AntiHASP: эмулируем ключ аппаратной защиты HASP. Мини HASP ключ из любого устройства USB

Столкнулся на днях с такой проблемой. На одной из машин отказалась работать сетевая версия 1С Предприятие . При подключении к базе, вываливалась следующая ошибка:

Хочу обратить внимание, что ошибка появилась на компьютере, на котором было 2 сетевые карты с 2мя разными сетями. Почему то сразу значения данному моменту не придал. Видимо, потому что монитор HASP обнаруживал данные ключи отлично, из-за чего искал проблему в 1С. В результате чего убил пол дня рабочего времени. Проблема действительно крылась в двух сетевых картах, а если сказать точнее, 2 разные сети, решение было в файле C:\Program Files\1cv81\bin\conf\nethasp.ini

Отключив сеть, в которой нет ключей HASP, после перезагрузки машины - 1С завелась.... Полез в гугл за решением данной проблемы. Поиск недолго заставил себя ждать, решение следующее:

Начну с маленького ликбеза:

1С:Предприятие 8 используется систему защиты с помощью аппаратных ключей HASP , скачать драйвер, программу мониторинга и службу HASP Loader можно на сайте http://www.aladdin-rd.ru/, а конкретно в разделе поддержки http://www.aladdin-rd.ru/support/downloads/hasp/.

Ключи защиты для 1С подразделяются на:

1. Однопользовательские (обязательно должны физически быть подключены к компьютеру, на котором запускается 1С)

модель HASP HL Basic (синего цвета ), данный ключ имеет маркировку H4 M1 ORGL8 , не имеет встроенной памяти и персонального ID, не хранит в себе никаких параметров и настроек. Поставляется продуктами имеющими лицензию на одно рабочее место.

Сетевой ключ HASP

2. Многопользовательские (ключ находится в сети, 1С может запускаться на любых компьютера в пределах локальной сети или домена)

Сетевые клиентские ключи включают серию (красного цвета ). Имеют внутреннюю память, в которой хранится количество лицензий, и уникальный ID. Существуют разновидности на 5, 10, 20, 50 и 100 пользователей. Имеет маркировку NETXX ORGL8 , где ХX - количество лицензий (например NET5 ORGL8 ). Существуют также ключи на 300 и 500 пользователей которые имеют маркировку NET250+ ORG8A и NET250+ ORG8B . Поставляются с продуктами имеющими лицензию на 5 рабочих мест, а также отдельно, в виде дополнительных клиентских лицензий.

Ключ для Сервера 1С

3. Серверные (обязательно должны физически быть подключены локально к компьютеру, на котором установлен и работает сервер агента 1С Предприятие)

Ключи для сервера 1С Предприятие бывают только локальные . 32-битная версия имеет ключ защиты HASP HL Pro (фиолетового цвета ), который имеет внутреннюю память и уникальный ID. Имеет маркировку ENSR8 , поставляется вместе с лицензией на сервер 1С Предприятие.

Для 64-битного сервера используется ключ HASP HL Max (зеленого цвета ) с внутренней памятью и уникальным ID. Имеет маркировку EN8SA и поддерживает также 32-битный сервер. Т.е. имея лицензию на 64-битный сервер можно, не меняя ключа, использовать 32-битную версию, но не наоборот.

Для работы однопользовательского и серверного ключа достаточно установить драйвер ключа защиты на локальной машине и вставить ключ защиты в локальный USB порт.

Для многопользовательского (сетевого) ключа защиты необходимо:
1. Установить драйвер ключа защиты на одну из машины в сети, которая будет являться сервером ключа - HASP4_driver_setup.zip
2. Установить сервер (службу) ключа защиты на эту же машину - HASP_LM_setup.zip
3. Вставить ключ защиты в сервер в USB порт
4. Установить 1С на клиентские машины

В общем случае, данных действий для работы 1С достаточно. В процессе запуска и дальнейшей работы 1С:Предприятие 8 на локальных машинах, система будет обращаться с помощью broadcast-запроса по порту 475 и искать ключ защиты. В случае не удачного поиска будет выдано сообщение „не обнаружен ключ защиты программы“ и работы 1С:Предприятие прервется.

Если вы столкнулись с сообщением „не обнаружен ключ защиты программы “ необходимо проверить:
1. наличие ключа защиты в порту usb сервера ключа
2. проверить запущен ли сервер ключа на сервере (процесс с именем „Hasp loader“)
3. проверить командой telnet доступность сервера ключа с локальной машины по порту 475 (например: telnet 192.168.100.100 475)

Если все проверки прошли успешно, но ошибка осталась, переходим к более детальным настройкам. В папке установки 1С:Предприятие 8 (как правило, c:\program files\1cv81\bin\conf или c:\program files\1cv8\bin\) имеет файл nethasp.ini . Это файл настройки ключа защиты, он разбит на секции, нас интересует секция . При установке 1С, по умолчанию, в данной секции все параметры отделены двойными знаками ";", что означает игнорирование данных настроек. При этом драйвер ключа ведет себя следующим образом:
1. посылается пакет типа broadcast по локальной сети по порту 475 в поисках сервера ключа защиты
2. если ответ не получен - ошибка

Недостатки конфигурации по умолчанию:
1. на broadcast уходит какое-то время
2. не все сервера отвечают на подобные пакеты
3. broadcast какая-никакая, но нагрузка на сеть

Для решения данной проблемы необходимо сделать следующее:
1. укажем конкретный адрес где искать сервер ключа (например: NH_SERVER_ADDR = 192.168.100.100)
2. запретим broadcast поиск (NH_USE_BROADCAST = Disabled)
3. и ограничим типы пакетов только TCP-протоколом (NH_TCPIP_METHOD = TCP)

Как показывает практика, скорость запуска 1С:Предприятие 8 после такой настройки возрастает заметно!

Но есть и кое-какие недостатки данного метода:

необходимо следить за тем, чтобы адрес сервера ключа защиты не изменился, иначе придется на всех локальных машинах перенастраивать файл nethasp.ini!

Хотел бы так же уточнить несколько моментов по работе с ключами, с которыми пришлось сталкиваться при работе:

1. Monitor HASP не показывает ключ

Сам по себе монитор может показать только наличие менеджера лицензий на том или ином адресе. Ключ он сможет увидеть только после того, как защищенное приложение успешно откроет хотя бы одну сессию с ключом. Кроме того, следует учитывать, что Aladdin Monitor работает только по протоколу UDP, порт 475. Таким образом, отсутствие данных о ключе в мониторе еще не означает, что ключ недоступен для приложения.

2. Два ключа защиты 1С HASP на одном компьютере

При установке двух и более ключей защиты программного обеспечения HASP на один компьютер следует учитывать, что:

• Ключи, имеющие разные серии, будут работать нормально. (по отношению к 1С: 1 серверный и 1 сетевой будут работать нормально)
• Ключи одной серии будут работать, если такая возможность была реализована разработчиком защищенного ПО. Если же разработчиком данная возможность не была реализована, то ключи, относящиеся к одной серии, не будут работать совместно на одном компьютере, будет виден только один из них: либо ближний к порту (в случае с LPT-ключами), либо размещенный на порту с младшим адресом (в случае с USB-ключами защиты программ HASP). (по отношению к 1С , - 2 локальный или 2 сетевых ключа на одном компьютере работать корректно, скорее всего не будут)
• не рекомендуется ставить вместе локальный и сетевой ключ, это связано с особенностью защиты 1С Предприятия: находя локальный ключ программа никогда не будет искать сетевой.

Возможные решения данной проблемы:

• Замена нескольких ключей защиты программ HASP на один, с бОльшим количеством лицензий (об этом хорошо написано тут: http://v8.1c.ru/predpriyatie/questions_licence.htm).
• Установка ключей защиты на разные компьютеры с последующей установкой и настройкой менеджеров лицензий при каждом ключе.

3. Два и более менеджеров лицензий (License Manager) в сети

При наличии двух и более сетевых ключей не всегда достаточно разнести их по разным компьютерам. Следует выполнить настройку менеджеров лицензий. Каждый менеджер лицензий должен иметь уникальное имя, которое следует явным образом сообщить защищаемой программе. Рекомендуется выполнить аналогичную настройку и в случае использования сервера терминалов, даже при одном сетевом ключе.

На машине где установлен ключ находим файл nhsrv.ini в папке с менеджером лицензий. За имя сервера лицензий отвечает параметр NHS_SERVERNAMES, оно может состоять из латинских букв и цифр и содержать не более 7 символов.

NHS_SERVERNAMES = NAME1

После чего на клиентских машинах желательно отредактировать файл nethasp.ini, явным образом указав адреса и имена менеджеров лицензий:

NH_TCPIP = Enabled NH_SERVER_ADDR = 192.168.0.10, 192.168.0.11 NH_SERVER_NAME = NAME1, NAME2

Ну вроде все нюансы описал, если чего вспомню, обязательно дополню! Всем пока!

С Уважением, Mc.Sim!

В статье речь пойдет о реализации аппаратно-программной защиты на основе любой флешки. Но следует учитывать, что предложенная методика не является серъезным конкурентом существующих аппаратных ключей таких как HASP HL (с обновляемой прошивкой) от Alladin , Sentinel, Rockey и др…

Вы никогда не задумывались, для чего может сгодиться обычная флешка? Многие сразу ответят: "… что за вопрос? Конечно для хранения информации…". Но, это если рассматривать с точки зрения обывателя. А если взлянуть на нее "глазами компьютера"? Очевидно, что этот процесс достаточно непрост, это и протокол обмена по USB, переходные процессы, идентификаторы и GUID (Globally Unique IDentifier)…

Немного теории...
HASP (Hardware Against Software Piracy) - это система защиты программы (ПО) и аппаратуры от нелегального использования. Основой большинства ключей HASP - обычно является заказной чип c уникальным ПО, как например в получивших сейчас широкое распространение в дверной автоматике таблетках iBUTTON от Dallas Semiconductor.

Принцип защиты состоит в том, что в процессе запуска программа опрашивает ключ, подключённый к компьютеру по I2C, LPT, PCMCIA или USB. Если ключ отвечает "правильно", то программа выполняется нормально. Иначе, она блокирует доступ к определенным функциям или просто не запускается. Таким образом, любая защищаемая программа состоит непосредственно из самой программы и механизмов проверки ключа. Задача этих механизмов - проверить наличие ключа, получить его уникальный идентификатор, прочитать или изменить содержимое встроенной памяти.

Предпосылки защиты ПО. Существующие решения
Основными критериями для использования аппаратных ключей являются:

• цена используемых ключей должна быть неизмеримо меньше цены софта
• длительный срок жизни программного продукта
• индивидуальный алгоритм взаимодействия

* PRAM (Phasechange Random Access Memory) - память с произвольным доступом, основанная на фазовых переходах вещества - халькогенида, обладающую скоростью доступа порядка 10 нс, что сравнимо с современными ОЗУ.

Второй - актуален для оригинальных и популярных продуктов, содержащих уникальные алгоритмы требующие минимальной защиты. Третий - определяется самим разработчиком. Чем меньше знание пользователя о нем, тем выше криптостойкость. Ведь знание алгоритма даёт возможность создания программы - эмулятора, полностью выполняющего все функции аппаратного устройства.

Существует множество вариаций ключей: без собственной памяти, с защищенной памятью, со встроенными REAL TIME часами, со встроенными сетевыми протоколами.

В то же время, кроме предлагаемого в статье встраиваемого решения в виде компонента, существуют такие продукты как StarForce и HASP Envelope от компании Alladin, позволяющие уже на этапе продажи добавлять защитные модули обмена с ключом в готовые программы, интегрируя их в код продукта. Но у них есть издержки, связанные с затратами на покупку самих HASP ключей, стоимость которых составляет от 25 до 50 долларов за штуку (в зависимости от модели ключа) и ПО для встраивания (от 200 долларов), при стоимости защищаемой программы от 20 долларов.

Разработка ПО и средства отладки
Как известно, метод защиты HASP основан на привязке программы к некоему или совокупности уникальных параметров ключа и даже оборудования. Так как мы будем использовать устройство USB, то априори достаточно считать серийник и ID флешки**, поскольку они не меняются при их форматировании.

** не все флеш-накопители имеют данный номер, к примеру некоторые чипы от LG

Для работы необходимо следующее:

• среда Borland Delphi 5-7
• утилита Dependency Walker из комплекта Visual C++ 6.0

для их использования - осуществим динамическое их подключение в компоненте

Function LinkProc(ProcName: string):Pointer; begin try result:= GetProcAddress(FLib,PChar(ProcName)); Win32Check(Assigned(Result)) except end end; ... CM_Get_Device_IDA:= LinkProc("CM_Get_Device_IDA"); SetupDiGetClassDevsA:= LinkProc("SetupDiGetClassDevsA"); SetupDiEnumDeviceInfo:= LinkProc("SetupDiEnumDeviceInfo"); SetupDiDestroyDeviceInfoList:= LinkProc("SetupDiDestroyDeviceInfoList"); CM_Get_Device_ID_Size:= LinkProc("CM_Get_Device_ID_Size"); SetupDiCallClassInstaller:= LinkProc("SetupDiCallClassInstaller"); SetupDiGetDeviceRegistryPropertyA:= LinkProc("SetupDiGetDeviceRegistryPropertyA"); SetupDiSetClassInstallParamsA:= LinkProc("SetupDiSetClassInstallParamsA"); ...

при создании компонента инициализируем опрос USB:

Var Info: TDevBroadcastDeviceInterface; //интерфейс- ... Info.dbcc_size:= SizeOf(DEV_BROADCAST_DEVICEINTERFACE); Info.dbcc_devicetype:= DBT_DEVTYP_DEVICEINTERFACE; Info.dbcc_classguid:= FClassGUID; FNotifyHandle:= RegisterDeviceNotification(FWnd,@Info,DEVICE_NOTIFY_WINDOW_HANDLE); // таймер на CountDiskEnum ftimer:= ttimer.Create(self); ftimer.Enabled:= false; ftimer.interval:= FPoolingInterval; ftimer.ontimer:= tmr; ftimer.Enabled:= true ...

Покажем на практике как это работает. Встроим компонент в уже готовую программу и в меню осуществим активацию режима "мини HASP" (см. рис.)

после того как флешка будет вставлена, наступает событие DBT_DEVICEARRIVAL

... //--- читаем очередь сообщений и отлавливаем момент подключения-съема USB procedure TDUSB.WndProc(var Msg:TMessage); begin with Msg do if (Msg=WM_DEVICECHANGE)and ((wParam=DBT_DEVICEARRIVAL)or(wParam=DBT_DEVICEREMOVECOMPLETE)) then try DoDeviceChange(wParam,PDevBroadcastDeviceInterface(lParam)); except end else Result:= DefWindowProc(FWnd,Msg,wParam,lParam) end; ...

производим считывание серийного номера, ID и GUID

Var VID,PID: Word; Serial,GUID: string; const USBNameMask="\\?\USB#Vid_%x&Pid_%x#%s#%s"; begin if (Device.dbcc_devicetype=DBT_DEVTYP_DEVICEINTERFACE)and Assigned(FOnChange) and ParseDeviceName(USBNameMask,PChar(@Device.dbcc_name), [@VID,@PID,@Serial,@GUID]) then case Event of DBT_DEVICEARRIVAL: FOnChange(Self,VID,PID,Serial,GUID,doInsert); DBT_DEVICEREMOVECOMPLETE: FOnChange(Self,VID,PID,Serial,GUID,doRemove) end end; ...

для того, чтобы программа знала о наличии нужного нам "девайса" в любой момент времени, а не только в момент съема, воспользуемся функцией SetupDiGetClassDevsA все той же библиотеки - setapi.dll

Procedure TDUSB.CountDiskEnum; // вызов по таймеру ftimer- const GUID_DEVCLASS_DISKDRIVE: TGUID = (D1: $4D36E967; D2: $E325; D3: $11CE; D4: ($BF, $C1, $08, $00, $2B, $E1, $03, $18)); var hDevInfoSet: HDEVINFO; DevInfo: SP_DEVINFO_DATA; i: Integer; s: string; pp: boolean; begin DevInfo.cbSize:= sizeof(SP_DEVINFO_DATA); hDevInfoSet:= SetupDiGetClassDevsA(@GUID_DEVCLASS_DISKDRIVE, nil, 0, 2); i:= 0; list.Clear; // обнуляем stringlist // if hDevInfoSet INVALID_HANDLE_VALUE then begin while (SetupDiEnumDeviceInfo(hDevInfoSet, i, @DevInfo)) do begin s:= GetDevName(DevInfo.DevInst); //фильтрация строки вида- //USBSTOR\DISK&VEN_KINGSTON&PROD_DATATRAVELER_2.0&REV_PMAP\5B661B004102&0 //USBSTOR\DISK&VEN_SAMSUNG&PROD_MIGHTY_DRIVE&REV_PMAP\07521094081F&0 if pos("USB",s)=1 then // наполняем список подключенных- list.Add(sel_ser(s)); Inc(i) end; SetupDiDestroyDeviceInfoList(hDevInfoSet) end; ...

введем алгоритм простейшей защиты на основе функции BlockInput из библиотеки - user32.dll

Procedure BlockInput; external "user32.dll"; ... //проверка на блокировку ПК- pp:= false; if (FActive)and(fblock"") then begin for i:= 0 to list.Count-1 do if list[i]= fblock then begin pp:= true; break end; if pp then UnBlock else block end; // FSerChange(Self,list) // возврат события компонента- ...

Полные исходные тексты компонента и тестовый монитор доступны по .

		Рис. - Тестовый монитор USB
Рис. - Компонент мини HASP

Все. Теперь при съеме флешки ПК будет заблокирован до тех пор, пока она не будет возращена на место. Род действий на данные события ограничен лишь фантазией разработчика. Как вариант, возможно встраивание рассмотренных выше функций в сервис и запуск его в безопасном режиме...

Итоги
Обратите внимание, что рассмотренный метод защиты USB флешкой, так и самими ключами HASP имеет уязвимое место - это аппаратный перехват вызова устройства. Имея отладчик с пошаговой трассировкой, можно выделить процедуру во время которой идет обращение к устройству и "работать" дальше с ней. Тем не менее, учитывая дешевизну, скорость разработки, а главное простоту - данный метод с успехом можно использовать для минимальной защиты как ПК, так и привязки программ.

• Cайт Alladin http://www.alladin.ru
• Dependency Walker из комплекта Visual C++ 6.0 http://ra-xp.narod.ru/zip/dll.zip
• Модификация системы управления ПК http://ra-xp.narod.ru/zip/ram.zip
• Компонент miniHASP for DELPHI и компиляция тестового проекта http://ra-xp.narod.ru/zip/hsp.zip

Контактная информация:

[email protected]

Общеизвестно, что для работы в 1С требуется лицензия. Фирмой 1С поставляются различные ключи защиты: локальные и сетевые. Локальный ключ может быть использован только на одном компьютере, имея вид привычной нам флешки.

Сетевые ключи могут предоставлять лицензии для нескольких пользователей в зависимости от своей серии. На крупных предприятиях чаще всего используются ключи на 300 и 500 соединений, но при необходимости можно приобрести и меньше. Обратите внимание, что на одном компьютере не может находиться более одного ключа одной и той же серии.

В данной статье мы пошагово рассмотрим, как настроить менеджер лицензий 1С 8.3, чтобы сетевой ключ защиты был на одном компьютере. Пользователи с других компьютеров при этом будут получать лицензии уже от него. Проще говоря, ключ один, а пользовательских сеансов множество.

Настройка HASP менеджера лицензий

Начнем с того, что на тот компьютер, который станет раздавать лицензии, установим менеджер лицензий. В дальнейшем мы будем называть данный компьютер сервером лицензий. Все требуемое ПО включено в поставку 1С:Предприятие.

Скачать Alladin HASP License Manager для Windows x64 и x32 можно по ссылке .

Для правильной работоспособности менеджера нужно произвести некоторые предварительные настройки. Файл, где вы будете их производить называется nhsrv.ini. Чаще всего его можно найти по адресу «C:\Program Files\Aladdin\HASP LM», если менеджер лицензий установлен в качестве приложения. В противном случае (установлен как сервис) он будет в системном каталоге операционной системы.

Откройте найденный вами файл в любом текстовом редакторе, например, в блокноте и добавьте туда строку:

NHS_IP_LIMIT = 192.168.*.*

Вместо звездочек вы можете проставить любое число от 0 до 254. Так же, если оставить знаки «*», это будет означать, что лицензии будут «видеть» все компьютеры в сети, адрес которых начинается с 192.168.

Например, если в файле nhsrv.ini у вас указана надстройка NHS_IP_LIMIT = 192.168.1.*, то лицензии будут доступны только компьютерам с ip в диапазоне от 192.168.1.0 до 192.168.1.254.

Настройки на клиентских ПК

После того, как вы произведи все необходимые настройки на сервере лицензий 1C, нужно настроить и сами клиентские компьютеры.

При запуске 1С на пользовательском ПК, программа обращается с запросом на предоставление лицензии по адресу, указанному в файле nethasp.ini. Найти его можно в папке «conf» каталога, куда установлена платформа 1С. В нашем случае адрес следующий: «d:\Program Files (x86)\1cv8\conf\».

Без каких-либо дополнительных настроек, программа 1С будет искать лицензии по всей локальной сети. Для ускорения данного процесса мы можем самостоятельно указать ip адрес сервера лицензий в этом файле, добавив в него выделенный на рисунке ниже текст.

Здравствуйте!
Сегодня хочу рассказать о системе защиты, которую использует 1С с помощью ключей HASP . После тога как мы , необходимо установить ключи защиты, чтоб запустить «1С:Предприятия». С 2011 года основной вариант защиты типовых решений фирмы 1С является , но на данный момент большинство пользователей использует именно аппаратную защиту.

Для учебных версий системы ключи защиты не требуются.

Ключи защиты для «1С:Предприятия» подразделяются на:

1. Локальный однопользовательский ключ синеного цвета с маркировкой Н4 М1 ORGL8 . Локальный ключ должен быть физически подключен к компьютеру, на котором мы запускаем 1С. Для работы локального ключа необходима установка драйвера защиты Hasp Device Driver. Hasp Device Driver устанавливается в процессе установки платформы, либо – позже в меню Пуск из программной группы «1С:Предприятие». Ключ устанавливается в USB-порт компьютера после завершения установки платформы. С помощью локального ключа возможен запуск любого количества типовых конфигураций на одном компьютере. Основное требование – конфигурации должны быть официально приобретены.

Показатель того, что ключ работает – свечение красного светодиода в головке ключа.

2. Сетевые ключи они красного цвета и имеют внутреннюю память, которая содержат количество лицензий и ID. Сетевой ключ имеет маркировку NET XX ORGL8 , где ХХ – количество лицензий — 5, 10, 20, 50, 100 также есть ключи на 300 и 500 лицензий. Для работы сетевого ключа необходимо специальное приложение – Hasp License Manager, оно включено в комплект поставки ключа, также его можно скачать с интернета.

Сервера 32-битнои версии используют ключи HASP HL Pro с маркировкой ENSR8 они фиолетового цвета.

Сервера 64-битнои версии используют ключи HASP HL Max с маркировкой EN8SA они зеленого цвета.

Ключ EN8SA для 64- битного сервера поддерживают и 32-битный, но не наоборот.

Инструкцию по установке и эксплуатаций ключей защиты лучше всего брать у производителя, я решил чтоб не повторятся привести ссылку на инструкцию производителя ключей «Аладдин Р.Д.»

Посмотреть количество выданных аппаратных лицензий и количество доступных лицензий можно при помощи утилиты Aladdin Monitor , она осуществлять централизованное администрирование приложения HASP License Manager (HASP LM) и ключей HASP4 Net.

Aladdin Monitor скачивать лучше с сайта разработчика!

По установке аппаратных ключей есть следующие ограничения:

1. В один компьютер нельзя устанавливать два ключа одной и той же серии. В такой ситуации будет работать только один из ключей!

2. Компьютер с установленным ключом не должен быть сильно загружен, иначе возникнут проблемы с подключением пользователей.

3. В терминальной сессии не будет виден локальный ключ защиты. Ограничение можно обойти путем запуска терминальной сессии с ключом Admin.

Если у Вас есть вопросы по данной теме или комментарий то не стесняемся, задаем

P.S.2. Мое видео установка 1С и ключей защиты