Bảo mật project trong excel!

[heroic]

Hiện nay làm theo cách thông thường là đặt password cho các wordbool của excel thường là độ bảo mật không cao, một số chương trình dò tìm pass sẽ bẻ khoá được các file và coi code. Vậy có cách nào mà hiện nay độ bảo mật cao? Mong các cao thủ chia sẻ cùng pà con !

 

[levanduyet]

Hiện nay làm theo cách thông thường là đặt password cho các wordbool của excel thường là độ bảo mật không cao, một số chương trình dò tìm pass sẽ bẻ khoá được các file và coi code. Vậy có cách nào mà hiện nay độ bảo mật cao? Mong các cao thủ chia sẻ cùng pà con !

To: heroic,
Vấn đề này chắc có lẻ chúng ta phải hỏi Stonyheartedman hay Tuanktcdcn.
To: Stonyheartedman, Tuanktcdcn,
Các bạn có thể chia sẻ vấn đề này với diễn đàn hay không?
Thân,
Lê Văn Duyệt

 

[Excel_mania]

Theo tôi, dùng Excel2003, đặt chiều dài pass gồm cả chữ, số, ký tự đặc biệt, len(pass) > 10 thì có crack cả ngày cũng không ra.
Tôi đã xài thử Passware 7.1 nhưng chua bẻ đc file nào đâu

 

[StonyHeartedMan]

Đối với MS Office's documents thì Excel_mania đã trả lời rồi. Hãy đặt pws có length đủ dài và với nhiều loại ký tự như số, chữ, ký tự đặc biệt. Các PM recover pws toàn dựa trên cách thức duyệt theo các pattents nên phải chạy nhiều instants trên các máy khá mạnh mới recover được. Dĩ nhiên, đó chỉ là các PM recover, Cũng có thể có bọn nó hiểu cả cấu trúc của excel hay .doc thì có thể nó sẽ phá pws nhanh hơn.

Nhưng nói tóm lại là cái gì cũng có giới hạn của nó thôi. Dân CR cao thủ nó cũng chẳng mấy khi CR*ck file của MS office mấy đâu trừ phi nó có giá trị kinh tế cao hay những bí mật tầm cỡ ... quốc gia (mà những bí mật này nếu có cũng chẳng lưu ở mấy file excel hay word đó).

 

[heroic]

Đặt pass kiểu gì có dài đến hàng Vạn ký tự phần mềm crack vẫn ra. Tôi thấy chỉ có bản Aexcel version 3.0 là cách mã hoá hay. không có chỗ mà nhập pass. không biết có thể chia sẻ cùng pà con ko??????????/

 

[StonyHeartedMan]

Đặt pass kiểu gì có dài đến hàng Vạn ký tự phần mềm crack vẫn ra.

Quan trọng là recovers pws mất bao nhiêu thời gian với cấu hình máy như thế nào và độ tối quan trọng của dữ liệu (cái này ít ai người ta gọi là cr*ck).

Chẳng ai cần chạy trong 100 năm để ra 1 pws của 1 file doc hay excel cả. Nếu heroic recover được pws thì tớ có mấy cái file đang ko biết pws đây này (mấy PM Access của nước ngoài có giá trị khoảng vài nghìn đô thôi. (Cơ chế của Access hay Excel hoặc Doc chắc là tương tự nhau thôi) (Nhưng để chứng minh được khả năng đó thì phải thử 1 file Excel hay Word của tớ đã)

PS: Tớ có tất cả các PM recover pws trên thế giới (những cái có mặt trên Internet) của ms office, rar, zip, v.v.... và đã chạy thử rồi nhé.

 

[hoxulee]

to stonyheartedman:
Bác heroic này nói password là password của thằng VBA cơ, chứ không phải password to open của file word hay excel, mà password trong VBA thì dùng bộ sưu tập của bác stonyheartedman bẻ trong vòng 0.000000000001s.
còn password Aexcel 3.0 của bác tuanktdccn thì chắc bác ấy viết trong macro4excel..?

 

[chauchau]

mình đang có 1 file exel bị mất pass , bạn nào co cái password recovery nào hay thi cho minh xin được không (cho mình cr or s/n luôn nhé), cái nào dò pass nhanh nhanh ấy ,chứ chạy khoảng 20 ngày mới xong thì lâu quá. Cám ơn trước nhé
cuonght722000@yahoo.com

 

[StonyHeartedMan]

to stonyheartedman:
Bác heroic này nói password là password của thằng VBA cơ, chứ không phải password to open của file word hay excel, mà password trong VBA thì dùng bộ sưu tập của bác stonyheartedman bẻ trong vòng 0.000000000001s.
còn password Aexcel 3.0 của bác tuanktdccn thì chắc bác ấy viết trong macro4excel..?

A`, té ra là PWS được nhập trên cái form của chương trình chứ gì. Thế thì phải phân cấp bảo mật ở các mức độ sau cho cả làng dễ hiểu và các bác cũng đỡ lẫn lộn khi phát biểu về bảo mật:

- Bảo mật mức hệ điều hành: Các hệ điều hành đều có policy để phân quyền truy cập các tài nguyên của máy như thư mục, file, máy in, scaners... cho từng user cụ thể.
- Bảo mật mức mạng, truyền thông
- Bảo mật mức CSDL: Ví dụ: MS SQL, Oracle đều có chức năng bảo mật (Oracle còn có thể phân quyền tới từng...record).
- Bảo mật ở mức ứng dụng:
2 trường hợp:
+ Các ứng dụng (của các hãng lớn) có chức năng bảo mật cho đối tượng quản lý của mình như bộ MS Office: Excel, Access, Word,....
+ Các ứng dụng tự phát triển: Thường thì ta biết được các tài nguyên, các đối tượng, các chức năng, module của ứng dụng do mình phát triển là gì, từ đó xây dựng 1 module quản lý người dùng và phân quyền cho từng người dùng đó được sử dụng chức năng, đối tượng,... gì trong ứng dụng của mình. Như thế người ta gọi là Bảo mật ở các ứng dụng

- Bảo mật phần mềm: Đây là 1 câu chuyện haòn toàn khác so với chủ để trên.
Tham khảo bài viết ở đâu đó mà mình đã post trên wkt cách đây mấy ngày.
Để phá sự bảo mật ở các ứng dụng này thì ra phải biết các cách cr**ck với các công cụ như HexEdit, SoftIce, Regmon, FileMon, DISASM,.... (dĩ nhiên là không biết mấy công cụ này có dùng được với tài liệu của MS Office's documents như Access, Word, Excel hay không).

Như vậy, bảo mật ở AExcel mà mọi người đề cập đến là ở mức Ứng dụng và như vậy dùng mấy cái ms office password recovery có tác dụng gì.

 

[ttc]

Đúng rồi khỏi cần nói pass gì cho xa chỉ cần nói làm sao bảo mật được vba code thôi.

 

[Tuanktcdcn]

Hiện nay đa số người dùng EXCEL ứng dụng thì đặt Password-Open/Read Only. Đa số người dùng EXCEL để phát triển ứng dụng (VBA) thì đặt Password trong Project Options.
Tất cả các cách đặt trên đều có các PM ***** PWS.
Nguyên lý:
+ Mở được System Table của EXCEL. Table này được mã hóa...
+ Dùng một vòng lặp I=0 to Số ký tự của PWS (nPWS).
For I=0 to nPWS
Số các trường hợp của PWS (thPWS)=Chỉnh hợp lặp chập I của 256 phần tử(số ký tự định nghĩa trong bảng mã ASCII của máy tính)
Do
Các hoán chuyển ký tự trong dãy ký tự=PwsUser->OK!
Loop
Next I

Vì điều này nếu chúng ta đặt nhiều ký tự trong PWS của mình+ các ký tự lạ + Đặt lẫn lộn thì hạn chế được rất nhiều (với PM ***** bình thường thì có lẽ cũng rất mất thời gian không muốn nói tói vài ngày chạy liên tục->Break Stack).
A-Excel không dùng kỹ thuật Macro4.0 vì nó chỉ đơn giản thuộc Password to Open.
Từ A-Excel3.0 trở lên tác giả đã làm PWS khống chế được các PM ***** kiểu như trên, nếu có ***** được PWS thì cũng không thể nhập Pass vào Project Options được.Đó là hiện nay thôi, có thể sẽ có những PM khác bẻ được. Thiên hạ không có kẻ nào vô địch mãi!

 

[workman]

Hiện nay đa số người dùng EXCEL ứng dụng thì đặt Password-Open/Read Only. Đa số người dùng EXCEL để phát triển ứng dụng (VBA) thì đặt Password trong Project Options.
Tất cả các cách đặt trên đều có các PM ***** PWS.
Nguyên lý:
+ Mở được System Table của EXCEL. Table này được mã hóa...
+ Dùng một vòng lặp I=0 to Số ký tự của PWS (nPWS).
For I=0 to nPWS
Số các trường hợp của PWS (thPWS)=Chỉnh hợp lặp chập I của 256 phần tử(số ký tự định nghĩa trong bảng mã ASCII của máy tính)
Do
Các hoán chuyển ký tự trong dãy ký tự=PwsUser->OK!
Loop
Next I

Vì điều này nếu chúng ta đặt nhiều ký tự trong PWS của mình+ các ký tự lạ + Đặt lẫn lộn thì hạn chế được rất nhiều (với PM ***** bình thường thì có lẽ cũng rất mất thời gian không muốn nói tói vài ngày chạy liên tục->Break Stack).
A-Excel không dùng kỹ thuật Macro4.0 vì nó chỉ đơn giản thuộc Password to Open.
Từ A-Excel3.0 trở lên tác giả đã làm PWS khống chế được các PM ***** kiểu như trên, nếu có ***** được PWS thì cũng không thể nhập Pass vào Project Options được.Đó là hiện nay thôi, có thể sẽ có những PM khác bẻ được. Thiên hạ không có kẻ nào vô địch mãi!

Phần mềm "bẻ" chỉ dành cho bọn nghiệp dư chúng tôi thôi, phần lớn hoạt động dựa trên nguyên tắc dò từng chữ một. Như bác Tuân có nhận xét, những phần mềm dò khóa mà gặp phải những mã khóa có chữ thường lần chữ hoa, số ở giữa chữ và xen lẫn những ký tự lạ như @, *, cộng thêm chiều dài trên tám ký tự ... thì dò miệt mài đến vài ngày cũng chưa chắc ra.

Tuy nhiên, gặp mấy anh chàng bẻ chuyên nghiệp mã hóa như thế cũng không ăn thua. Chúng nó có công cụ bẻ, chứ không dùng phương pháp dò tìm thủ công, nên làm nhanh và dã man hơn nhiều. Tôi có đọc tài liệu (nhưng không hiểu mấy) là họ dùng FrogIce cộng với một cái gì đấy.

 

[hai2hai]

Tuy nhiên, gặp mấy anh chàng bẻ chuyên nghiệp mã hóa như thế cũng không ăn thua. Chúng nó có công cụ bẻ, chứ không dùng phương pháp dò tìm thủ công, nên làm nhanh và dã man hơn nhiều. Tôi có đọc tài liệu (nhưng không hiểu mấy) là họ dùng FrogIce cộng với một cái gì đấy.

Dùng SoftIce, Win32DASM, ResHack, v.v... và rất nhiều phần mềm khác.

 

[hoxulee]

Từ A-Excel3.0 trở lên tác giả đã làm PWS khống chế được các PM ***** kiểu như trên, nếu có ***** được PWS thì cũng không thể nhập Pass vào Project Options được. Đó là hiện nay thôi, có thể sẽ có những PM khác bẻ được. Thiên hạ không có kẻ nào vô địch mãi!

Bác Tuanktcdcn có thể share cách bảo mật cho VBAProject trên diễn đàn được không? Vì tôi thấy có một số VBAProject khi click vào thì không có chỗ nhập password và nó hiện thông báo "Project unviewable". (Nhưng hình như vẫn có thể dùng VBA Backdoor gì đó xem source code được)
Thank.

 

[paulsteigel]

Hì hì!
Project is unviewable là do:
1. Bạn đang khai thác các đối tượng của project VBA trong lúc project đó đang thực thi các nhiệm vụ nào đó - cái này thường thấy trong word - powerpoint - nhưng excel thì không - vì nó thực hiện công việc dưới dạng thẻ và trả quyền điều khiển cho hệ thống ngay khi thực thi kết thúc. Cái này làm tăng tốc độ xử lý thuật toán và đệ quy cho Excel.
2. ProjectVBA được tạo từ các phiên bản trước Office 2000 - nên nó không có digital signature để nhận dạng cấu trúc. Và bạn lại mở project đó bằng các phiên bản từ 2000 trở lên.
VBIDE là môi trường hỗ trợ để soạn thảo mã chương trình - và nó làm việc một cách hoàn toàn ngây thơ - không dấu diếm kỹ thuật gì đặc biệt - xem xem đối tượng có cho view được không - nếu không thì thông báo là không được - ngoài ra không có gì phức tạp cả. Cái này giống như một cái notepad - khi mở một số tập tin mà nó đang bị chương trình nào đó chiếm giữ - thì đơn giản là nó không cho ta xem nội dung vì bản thân nó cũng chịu.
Điều nữa:
+ VBA chạy bằng code đã dịch chứ không phải code soạn thảo mà chúng ta đang thấy - vì thế việc có bảo vệ hay không bảo vệ code thì nó cũng vẫn cứ dùng bản đã dịch của mã nguồn.
+ Vậy tóm lại - bảo mật VBA chỉ đơn thuần là bảo VBIDE không cho xem mã nguồn hoặc tiến hành mã hoá mã nguồn mà thôi - chứ - khi bạn tiến hành bảo mật thì VBIDE đã nhanh tay dịch sang mã máy cho chúng ta rồi. Tuy nhiên, có một điều mà cũng có thể coi là nhược điểm của VBA code (tất nhiên ta không xét đến mde hay dde..) đó là chức năng debug.
Thông thường khi thực hiện chương trình floating pointer (Con trỏ thực thi động) sẽ luôn báo về vị trí thực hiện để mỗi khi gặp lỗi nó sẽ phản hồi về cho bộ thư viện VBE - sau đó VBE sẽ tìm vị trí con trỏ động này tương ứng với phần nào trong đoạn mã để giúp ta xem đoạn lỗi. Nếu gặp vbeproject bị bảo vệ, nó sẽ trả về lỗi nghiêm trọng và tắt mọi thực thi tiếp theo để tránh tình trạng sụp đổ của toàn bộ ứng dụng. Theo dấu vết này mà các chương trình dò tìm password sẽ bẻ khoá được mật khẩu bảo vệ - họ tìm byte đầu tiên chứa đoạn mật khẩu và dò tiếp các byte tiếp cho đến khi gặp được đoạn cuối mật khẩu rồi dùng thuật toán so sánh XOR để tìm ra mật khẩu và thế là xong.
(Đây là cách để bẻ khoá và dò mật khẩu đối với các vbproject từ đời XP trở lên - vì toàn bộ đoạn mã sau đó đã bị mã hoá bằng chính mật khẩu vừa rồi).
Nhưng với các bản office trước 2000 và 2000 - họ chỉ cần xoá mật khẩu và thêm vào một số ký tự phù hợp - thế là đã khôi phục được hoàn toàn vba code (Cái này tôi chưa kiểm chứng được). vì vậy đa số các chương trình bẻ khoá chỉ xoá được mật khẩu mà không biết được mật khẩu là gì - do họ chẳng muốn dành thời gian để đoán mật khẩu nữa.
Chính vì thế - bảo vệ VBA thật là không đơn giản -
Nhưng theo tôi - điều quan trọng là chia sẻ - hãy mang cái mình biết để người khác biêt - họ sẽ chẳng phải học như ta đã phải học mà ta sẽ học được cái mà họ sẽ có từ những cái ta đã chia sẻ với họ.
Thiển ý của mình là thế....
Xin kính thư.

P/S về bảo mật word.doc và xls thì lại khác - đôi khi bẻ khoá nó thì còn khó hơn cả tìm kim dưới bể - do nó mã hoá luôn từ lớp ngoài - và dùng ngay khoá người dùng làm key - tôi đoán nó dùng kiểu như huffman - nhưng có vẻ không đúng lắm - dù sao - đến giờ cũng chưa thấy có cách nào hay hơn bruteforce (Dạng bẻ khoá dùng bộ từ điển và vòng lặp để đoán mật khẩu) để bẻ khoá dạng này - và thường là rất mất thời gian và tiền của chứ không như bẻ khoá VBA.

 

[adam_tran]

Bác Tuanktcdcn có thể share cách bảo mật cho VBAProject trên diễn đàn được không? Vì tôi thấy có một số VBAProject khi click vào thì không có chỗ nhập password và nó hiện thông báo "Project unviewable". (Nhưng hình như vẫn có thể dùng VBA Backdoor gì đó xem source code được)
Thank.

Workbook ở chế độ shared thì VBA Project cũng unviewable thì phải. Trong Excel có 1 đống password, nào protect sheet, nào protect workbook, nào lock project, password open và modify... rối cả đầu. Chưa kể đến các "đồ chơi" bảo mật khác...

 

[Tran Chau]

DoneEx XCell Compiler 1.0.5
http://www.brothersoft.com/business/spreadsheets/download_doneex_xcell_compiler_39067.html


DoneEx XCell Compiler is the unique compiler for MS Excel XLS files which allows you to turn XLS workbook logic into portable EXE application (which require MS Excel to run) with hidden formulas and attach XLA Add-Ins to EXE. XCell Compiler also allows you to promote your company name and/or trade mark by attaching your own image as splash screen in final EXE package.MS Excel workbook authors often face the following problems:* Competitors are always interesting in your author's logic of workbook and may copy it.* End users may accidentally corrupt an XLS files content which will lead at least to wrong results.* The impossibility to secure the business secrets because MS Excel presents formulas as available to all. Even if they are protected by MS Excel formula protection then it may be cracked by some commercial password recovering products in easy way .* The impossibility to create a convenient package for distibuting.* Difficulties in disributing and instalation MS Excel Add-ins on end user computers.DoneEx XCell Compiler allows MS Excel workbook authors to avoid all this problems and makes you to be more competitive on the market.
Publisher : DoneEx More Products
Date added : 11/22/2005
Rating :
File size : 1865KB
Language : English
License : Shareware
Price : $49
Limitations : 30 Days

 

[Tran Chau]

I có đọc sơ qua soft nầy, toàn bộ chương trình nằm trong 1 file .dll trong dir cài đặt, tự đông add toolbar in Excel.Chương trình sẽ tích hợp file .xls,(xla ?)muốn bảo mật vào file exe có kích thuóc lớn hơn file gốc nhiều, file .xls muốn bảo mật sẽ dược chuyển sang .xlt,Mỗi lần start file exe nầy(chứa file .xlt muốn bảo mật ) ch trình sẽ khởi động .xlt tạo 1 file*1.xls không cho save(có save as, nhg sẽ mất các tính năng cần thiết).File *1.xls sẽ :- chuyển HasFormulas Cells sang Value -dùng Event để không cho chỉnh sửa cells nầy –Các cell không có = sẽ chỉnh sửa được, tác giả đã khéo léo dùng event để ta có cell kết quả khi thay đổI data cells mà không thấy được công thức. more ex see att, please change .zip, to .exe

 

[Tran Chau]

hết quota rồi

 

[Đào Việt Cường]

Project is unviewable là do:
(...)

Dear paulsteigel,
-----------------
Em vẫn chưa biết làm thế nào đó để "Project is unviewable". Bác cho em hỏi thêm là giả sử là khi "Project is unviewable" rồi, sau này ta có thể "viewable" được không, bằng cách nào?