103. string statvfs_vfs( void )
    104. {
    105. struct statvfs vfs;
    106. stringstream statvfs_vfs_ss;
    107. statvfs_vfs_ss << (hex) << (unsigned long) vfs.f_fsid << (unsigned long) vfs.f_namemax;
    108. return statvfs_vfs_ss.str();
    109. }
    Alles anzeigen

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von nicoboss ()

  • gritsch schrieb:

    naja, witzig ist es eigentlich nicht... SQL-Injections.

    Gibs dafür nich magic_quotes??? :P

    gritsch schrieb:

    auch die MAC-adresse(n) gehören zu den veränderlichen werten einer maschine. hängt aber auch davon ab wie diese ausgelesen werden (aktive interfaces, oder immer das gleiche etc...)

    Ja frag mich mal. Hab vier+ MAC Adressen und eine dumme Software, die auf MAC beschränkt ......
    C++

  • Wenn ihr ja schon so viel über diese doofen SQL-Incections wisst, könnt ihr mir bitte sagen, was ich an diesem Code verändern muss um diese zu verhindern? Ich habe auf Wikipedia irgendwas von .mysql_real_escape_string gelesen aber verstehe nicht wo einsetzen.

    PHP-Quellcode

    1. <?php
    2. $h='localhost';
    3. $u='31879_nanticopy';
    4. $p='mein_Passwort';
    5. $db=new mysqli($h, $u, $p, '31879_nanticopy');
    6. $c=0;
    7. $cnt=0;
    8. $enable=0;
    9. $app=$_GET['app'];
    10. $key=$_GET['key'];
    11. $q=$db->query("SELECT * FROM `Keys` WHERE `AppID` = '" . $app . "' AND `Key` = '" . $key . "'");
    12. while($x=$q->fetch_assoc()) {
    13. $c++;
    14. $cnt=$x['Activated'];
    15. }
    16. if ($c>0) $enable=1;
    17. if ($enable==1) echo '1;';
    18. else echo '0;';
    19. if ($cnt>0) {
    20. $q=$db->query("UPDATE `Keys` SET `Activated`=`Activated`-1 WHERE `AppID` LIKE '".
    21. $app."' AND `Key` LIKE '" . $key . "'");
    22. }
    24. echo $cnt;
    25. $db->close();
    26. ?>
    Alles anzeigen


    Als MAC Adressen habe ich das letzte dass nicht 00:00:00:00:00 ist. Ich habe auch 2 verschiedene. Wie kann das sein? Wie finde ich jetzt mit C++ die echte? Oder gibt es noch eine andere ID mit der man einen PC eindeutig identifizieren kann oder würde mein Hash auch ohne MAC Adresse trotzdem noch genügend systemgebunden sein? Auch gegen eine MAC Adresse spricht ihre Manipulierbarkeit. Ist wenigstens die vfs.f_fsid (file space id) einzigartig?

  • Nein, nicht mit escapen rumpfuschen sondern einfach Prepared Statements verwenden!

    jedes interface hat seine eigene MAC-adresse. du musst also immer das gleiche nehmen nicht das aktive, das erste oder letzte (sonst hat der arme user zu hause im WLAN eine andere computer-id als im büro wo der laptop im LAN hängt).

    du machst dir um die ganze geschichte aber viel zu viel sorgen und gehst nur den leuten auf den sack die es kaufen wollen.
    denn die die es nicht kaufen wollen, laden es sich bei boerse.bz oder sonstwo runter (und glaub mir, es ist ein klacks das ganze ding auszuhebeln das du in tagelanger arbeit schreibst).
    also wie immer: auf funktionen konzentrieren, einen fairen preis verlangen und denen die bezahlen bloß nicht mit lizenzmüll auf den zeiger gehen (sonst kaufen die kein update und auch kein anderes produkt von dir...)

  • nicoboss schrieb:

    Wenn ihr ja schon so viel über diese doofen SQL-Incections wisst, könnt ihr mir bitte sagen, was ich an diesem Code verändern muss um diese zu verhindern? Ich habe auf Wikipedia irgendwas von .mysql_real_escape_string gelesen aber verstehe nicht wo einsetzen.


    "Bei Wikipedia was gelesen …". Da kriege ich Sodbrennen. So eine Software willst Du zahlenden Kunden andrehen? Eigne Dir zum Thema Sicherheit Wissen aus vernünftigen Quellen an. Alles andere ist fahrlässig.

  • So, mittlerweile habe ich alles hingekriegt:

    So bekommt man den Application Name sowie den Pfad je nach Wünschen separat oder zusammen:

    Quellcode

    1. #include <libgen.h>
    2. int main( int argc, char *argv[] )
    3. (...)
    4. cout << argv[0];
    6. char *dirc, *basec, *bname, *dname;
    7. char *path = argv[0];
    9. dirc = strdup(path);
    10. basec = strdup(path);
    11. dname = dirname(dirc);
    12. bname = basename(basec);
    13. printf("dirname=%s, basename=%s\n", dname, bname);
    Alles anzeigen



    Glücklickerweise muss ich keine Angst von illegalen Raubkopien haben, da das ganze Programm ja an eine Externe, zusätzlich zum Programm erworbene Hardware gebunden ist. Was bringt ein Programm dass vom Mikrocontroller empfangende Signale weiterleitet, wenn man gar nicht die dazu passende Hardware hat? Mir geht es mit der Onlineaktivierung mehr darum zu sehen wer auf welchem Betriebssystem welche Version meines Programmes benutzt um die Mikrocontroller Freameware möglichst für alle kompatibel zu halten. Ausserdem will ich nicht, dass wenn jemand versucht die Hardware nachzumachen gerade noch mein Programm hat. Und schlussendlich mache ich hauptsächlich eh alles nur um was zu lernen.

    Ich mag die Hardware-UCID da im Normalfall immer gleich ist und somit einen Maschinen spezifischen Schlüssel stark verbesser. Zusätzlich mit den werten aus #include <sys/sysctl.h> und ein bischen rumspielen mit mathe und einigen std::hash<string> hash_fn; bekommt man schnell einen ziemlich guten Maschinen spezifischen Schlüssel:

    C-Quellcode

    1. #include "CoreFoundation/CoreFoundation.h"
    2. #include <IOKit/IOKitLib.h>
    4. void get_platform_uuid(char * buf, int bufSize)
    5. {
    6. io_registry_entry_t ioRegistryRoot = IORegistryEntryFromPath(kIOMasterPortDefault, "IOService:/");
    7. CFStringRef uuidCf = (CFStringRef) IORegistryEntryCreateCFProperty(ioRegistryRoot, CFSTR(kIOPlatformUUIDKey), kCFAllocatorDefault, 0);
    8. IOObjectRelease(ioRegistryRoot);
    9. CFStringGetCString(uuidCf, buf, bufSize, kCFStringEncodingMacRoman);
    10. CFRelease(uuidCf);
    11. }
    Alles anzeigen



    Und folgender PHP Code verhindert eine SQL Incection:

    PHP-Quellcode

    1. <?php
    2. $h='localhost';
    3. $u='31879_nanticopy';
    4. $p='mein_Passwort';
    5. $db=new mysqli($h, $u, $p, '31879_nanticopy');
    6. $c=0;
    7. $cnt=0;
    8. $enable=0;
    9. $app=$_GET['app'];
    10. $key=$_GET['key'];
    11. $os=$_GET['os'];
    12. $sth = $db->prepare('SELECT * FROM `Keys` WHERE `AppID` = ? AND `Key` = ?');
    13. $sth->bind_Param('ss', $app, $key);
    14. $sth->execute();
    15. $sth->bind_result($fetch_vornamen, $fetch_nachnamen, $fetch_kundennummer, $fetch_key, $fetch_windows, $fetch_mac, $fetch_linux, $fetch_activated, $fetch_app);
    17. while($x=$sth->fetch()) {
    18. $c++;
    19. if ($os == "Windows") {
    20. $cnt=$fetch_windows;
    21. } elseif ($os == "Mac") {
    22. $cnt=$fetch_mac;
    23. } elseif ($os == "Linux") {
    24. $cnt=$fetch_linux;
    25. } else {
    26. echo "Ihr Betriebssystem ist ungueltig!";
    27. }
    28. }
    30. if ($c>0) $enable=1;
    31. if ($enable==1) echo '1;';
    32. else echo '0;';
    33. if ($cnt>0) {
    34. if ($os == "Windows") {
    35. $q = $db->prepare('UPDATE `Keys` SET `Windows`=`Windows`-1 WHERE `AppID` LIKE ? AND `Key` LIKE ?');
    36. } elseif ($os == "Mac") {
    37. $q = $db->prepare('UPDATE `Keys` SET `Mac`=`Mac`-1 WHERE `AppID` LIKE ? AND `Key` LIKE ?');
    38. } elseif ($os == "Linux") {
    39. $q = $db->prepare('UPDATE `Keys` SET `Linux`=`Linux`-1 WHERE `AppID` LIKE ? AND `Key` LIKE ?');
    40. } else {
    41. echo "Ihr Betriebssystem ist ungueltig!";
    42. }
    43. $q->bind_Param('ss', $app, $key);
    44. $q->execute();
    45. $a = $db->prepare('UPDATE `Keys` SET `Activated`=`Activated`+1 WHERE `AppID` LIKE ? AND `Key` LIKE ?');
    46. $a->bind_Param('ss', $app, $key);
    47. $a->execute();
    48. }
    49. echo $cnt;
    50. $db->close();
    51. ?>
    Alles anzeigen



    :) Vielen Dank für eure Hilfe! :)

  • von memory-leaks noch nie was gehört?

    und klar, wenn jemand hardware nachbaut dann investiert er keine 3 minuten um auch die software freizuschalten? und wovon träumst du nachts?

    außerdem frage ich mich wie du aus einem hash bzw einer unique-id all die infos wieder ausliest? die schickst du doch sicher getrennt mit, also brauchst du den hash gar nicht (wenns dir nicht um kunden-gängelung geht).

    wenn du was lernen willst dann lerne das: geh den kunden nicht auf den sack. ich habe mir sagen lassen dass vor allem geräte an denen spezielle hardware (deine) hängt, nicht unbedingt im inet hängen!