磁盤ID在ASP源碼防拷貝中的應用

2019-11-18 20:37:41

字體：大中小

來源：轉載

供稿：網友

自從asp（Active Server Pages）問世以來，因其可以創建健壯易于維護、與平臺無關的應用系統，ASP技術受到了越來越多網絡程序員的喜愛，使用ASP從事WEB開發的人也越來越多。但ASP只是一種非編譯型的、在服務端運行的腳本語言，采用明文(plain text)方式來編寫，即使采用了ASP加密程序對ASP源碼進行加密，也不一定能保證發布到運行環境中去的ASP應用程序不被非法拷貝。對于高權限的管理員，可以輕而易舉從服務器端拷貝出ASP程序應用到別的非授權網站。這樣給ASP應用商業化帶來了一定的困難。如何有效保護開發出來的ASP程序，本文基于磁盤序列號產生的隨機性，結合微軟官方免費提供的ASP腳本加密程序SCRENC.EXE，很好地解決了這個問題。

磁盤序列號，簡稱磁盤ID，是對磁盤進行格式化時隨機產生的磁盤標識信息，是一個卷序列號。同一機器兩次格式化隨機產生固定格式的序列號相同幾率幾乎為零， DOS的后期版本和WINDOWS、WINNT均采用了這種磁盤標識方式，因而磁盤序列號常被運用用于商業化軟件進行加密使用。從WINDOWS9.X切換到MS-DOS方式，鍵入DIR命令后回車，屏幕出現當前卷標序列號信息，這個類似"0A48-1CD7"的序列號是一個16進制數。一些限期使用的軟件，在使用期限到了之后，會要求使用者在線申請新的授權序列號（使用許可）。這種授權序列號相當一部分是采用了靜態磁盤序列號結合時間產生的。安裝完畢之后的軟件，程序即使被非法拷貝到非初始安裝環境中，也不能使用。

上述思想用VC、VB及DELipHI編程語言都容易實現，那么，在ASP中又如何實現呢？VBScript作為一種健壯的、安全的用戶語言，是受客戶機系統限制的，不能處理客戶機上API的調用，也不能直接操縱客戶機上的文件和文件系統之外的控件。因而本文采用VBScript并結合ASP內置組件FileSystem來實現上述思想。以下程序根據具體情況略加修改，可以應用于實際的ASP應用系統。

作為講解實例，本文用到 access 數據庫安全機制，實際應用中，可以用其它格式的文件存放的數據。為便于闡述，我們先建一個Access數據庫ID.mdb(密碼為"kxj")，內建一個DriveInfo表，數據結構如下：

id(自動編號) ；
Serno（文本，12，磁盤序列號（10進制））；
Wrimark（數字，1，寫盤標志，）。

說明

Wrimark 值為0代表合法用戶未安裝系統，值為1代表該系統已安裝。當值為1且序列號與當前盤不符時，則判定為非法拷貝用戶。

初始化時先定義一個新記錄，各字段初始值分別為1,12345678,0。

在同一目錄下，例如C:/INTERPUB/WWWROOT下，放置首頁Default.asp，合法用戶首頁Success.asp，非法安裝用戶提示頁Fail.htm及ID.mdb序列號存放庫。

各ASP文件的編寫操作如下：

1、用FrontPage（或NotePad），新建一個ASP文件Default.asp，錄入以下程序代碼：

＜html＞
＜head＞
＜title＞Sample＜/title＞
＜/head＞
＜% dim conn,fs,f
Set conn = Server.CreateObject("ADODB.Connection")
conn.open "driver={Microsoft Access Driver (*.mdb)};uid=;pwd=kxj;dbq="&server.mappath("id.mdb")
set fs=server.createObject("scripting.filesystemobject")
testDrive=Server.MapPath("/DRIVEINFO.ASP")
'通過MapPath獲得當前盤盤符
testDrive=Left(testDrive,3)
set f=fs.getdrive(testDrive)
'調用GetDrive方法，將驅動器賦予一個變量
MySQL="SELECT * From driveinfo where id=1"
set rsCheck = Server.CreateObject("ADODB.Recordset")
rsCheck.open Mysql,conn,1,1
FSER=trim(f.serialnumber)
'獲得當前盤序列號
StrSerno=trim(rsCheck.fields("SERNO"))
StrMark=rsCheck.fields("WRIMARK")
if StrSerno＜＞FSER and StrMark=0 then
'若是首次安裝，則置寫盤標志為1
session("pass")=true
'定義用戶Session，并置為全局ASP文檔標識變量
set rsMain = Server.CreateObject("ADODB.Recordset")
Mysql1="update driveinfo SET SERNO="&FSER&", WRIMARK=1"
rsMain.open Mysql1,conn,1,2
response.write("＜a href='success.asp'＞SETUP
SUCCESSFUL!WELCOME TO ACCESS THE WEBSITE!＜/a＞")
set rsMain=nothing
else
if StrSerno=FSER then
'若是合法用戶再次合法進入
session("pass")=true
response.write("＜a href='success.asp'＞YOU ARE AUTHORIZED BY THE WEBSITE MANAGER，WELCOME TO ACCESS !＜/a＞")
else
'非法拷貝用戶
session("pass")=false
response.write("＜a href='fail.htm'＞IT IS ILLEGAL TO COPY THE WEBSITE'S ASP DOCUMENT.YOU ARE NOT RIGRT TO USE THE PROGRAM.＜/a＞")
end if
end if
response.write("＜br＞")
response.write("Volume Serial Number in drive "&testDrive)
response.write(f.serialnumber)
response.write("＜br＞")
response.write("Volume hex Serial Number in drive "&testDrive)
response.write(hex(f.serialnumber))
response.write("＜br＞")
'作為演示，本程序把當前盤序列號列出來(16進制)
set f=nothing
set fs=nothing
%＞
＜/html＞

2、在合法用戶可以訪問的各個ASP文件頭部，添加如下代碼：

＜% if Session("pass")=false then
'對Session變量進行判定，非法則跳出本ASP文件
response.redirect("fail.htm")
end if
%＞

3、用ASP加密程序（例如微軟公司的SCRENC.EXE，別的ASP加密程序也可以）對各個ASP文件進行加密。

在DOS狀態下運行SCRENC -l vbscript source.asp destination.asp，即把源文件source.asp生成了包含密文ASP腳本的新文件destination.asp。SCRENC.EXE可以在微軟公司站點（http://www.microsoft.com免費下載）。
以上程序代碼在簡體中文NT4.0、IIS3.0及簡體中文PWIN9.8、PWS4.0下通過。

上一篇：用ASP文件實現CPU的使用率始終保持100％

下一篇：用ASP+SQL Server為網頁建一道防火墻