Anti-Descompilador (X)Harbour

[yugi386]

Olá pessoal!!!

Encontrei este executável que parece proteger programas harbour ou xharbour contra descompilação. Gostaria da opinião dos usuários mais experientes para testar o software e ver se ele de fato é útil.
Vou colocá-lo em anexo. Está compactado com ZIP e dividido em 3 partes.

Grato desde já por qualquer avaliação.

Notas:

Troquei os arquivos para formato ZIP conforme solicitou Leonardo Machado. O programa está dividido em três partes porque o fórum não permite arquivos maiores que 100k. Os arquivos são:

Proteg.zip
Proteg.z01.txt
Proteg.z02.txt

Baixe os 3 arquivos e renomeie os seguintes:

Proteg.z01.txt para Proteg.z01
Proteg.z02.txt para Proteg.z02

É que o fórum não aceita arquivos com a extensão Z01 e Z02. Depois basta abrir com winzip ou winrar o arquivo proteg.zip e mandar extrair. É importante que os arquivos estejam numa mesma pasta.

Yugi.

[Toledo]

Yugi, onde você encontrou este programa? Existe algum site que fale alguma coisa sobre ele?

Desculpe a preocupação, mas achei meio estranho não encontrar nada sobre ele na Internet e também o alerta que o próprio programa apresenta, falando que alguns anti-vírus podem detectá-lo como um trojan.

Abraços,

[vailton]

E tem outro detalhe importante aê: QUEM DISSE QUE É POSSÍVEL descompilar um programa em xHarbour Primeiro, você deveria mostrar como isto é possível ou indicar qual a ferramenta possibilita isto... tb achei estranho assim como o Toledo mencionou e isto tudo é meio suspeito.

[Maligno]

Preocupação válida, a meu ver. Se o programa XHarbour não é convertido em C e se todos os opcodes estão ali, por que não seria possível descompilar? Bastaria o sujeito conhecer a estrutura de um programa Windows e se dedicar a isso, como o Vagner fez com seu dClip. Na minha opinião não difere muito do que é feito em DOS.

[vailton]

Sim de fato Maligno, a preocupação é válida e digo mais: é desejo antigo dos programadores protegerem seus investimentos. Mas você já viu algo deste tipo rodando especificamente para xHB? Até pq um simples UPX já inviabiliza parte deste trabalho de descompilação... Vamos ver oq o pessoal que está testando a ferramenta comenta a respeito.

[Maligno]

Mas você já viu algo deste tipo rodando especificamente para xHB?

Nunca vi. Apenas comentei que é tecnicamente viável desdenvolver um descompilador. É o problema dos opCodes. Agora, se for viável economicamente, um dia talvez façam um Valkyrie pra XHarbour. Se é que já não existe. Uma vez que o OP encontrou um programa de proteção, é de se imaginar que não o fizeram à toa.

Até pq um simples UPX já inviabiliza parte deste trabalho de descompilação

Não inviabiliza. Apenas dificulta um pouco. Como o UPX é opensource, seu algoritmo é bem conhecido. Então basta descompactar. Mesmo o ASPack, que é fechado, pode ser descompactado. Dificulta mais, acredito. Mas se o interesse financeiro estiver à altura, vencer essa dificuldade dependerá apenas da perícia do programador.

Aliás, a meu ver, a melhor forma de proteger um programa interpretado, como o XHarbour, é o próprio programador criar um envelopador (não precisa compactar) com um algoritmo próprio. Só que esbarramos novamente na questão da viabilidade.

[sygecom]

yugi,
Altere seu post e mude os Anexo para .ZIP que eu testo para você.

[yugi386]

Saudações!
Vou prestar esclarecimentos sobre o anti-descompilador Xharbour, a começar pelas perguntas feitas:

Yugi, onde você encontrou este programa? Existe algum site que fale alguma coisa sobre ele?

Um programador amigo criou e me cedeu este programa e por isto não se acha nada dele pela internet. Ele nunca o divulgou. Infelizmente, ele não quis me entregar os fontes do programa mas disse que eu poderia usá-lo e repassá-lo a quem quisesse.

QUEM DISSE QUE É POSSÍVEL descompilar um programa em xHarbour

Bom Vailton, eu sou principiante na programação. Mas acredito que todo programa pode ser descompilado porque o sistema operacional precisa entendê-lo pra que ele funcione. Bem, se o harbour não puder ser descompilado ótimo, mas se pudermos contar com uma proteção extra, melhor ainda. Antes sobrar do que faltar!

Desculpe a preocupação, mas achei meio estranho não encontrar nada sobre ele na Internet e também o alerta que o próprio programa apresenta, falando que alguns anti-vírus podem detectá-lo como um trojan.

Não sei porque ele colocou este aviso no programa mas acredito que foi só para brincar ou talvez espantar os espertos que queiram descompilar o próprio programa.
Repassei anti-vírus atualizados no programa PROTEG (AVG e AVAST) e nunca foi detectado nada. E realmente, por se tratar de pessoa extremamente idônea, acredito que não há nada neste programa que possa prejudicar-nos. Até porque eu já o utilizei, inclusive em testes, muitas vezes, e nunca houve qualquer problema no meu computador.

Minha opinião:

O programa funcionou na maioria das vezes em que testei. É verdade que em algumas vezes o executável gerado dava erro. No entanto, pelo menos aparentemente, parece funcionar.

Atenciosamente,

Yugi.

[Maligno]

Um programador amigo criou e me cedeu este programa e por isto não se acha nada dele pela internet.

Acho que a curiosidade maior não está relacionada a este programa de proteção, mas a existência (ou não) de um programa descompilador. Existe? Se o seu amigo fez uma proteção, ou fez como mera prevenção, ou fez pra se proteger de um descompilador que existe. Qual a resposta?

Mas acredito que todo programa pode ser descompilado porque o sistema operacional precisa entendê-lo pra que ele funcione

O que o processador precisa entender é o código binário (assembly) que existe dentro de um programa executável. Todo programa tem, claro. Não se descompila código binário. Se desmonta; em código assembly, muito mais difícil de entender. Contudo, em programas interpretados, como o Clipper, é possível descompilar o EXE para recuperar os opCodes da máquina virtual que os executa. Recupera-se o fonte do programa. Como eu disse antes, não vejo porque o XHarbour, que também é interpretado, não possa ser descompilado. Aí entra a proteção do envelopador que você postou.

Não sei porque ele colocou este aviso no programa mas acredito que foi só para brincar ou talvez espantar os espertos que queiram descompilar o próprio programa.

O aviso tem seu mérito. Os anti-vírus utilizam um sistema de análise heurística que pode interpretar o código de desenvelopamento como algo daninho. Antigamente se faziam vírus bons de verdade. O processo de contaminação possuia um tipo de envelopamento e os bons vírus utilizavam um código polimórfico que os decodificava on-the-fly para depois executar o "cerne" do vírus. Mas os anti-vírus aprenderam como lidar com isso através da análise heurística, que consegue "entender" o que o código binário pretende fazer. O problema é que, dependendo da sensibilidade desse mecânismo, mesmo um código não-maligno, como o desse envelopador, pode ser interpretado como maligno. Se você ajustar seu anti-vírus para usar a sensibilidade máxima (alguns permitem essa configuração), é até capaz dele interpretar esse envelopador como maligno. Exatamente como um trojan horse dos antigos tempos. Aliás, mais uma vez: antigamente é que se faziam trojan horses de verdade. O sujeito (bom programador assembly) pegava um programa verdadeiro, legítimo, e exertava seu código malicioso no braço. Quando uma certa função era executada, pimba! Não é como hoje, que qualquer porcaria é considerada trojan horse, só porque tem um nome que induz a erro.

O programa funcionou na maioria das vezes em que testei.

Para testar de verdade é preciso tentar executar e também descompilar. Você tem um descompilador?

[vagucs]

Povo, o Protegg é velho conhecido do mundo clipper, tem ele disponivel no meu site a mais ou menos uns 5 anos, pelo que entendo não tem efetividade de uso com xHarbour, se nós falamos do mesmo programa.

O DClip 4.0 que começamos a montar ja conseguia retornar algo do xharbour; como já fora dito, se é PCODE, é possível recuperar o código original, da mesma forma como no clipper.

E a pior noticia, mesmo programas encriptados tanto no windows como no DOS, na sua hora de execução não pode estar encriptado na memória, com o DClip 3.3 já usamos uma ferramenta anexa que "chupa" o PCODE da memória, já testamos com xHarbour com programas super encriptados e protegidos, durante a execução fica tudo na memória e pode-se facilmente ler o seu conteúdo e descompilar.

A vantagem é que, o DClip 4.0 foi um projeto que iniciei quando ainda usava a versão 0.93 e não tive tempo (Nem interesse) de continuar com este projeto e nem tenho no momento interesse em terminar e ao menos liberar ele, tem até uma noticia antiga em meu site sobre o mesmo, o PCODE mudou muito e muda para cada versão, o que neste tipo de aplicativo pode atrapalhar um pouco.

Acredito que em breve iremos liberar tudo em nosso site gratuitamente (PRWIN, DCLIP, WEBWAP, LLIBG para xHarbour, etc) pois fechamos um contrato vitalicio com uma empresa de SP e agora não dependeremos tanto de nossas ferramentas para vendas. Vamos nos reunir e nosso site deve mudar um pouco em breve e será otimo para todos.

[yugi386]

Povo, o Protegg é velho conhecido do mundo clipper, tem ele disponivel no meu site a mais ou menos uns 5 anos, pelo que entendo não tem efetividade de uso com xHarbour, se nós falamos do mesmo programa.

Não é o mesmo programa. Tive o cuidado de compará-los e são programas completamente distintos. O Proteggi do clipper necessita de interação com o código fonte. O PROTEG age somente no executável, criando outro executável supostamente protegido. Acho que houve apenas uma semelhança nos nomes dos programas.

Acho que a curiosidade maior não está relacionada a este programa de proteção, mas a existência (ou não) de um programa descompilador. Existe? Se o seu amigo fez uma proteção, ou fez como mera prevenção, ou fez pra se proteger de um descompilador que existe. Qual a resposta?

Ele fez como mera prevenção, não tem o descompilador e eu também não tenho. Aliás, nem sei se existe um descompilador efetivo contra o harbour de fato.

E a pior noticia, mesmo programas encriptados tanto no windows como no DOS, na sua hora de execução não pode estar encriptado na memória, com o DClip 3.3 já usamos uma ferramenta anexa que "chupa" o PCODE da memória, já testamos com xHarbour com programas super encriptados e protegidos, durante a execução fica tudo na memória e pode-se facilmente ler o seu conteúdo e descompilar.

Realmente eu sei deste problema. Todo programa quando carregado na memória não pode estar encriptado. Penso que a proteção contra descompilação jamais será totalmente efetiva. Me parece ser mais um jogo onde o "hacker" tenta descompilar o programa e é ou não vencido pelo cansaço, pela falta de tempo ou pela viabilidade econômica de
se realizar o trabalho de engenharia reversa.

A questão pra nós programadores é:

como proteger nossos sistemas contra a descompilação?
Como proteger um programa de modo que ele quando carregado na memória não fique sujeito a descompilação, conforme nos relatou Vacgus? Existem caminhos viáveis pra isso?

Agora lanço mais algumas pra vcs.

É possível descompilar um código fonte escrito em C?
É possível descompilar um código fonte escrito em C junto com harbour em um programa?

Penso que este debate é salutar e, por ser um assunto que me interessa muito, tenho prazer em falar sobre ele.

Grato.

Yugi.

[Maligno]

É possível descompilar um código fonte escrito em C?

Não é possível descompilar (recuperar o fonte de) um programa em C. Pode-se desmontá-lo para recuperar seus códigos mnemônicos Assembly. Ainda assim, é uma tarefa muito difícil, pois existem outras tantas dificuldades técnicas. Recuperar os fontes (descompilar) só mesmo para programas interpretados, que possuem opCodes, como Clipper e XHarbour. Se no meio desse programa interpretado houver algum código binário, fique (meio) tranqüilo. Esse "meio" existe porque se esse código for, por exemplo, uma trava de segurança, é sempre possível utilizar um debugger para identificá-lo e neutralizá-lo.

Para proteger o programa XHarbour de forma definitiva há uma opção. Como o XHarbour tem os fontes liberados, pode-se modificar todos os opCodes que ele utiliza. Quando alguém for descompilar seu programa, seja por qual meio for, vai conseguir de volta um código fonte totalmente incompreensível. Mas essa alternativa, claro, impõe algumas dificuldades pra ser realizada.

[vagucs]

Maligno, nos testes que fizemos do DClip 4 com xHarbour, é possivel carregar a tabela de PCODEs e descobrir ela dentro do EXE, assim independente disto seria possivel descompilar.

Mas acho que o pessoal deveria ficar tranquilo, nao temos interesse em finalizar o dclip 4.0 e qualquer ferramenta que encripte o EXE não será totalmente eficaz.

[Maligno]

Quando eu comentei sobre modificar, me referia a uma modificação mais aprimorada que a simples troca de códigos, tipo X ao invés de Y. Se fosse eu a fazer, à primeira vista pensaria num scrambler indexado. Mas há várias formas de incrementar bastante o nível de dificuldade para qualquer descompilador. Com os fontes fica até fácil.

[vagucs]

Sem dúvida. Tudo é possivel.