本気だったつもりのもふったーのデバッグ処理が残ってた件

（C）バードスタジオ／集英社

もふったーがハッキングされたので、本気でプロテクトかけてみた
の続き。

プロテクト強化後のもふったーも予想以上に酷かった件

うにゃ、そんな処理が残ってるはずは！？
↓
ソースを見る…
↓
デバッグ用の処理が残っている。

Twitter の HMAC の処理で ハッシュをかける時に、暗号化の分岐処理が3つあるんですが、最初の処理は難読化してたんですが、後の処理のデバッグ処理を外し忘れていたという失態。

うん、これは本当に ひどい…。

デバッガで、コンシューマキーが残ってないのは確認したんですが、まさかXORの内容が丸まる残ってる処理があるとは…。

これは、解析してくれた人に感謝しないといけないレベル。

というわけで、ちゃんと修正しました。
ありがとうございます ・ω・

バージョンはv0.9.6e になりました。
なお、クライアント名は Mo-Footer_v3 になって、 v0.9.6b-v0.9.6d3 は使用不能になるのでご注意ください。
Twitter Client Mo-Footer(もふったー)開発計画【BM】

ただ、難読化にまだ、少し課題が残ってるので、あとちょっと改善する予定。

3/24 1:00追記 もっかい難読化破られたけど、ちょっと、一日で作り直した付け焼刃のコードじゃ、小細工しても無理なのでちゃんと対応する予定(一回破られたコード流用すると、どうしても処理辿られてしまうので …)
・ω・ しばらく待つがよい

課題って言ってたのが、SHA-1の関数の導入部の中で暗号化してるだけなので、そこがばれたら取り出せてしまう点だったということね。