चेतावनी!
इस स्काइप का उपयोग न करें!
इस कहानी के बाद habrahabr.ru/post/142805 स्काइप ने इस स्काइप के साथ एक ही आईपी पर चलने वाले सभी खातों को प्रतिबंधित करना शुरू कर दिया।

स्केपीकिट जैसी अद्भुत चीज है। संक्षेप में, यह जीयूआई के बिना एक पूर्ण स्काइप है, जिसके लिए आवरण स्वयं लिखा जाना चाहिए।

सैद्धांतिक रूप से, स्काइपेकिट पर आधारित हो सकता है:

• सभी प्लेटफ़ॉर्म के लिए पूर्ण-स्काइप क्लाइंट बनाएँ
• Multiprotocol ग्राहकों के लिए Skype समर्थन जोड़ें
• एसआईपी / फ्लैश के साथ एकीकरण के लिए सर्वर पर स्काइप चलाएं

और भी बहुत कुछ, यदि उपयोग की शर्तों के लिए नहीं है।
सबसे पहले, Skype के लिए आपको अपने उत्पाद को वितरित करने की अनुमति देने के लिए, आपको अपने उत्पाद के प्रमाणन के लिए $ 9000 से अधिक का भुगतान करना होगा। दूसरे, प्रमाण पत्र को किसी भी समय निरस्त किया जा सकता है यदि Skype यह निर्णय लेता है कि आप उपयोग की शर्तों का उल्लंघन कर रहे हैं।

लेकिन रिवर्स इंजीनियरिंग के उपचार प्रभावों के लिए धन्यवाद, यह बीमारी ठीक हो गई थी।

प्रस्तावना

आप और अधिक पढ़ सकते हैं कि Skypekit को यहाँ कैसे वितरित किया जाता है habrahabr.ru/post/124321

प्रत्येक रनटाइम को व्यक्तिगत रूप से संकलित किया जाता है और आपके पंजीकृत संगठन के साथ पहचाना जाता है। इसे एक विशिष्ट संस्करण संख्या और कुंजी दी गई है। इसके बाद, इस रनटाइम के माध्यम से प्राधिकरण केवल इसके लिए विशेष रूप से जारी की गई कुंजी की मदद से संभव होगा। विकास के समय, एक डेवलपर कुंजी जारी की जाती है, जिसके साथ आप केवल अपने संगठन के खातों में लॉग इन कर सकते हैं।

चाबियाँ दो प्रकार की होती हैं:
डेवलपर - आप केवल डेवलपर्स के समूह में खातों से लॉग इन कर सकते हैं (60 दिनों के लिए वैध)
वितरण - आप सभी को लॉग इन कर सकते हैं।

एपीआई की पहुंच स्थानीयहोस्ट पर टीसीपी सॉकेट के माध्यम से होती है। ऐसा करने के लिए, एक एसएसएल सुरंग खोली जाती है, जिसे जारी की गई कुंजी का उपयोग करके एन्क्रिप्ट किया गया है।



इसलिए, यहां तक ​​कि एक लोकलहोस्ट पर एक स्निफर के साथ आप देख नहीं सकते कि रैपर रनटाइम के बारे में क्या बात कर रहा है।
Skype के लिए आवश्यक है कि तैयार किए गए एप्लिकेशन को obfuscated और बाइनरी रूप में वितरित किया जाए, ताकि आप कुंजी को खींच न सकें और रनटाइम का अलग-अलग उपयोग कर सकें।

Rantime अपने संगठन से एन्क्रिप्टेड कुंजी के साथ ही एसएसएल को समझ सकता है (डिक्रिप्ट) कर सकता है। अलग-अलग, विभिन्न संगठनों से रनटाइम और कुंजी बेकार हैं।

इसलिए, एक कुंजी और एक रनटाइम जोड़ी मूल्यवान है।

यदि किसी बिंदु पर स्काइप यह तय करता है कि आप स्केपीकिट का उपयोग करने के योग्य नहीं हैं (उदाहरण के लिए, आपने एक भयानक अपराध किया है - अपने प्रोग्राम के स्रोत कोड को प्रकाशित करना), तो कुंजी को एकतरफा निरस्त किया जा सकता है और आप अपने प्रोग्राम के माध्यम से अपने स्काइप नेटवर्क में लॉग इन नहीं कर पाएंगे।

चमत्कारी उपचार

हमेशा की तरह, सभी स्काइप कार्यक्रमों में रिवर्स इंजीनियरिंग के खिलाफ सुरक्षा होती है: कोड को बाधित किया जाता है, जाल को अव्यवस्था को रोकने के लिए उपयोग किया जाता है। Skypekit कोई अपवाद नहीं है।

लेकिन एक बार, यरूशलेम में धन्य अग्नि के वंशज के चमत्कार की तरह, रनटाइम की गति थम गई।

विभिन्न मालिकों के लिए संकलित एक ही संस्करण के दो डिक्रिप्ट किए गए रनटाइम्स की तुलना करते समय, यह पाया गया कि वे थोड़ा अलग हैं। फ़ाइल में असेंबली का टाइम स्टैम्प और RSA कुंजी पासवर्ड होता है, जो रनटाइम के लिए स्थानीय कनेक्शन को एन्क्रिप्ट करता है।

यह पता चला है कि जारी की जाने वाली कुंजी केवल रनटाइम एपीआई तक पहुंचने के लिए रैपर के लिए एक स्थानीय एसएसएल सुरंग बनाने में शामिल है, और केवल फिंगरप्रिंट वाले संस्करण संस्करण को प्राधिकरण सर्वर पर भेजा जाता है:



मेन्यू कॉल => टेक में वॉयस कॉल के दौरान इस तरह की विंडो को विंडोज संस्करण में कहा जा सकता है। कॉल जानकारी ।

इस फिंगरप्रिंट के आधार पर, प्राधिकरण सर्वर निर्धारित करता है कि किस कुंजी का उपयोग किया गया है और इसके आधार पर, यह तय करता है कि क्लाइंट को अधिकृत किया जा सकता है या नहीं।
यह प्रयोगात्मक रूप से स्थापित किया गया था कि इस लाइन में एक कुंजी के फिंगरप्रिंट को बदलना संभव है, और दूसरे का उपयोग करके रनटाइम से कनेक्ट करें। प्राधिकरण सर्वर संस्करण लाइन में प्रेषित कुंजी के अनुसार प्रतिक्रिया करता है।
उदाहरण के लिए, स्थानीय एसएसएल सुरंग, डेवलपर के लिए कुंजी का उपयोग करना, और संस्करण लाइन में वितरण कुंजी से एक फिंगरप्रिंट भेजना, मैं एक ऐसे खाते के साथ लॉग इन करने में सक्षम था जो संगठन नहीं है।

यह पता चला कि यदि आप नियमित डेस्कटॉप क्लाइंट से संस्करण को निर्दिष्ट करके संस्करण पंक्ति को बदलते हैं, तो कोई सत्यापन बिल्कुल नहीं होगा।

यह अस्पष्टता मॉडल के माध्यम से सुरक्षा की विफलता का एक स्पष्ट चित्रण है।

पूछे जाने वाले प्रश्न

1. क्या बदलाव किए गए, मूल रनटाइम से क्या अंतर हैं?

• ऑबफसकेशन और ट्रैप हटा दिए गए थे (डिओबसकेटेड संस्करण ~ 60% कम मेमोरी लेता है)। कार्यक्रम को हेक्स संपादक द्वारा संपादित डीबगर में चलाया जा सकता है।
• सभी व्यक्तिगत टैग हटा दिए गए हैं: अद्वितीय संस्करण संख्या, निर्माण समय, आदि।
• संस्करण स्ट्रिंग को बदल दिया गया है, कुंजी के फिंगरप्रिंट को इसमें प्रेषित नहीं किया गया है, रनटाइम को डेस्कटॉप क्लाइंट के रूप में प्रस्तुत किया गया है।
• डिबगिंग जानकारी का एन्क्रिप्शन हटा दिया गया था (प्रारंभ में, लॉग एन्क्रिप्ट किए गए हैं, उन्हें डिक्रिप्ट करने के लिए आपको स्काइप भेजने की आवश्यकता है, जहां उन्हें मैन्युअल रूप से संसाधित किया जाएगा, वहां से रहस्यों को हटा दें और फिर केवल दिखाएं)
• ट्रिलियन से स्काइप से लिया गया प्रमाण पत्र।

और कुछ नहीं।

2. क्या प्रमाण पत्र, क्या इसे हटाया नहीं गया है?

स्थानीय एसएसएल सुरंग स्थापित करने के लिए प्रमाण पत्र की आवश्यकता होती है, इसे एसडीके के साथ संगतता के लिए छोड़ दिया जाता है।
उन्हें ट्रिलियन से बाहर निकाला गया और नवीनतम संस्करण में रखा गया। प्रमाणपत्र असीमित है इसलिए यह सबसे सरल है। यहां तक ​​कि अगर इसे वापस बुलाया जाता है, तो इसे लोकलहोस्ट से परे नहीं चेक किया जाएगा, इसलिए यह रनटाइम को ब्लॉक नहीं करेगा।

3. क्या यह कानूनी / सुरक्षित है?

कानूनी नहीं, सुरक्षित नहीं।

इस बात की पूरी निश्चितता नहीं है कि संस्करण लाइन में फिंगरप्रिंट ही सत्यापन का एकमात्र तरीका है। ऐसे रनटाइम के माध्यम से प्राधिकरण के दौरान आपके खाते को खोने का जोखिम है, इसलिए परीक्षण के लिए अपने स्थायी Skype खाते का उपयोग न करना बेहतर है।
यह अभी भी एक मालिकाना द्विआधारी स्काइप है, हालांकि इसे बाधित नहीं किया गया है। यह गारंटी नहीं दी जा सकती है कि इसमें अनिर्दिष्ट कार्य नहीं हैं, इसलिए मैं आपको इस कार्यक्रम को संभावित ट्रोजन के रूप में व्यवहार करने की सलाह देता हूं ।

वैधता के बारे में - यह सभी परिणामों के साथ एक 100% वेयरज़ है।

4. अपने कार्यक्रम में कानूनी रूप से Skype समर्थन कैसे जोड़ें?

स्वयं रनटाइम, प्रमाण पत्र और एसडीके को वितरित करना निषिद्ध है।

आप Skypekit के साथ काम करने के लिए अपना स्वयं का कोड वितरित कर सकते हैं। इस मामले में, रनटाइम और प्रमाण पत्र की उत्पत्ति कोई भी हो सकती है, कोई भी उपयोगकर्ता को $ 5 के लिए रनटाइम खरीदने और व्यक्तिगत उपयोग के लिए 60-दिवसीय डेवलपर प्रमाणपत्र लिखने से मना करता है।

उदाहरण के लिए, इंस्टॉलेशन रिपोर्ट के दौरान लोकप्रिय ऑडेसिटी प्रोग्राम जो एमपी को सपोर्ट करने के लिए आपको स्वयं LAME लाइब्रेरी को खोजने की आवश्यकता है। यह दृष्टिकोण पूरी तरह से कानूनी है।

5. किस प्लेटफॉर्म के तहत रनटाइम है?

विंडोज और x86_Linux के तहत एक ठीक चल रहा है।

एक संभावना है कि चमत्कारी चिकित्सा मैक और एआरएम लिनक्स के लिए संस्करण को प्रभावित करेगा

6. यह नियमित स्काइप की पृष्ठभूमि में चलने से कैसे भिन्न होता है?

• आप डेस्कटॉप एपीआई के माध्यम से लॉग इन नहीं कर सकते
• आप डेस्कटॉप एपीआई के माध्यम से ऑडियो / वीडियो को पुनर्निर्देशित नहीं कर सकते
• Skypekit API डेस्कटॉप API की तुलना में अधिक कार्यात्मक है
• डेस्कटॉप क्लाइंट पूरी तरह से छिपाया नहीं जा सकता
• लिनक्स पर डिओबसकेटेड रनटाइम चलाने में 10mb से कम मेमोरी लगती है
• वॉयस कॉल के लिए 200 MHz का प्रोसेसर काफी है
• लिनक्स पर, कोई एक्स सर्वर चलाने की आवश्यकता नहीं है
• लिनक्स के लिए Skypekit संस्करण मौजूदा डेस्कटॉप क्लाइंट की तुलना में बहुत अधिक कार्यात्मक है (उदाहरण के लिए, यह समूह वीडियो कॉल कर सकता है)। सक्रिय रूप से विकासशील, वर्तमान में सभी प्लेटफार्मों में सबसे उन्नत है

7. कल स्काइप थोड़ा प्रोटोकॉल और सभी काम को व्यर्थ में बदल देगा!

Skypekit मुख्य रूप से उपकरणों में एकीकरण के लिए अभिप्रेत है।
उदाहरण के लिए: टीवी , सेट-टॉप बॉक्स , लैंडलाइन ।
इन उपकरणों को पहले से ही लाइसेंस और बेचा जाता है। प्रोटोकॉल बदलने से ये सब टूट जाएंगे। इसलिए, यह संभावना है कि स्काइपे भविष्य में ऐसा करेगा, बहुत कम है।

8. अब हर कोई करेगा बॉट्स और स्पैम!

डेस्कटॉप एपीआई के माध्यम से पहले स्पैम करना संभव था।
डिफ़ॉल्ट रूप से, गोपनीयता सेटिंग्स को अनधिकृत संपर्कों से संदेश और कॉल प्राप्त करने की अनुमति नहीं है। इसलिए, पहले की तरह, आप केवल पाठ के साथ प्राधिकरण अनुरोधों को स्पैम कर सकते हैं।

9. कहाँ डाउनलोड करें?

मुझे पक्का पता नहीं है, लेकिन किसी तरह का मैग्नेटाइज्ड लिंक है

 चुंबक :? xt = urn: btih: 3da068082f6ec70be379d4046e4c77bc4578f751 और dn = SkypeKit_sdk
 % 2Bruntimes_370_412.zip और tr = udp% 3A% 2F% 2Ftracker.openbittorrent.com% 3A80 और tr = udp% 3A% 2F
 % 2Ftracker.publicbt.com% 3A80 और tr = udp% 3A% 2F% 2Ftracker.ccc.de% 3A80

परिणाम

बेशक, यह एक पूर्ण समाधान नहीं है, सभी एक ही, एक अज्ञात द्विआधारी मालिकाना स्काइप है।

यदि आप वास्तव में नेक काम में योगदान करना चाहते हैं, तो स्काइप प्रोटोकॉल का एक खुला कार्यान्वयन बनाने के लिए आप skype-open-source.blogspot.com/p/donate.html यहाँ दान कर सकते हैं ।

डेवलपर्स को पोस्ट करने के लिए बुलाया जाता है।
एसडीके के लिए है:

• C ++ developer.skype.com/skypekit/reference/cpp/index.html
• Java developer.skype.com/skypekit/development-guide/java-tutorial/tutorial-guide-vava
• पाइथन डेवलपर .skype.com/skypekit/reference/python/html/ help.html
• .NET (अनौपचारिक, जावा और एक वक्र के आधार पर बनाया गया) www.codeproject.com/Articles/330778/Skypekit-NET

सभी उठने वाले प्रश्न सम्मेलन skypeopensource@conference.jabber.ru में पूछे जा सकते हैं