关于数字证书在软件验证里的应用思路和破解思路
现在晚上流传了很多软件验证源码,RSA的不少,但我看了很多都感觉不尽人意,比如从X站上下的一套易语言开源软件验证源码,标明RSA,内部做工还算靠谱,接着一串网址亮瞎了吾眼,再仔细一分析,这程序居然用百度做时间同步源???!!!直接抓包改包秒变永久使用{:17_1051:}这软件验证也写的太不靠谱了吧于是,我运用现有知识,给大家整理出来这篇文章
一.对于RSA证书
对于RSA证书,建议使用X.509格式而不是自己编纂一个(少造轮子),以及,扩展密钥用途必须包含"客户端身份验证"(方便日后通过客户端认证访问其他服务器),以及加入CRL验证备用
二.对于时间戳的验证
时间戳验证不采用任何不被信任的措施,而是使用第三方CA机构的TSA服务器颁发当前时间.客户端通过一个主题为一串随机字符串的CSR发送到第三方CA机构的TSA服务器上.由TSA服务器签名后返回客户端,客户端验证证书有效后取出其中签名的时间
破解思路:
替换掉软件里面的信任证书/修改内存达到破解的目的
今天就发这篇文章,好了继续溜 其实使用第三方CA的TSA服务器另外一方面也是为了抗被打,他们的服务器应该特抗打 请问时间戳的验证怎么破 ram1325 发表于 2020-4-24 01:11
请问时间戳的验证怎么破
也是更换信任证书,然后抓包改包,或者直接走OD绕过验证逻辑
页:
[1]