Russian Qt Forum
Ноябрь 24, 2024, 05:00 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
 
  Начало   Форум  WIKI (Вики)FAQ Помощь Поиск Войти Регистрация  

Страниц: [1] 2   Вниз
  Печать  
Автор Тема: Проверка памяти для приложений Qt  (Прочитано 14627 раз)
WereWind
Гость
« : Июнь 27, 2016, 10:39 »

Всем доброго дня. Есть некое Qt-шное приложение, в котором есть QLineEdt, в который вводится пароль латиницей+цифры (echomode там, например, password). И требуется чтобы этот пароль для злоумышленников было максимально трудно получить. Считается, что после использования пароля внутри программы он надежно затирается своими средствами, и QLineEdit - это единственное уязвимое место. Вопрос - какими средствами лучше всего проконтролировать использование памяти? Я пробовал ковырнуть программу CheatEngine и GameConqueror, но ни та, ни другая содержимого строки не показали. Сейчас смотрю Gammaray, но пока что не могу найти там, например, стек, вызываемый по Ctrl+z.

Как вообще лучше всего это мониторить?
Записан
Bepec
Гость
« Ответ #1 : Июнь 27, 2016, 12:43 »

Пока пароль в памяти программы его можно получить.
Но можно защитить память, путём проверки памяти с эталоном, защитой от подключения левых библиотек приложением - стражем и постоянным изменением меторасположения пароля в памяти.
Но тут уже надо соизмерять усилия на защиту и оправданность таких усилий.

PS самый простой способ - подгрузку в качестве хука глобальной dll, выход на QApplication, получением всех окон, поиск по окнам lineedit и получение их значений. Даже как то делал такое, когда dll занимался.
Записан
qate
Супер
******
Offline Offline

Сообщений: 1177


Просмотр профиля
« Ответ #2 : Июнь 27, 2016, 13:04 »

Но можно защитить память, путём проверки памяти с эталоном, защитой от подключения левых библиотек приложением - стражем и постоянным изменением меторасположения пароля в памяти.

а что такое проверка с эталоном ?

разве можно защититься от подключения библиотек ?

Записан
WereWind
Гость
« Ответ #3 : Июнь 27, 2016, 13:21 »

Пока пароль в памяти программы его можно получить.
Нет, у меня не такой экстрим как защита от взлома в любой момент работы программы. Мне нужна именно надежная зачистка памяти, когда в ней отпадает необходимость - там, оператор ввел пароль, подтвердил, программа отработала, очистила Lineedit и скрыла его. Вопрос в том, как гарантировать исчезновение пароля из памяти в этом случае
Записан
gil9red
Administrator
Джедай : наставник для всех
*****
Offline Offline

Сообщений: 1805



Просмотр профиля WWW
« Ответ #4 : Июнь 27, 2016, 13:43 »

Пока пароль в памяти программы его можно получить.
Нет, у меня не такой экстрим как защита от взлома в любой момент работы программы. Мне нужна именно надежная зачистка памяти, когда в ней отпадает необходимость - там, оператор ввел пароль, подтвердил, программа отработала, очистила Lineedit и скрыла его. Вопрос в том, как гарантировать исчезновение пароля из памяти в этом случае

Например, динамически создавать и удалять QLineEdit после ввода
Записан

GreatSnake
Джедай : наставник для всех
*******
Offline Offline

Сообщений: 2921



Просмотр профиля
« Ответ #5 : Июнь 27, 2016, 13:56 »

А зачем тогда вообще хранить в QLineEdit пароль?
Подцепись к QLineEdit::textEdited(), получи от юзера ввод, положи его куда-нибудь к себе и замени его через QLineEdit::setText().
Записан

Qt 5.11/4.8.7 (X11/Win)
qate
Супер
******
Offline Offline

Сообщений: 1177


Просмотр профиля
« Ответ #6 : Июнь 27, 2016, 14:13 »

Подцепись к QLineEdit::textEdited(), получи от юзера ввод, положи его куда-нибудь к себе и замени его через QLineEdit::setText().

Собери свою либу Qt5Widgets и QLineEdit::setText() может хоть по сети пароль разослать )
Если у злодея есть доступ к программе - я даже не знаю как его можно остановить

Записан
Racheengel
Джедай : наставник для всех
*******
Offline Offline

Сообщений: 2679


Я работал с дискетам 5.25 :(


Просмотр профиля
« Ответ #7 : Июнь 27, 2016, 14:17 »

как вариант, символы можно изменять уже при вводе, так что в поле будут попадать их функции.
правда, для этого свой виджет придется наследовать.
Записан

What is the 11 in the C++11? It’s the number of feet they glued to C++ trying to obtain a better octopus.

COVID не волк, в лес не уйдёт
GreatSnake
Джедай : наставник для всех
*******
Offline Offline

Сообщений: 2921



Просмотр профиля
« Ответ #8 : Июнь 27, 2016, 14:47 »

Собери свою либу Qt5Widgets и QLineEdit::setText() может хоть по сети пароль разослать )
Если у злодея есть доступ к программе - я даже не знаю как его можно остановить
Если внимательно прочитаешь мой пост, то поймёшь, что в QLineEdit пароля не будет.
Записан

Qt 5.11/4.8.7 (X11/Win)
qate
Супер
******
Offline Offline

Сообщений: 1177


Просмотр профиля
« Ответ #9 : Июнь 27, 2016, 15:12 »

Если внимательно прочитаешь мой пост, то поймёшь, что в QLineEdit пароля не будет.

ну ок, при модификации Qt5Widgets учту и этот момент, ведь введенные данные до QLineEdit дошли, а значит с ними можно делать что угодно
Записан
GreatSnake
Джедай : наставник для всех
*******
Offline Offline

Сообщений: 2921



Просмотр профиля
« Ответ #10 : Июнь 27, 2016, 15:20 »

ну ок, при модификации Qt5Widgets учту и этот момент, ведь введенные данные до QLineEdit дошли, а значит с ними можно делать что угодно
Вопрос в том, что до QLineEdit дошло на самом деле.
Юзер ввёл 'X', я через сигнал получил этот 'X', положил его куда-нибудь и записал на его место '*'.
Что в итоге будет в QLineEdit и что ты будешь потом делать с этими '*'?
Записан

Qt 5.11/4.8.7 (X11/Win)
qate
Супер
******
Offline Offline

Сообщений: 1177


Просмотр профиля
« Ответ #11 : Июнь 27, 2016, 15:40 »

Вопрос в том, что до QLineEdit дошло на самом деле.
Юзер ввёл 'X', я через сигнал получил этот 'X', положил его куда-нибудь и записал на его место '*'.
Что в итоге будет в QLineEdit и что ты будешь потом делать с этими '*'?

сигнал ведь испускает QLineEdit ?
значит я перед отправкой сигналом имею "Х"
Записан
AlexEx
Чайник
*
Offline Offline

Сообщений: 76


Просмотр профиля
« Ответ #12 : Июнь 27, 2016, 15:48 »

Не знаю, как в других ОС, но в Win пароль в памяти запросто оказывается на диске из-за свопа. Для безопасного ввода используется функция API CredUIPromptForCredentialsW, а для чистки памяти - SecureZeroMemory.
Записан
GreatSnake
Джедай : наставник для всех
*******
Offline Offline

Сообщений: 2921



Просмотр профиля
« Ответ #13 : Июнь 27, 2016, 15:50 »

сигнал ведь испускает QLineEdit ?
значит я перед отправкой сигналом имею "Х"
И что тебе даёт это имение?
В UI QLineEdit-ов может быть куча и нужно иметь какое-то неимоверное чутье, чтобы в отдельном виджете фильтровать ввод.
В общем разговор не о чём.
Тем более про замену либ.
Записан

Qt 5.11/4.8.7 (X11/Win)
qate
Супер
******
Offline Offline

Сообщений: 1177


Просмотр профиля
« Ответ #14 : Июнь 27, 2016, 16:03 »

И что тебе даёт это имение?
В UI QLineEdit-ов может быть куча и нужно иметь какое-то неимоверное чутье, чтобы в отдельном виджете фильтровать ввод.
В общем разговор не о чём.
Тем более про замену либ.

как минимум дает то, что весь ввод пользователя можно залогировать, а уж выделить из этого пароль не составит труда
а подмена либ рушит всю построенную защиту
Записан
Страниц: [1] 2   Вверх
  Печать  
 
Перейти в:  


Страница сгенерирована за 0.052 секунд. Запросов: 23.