Chiến lược / công cụ obfuscation .NET [đã đóng]

Sản phẩm của tôi có một số thành phần: ASP.NET, Windows Forms App và Windows Service. 95% hoặc hơn mã được viết bằng VB.NET.

Vì lý do Sở hữu trí tuệ, tôi cần làm xáo trộn mã và cho đến bây giờ tôi đã sử dụng một phiên bản của dotfuscator hiện đã hơn 5 tuổi. Tôi nghĩ rằng đã đến lúc chuyển sang một công cụ thế hệ mới. Những gì tôi đang tìm kiếm là một danh sách các yêu cầu mà tôi nên xem xét khi tìm kiếm một obfuscator mới.

Những gì tôi biết tôi nên tìm kiếm cho đến nay:

• Tuần tự hóa / Khử nối tiếp . Trong giải pháp hiện tại của tôi, tôi chỉ đơn giản nói với công cụ không làm xáo trộn bất kỳ thành viên dữ liệu lớp nào vì nỗi đau của việc không thể tải dữ liệu đã được tuần tự hóa trước đó đơn giản là quá lớn.
• Tích hợp với quá trình xây dựng
• Làm việc với ASP.NET . Trước đây, tôi đã phát hiện ra vấn đề này do thay đổi tên dll (bạn thường có một trang trên mỗi trang) - điều mà không phải tất cả các công cụ đều xử lý tốt.

Quay lại với .Net 1.1 obfuscation là điều cần thiết: dịch ngược mã rất dễ dàng và bạn có thể chuyển từ lắp ráp, sang IL, sang mã C # và biên dịch lại với rất ít nỗ lực.

Bây giờ với .Net 3.5 Tôi không chắc chắn. Hãy thử dịch ngược một cụm 3,5; những gì bạn nhận được là một chặng đường dài từ biên dịch.

Thêm các tối ưu hóa từ 3.5 (tốt hơn nhiều so với 1.1) và cách các loại ẩn danh, đại biểu, v.v được xử lý bằng phản xạ (chúng là một cơn ác mộng để biên dịch lại). Thêm các biểu thức lambda, trình biên dịch 'ma thuật' như Linq-cú pháp và các varhàm C # 2 như yield(kết quả là các lớp mới có tên không thể đọc được). Mã dịch ngược của bạn kết thúc một chặng đường dài từ khả năng biên dịch.

Một đội ngũ chuyên nghiệp với nhiều thời gian vẫn có thể đảo ngược kỹ sư trở lại, nhưng điều tương tự cũng đúng với bất kỳ mã bị xáo trộn nào. Mã họ nhận được từ đó sẽ không thể nhận ra và rất có thể sẽ rất có lỗi.

Tôi muốn giới thiệu khóa ký hợp đồng của bạn (có nghĩa là nếu tin tặc có thể biên dịch lại một tập hợp chúng phải biên dịch lại tất cả) nhưng tôi không nghĩ rằng obfuscation đáng giá như vậy.

Chúng tôi đã thử một số obfuscators. Không ai trong số họ làm việc trên một ứng dụng khách / máy chủ lớn sử dụng điều khiển từ xa. Vấn đề là máy khách và máy chủ chia sẻ một số dll và chúng tôi không tìm thấy bất kỳ obfuscator nào có thể xử lý nó.

Chúng tôi đã thử DotFuscator Pro, SmartAssugging, XenoCode, Salamander và một số ứng dụng thời gian nhỏ có tên thoát khỏi tôi.

Thành thật mà nói, tôi tin rằng obfuscation là một hack lớn.

Ngay cả những vấn đề mà nó giải quyết không hoàn toàn là một vấn đề thực sự. Điều duy nhất bạn thực sự cần bảo vệ là chuỗi kết nối, mã kích hoạt, những thứ nhạy cảm bảo mật như thế. Điều vô lý này là một công ty khác sẽ thiết kế ngược lại toàn bộ cơ sở mã của bạn và tạo ra một sản phẩm cạnh tranh từ đó là một điều gì đó từ cơn ác mộng của người quản lý hoang tưởng, không phải là thực tế.

Bây giờ tôi đang 'Đầu gối sâu', cố gắng tìm một giải pháp tốt. Đây là những ấn tượng của tôi cho đến nay.

Xenocode - Tôi có một giấy phép cũ cho Xenocode2005 mà tôi đã từng sử dụng để làm xáo trộn các cụm .net 2.0 của mình. Nó hoạt động tốt trên XP và là một giải pháp tốt. Dự án hiện tại của tôi là .net 3.5 và tôi đang dùng Vista, bộ phận hỗ trợ đã nói với tôi rằng hãy dùng thử nhưng phiên bản 2005 thậm chí không hoạt động trên Vista (gặp sự cố) vì vậy tôi và bây giờ tôi phải mua 'PostBuild2008' với mức giá quá cao $ 1900. Đây có thể là một công cụ tốt nhưng tôi sẽ không tìm hiểu. Quá đắt.

Reactor.Net - Đây là một mức giá hấp dẫn hơn nhiều và nó hoạt động tốt trên Độc lập thực thi của tôi. Mô-đun cấp phép cũng tốt và sẽ giúp tôi tiết kiệm rất nhiều nỗ lực. Thật không may, nó thiếu một tính năng quan trọng và đó là khả năng loại trừ các thứ khỏi obfuscation. Điều này làm cho không thể đạt được kết quả mà tôi cần (Hợp nhất nhiều cụm lại với nhau, làm xáo trộn một số, không làm cho người khác khó hiểu).

SmartAssugging - Tôi đã tải xuống Eval cho việc này và nó hoạt động hoàn hảo. Tôi đã có thể đạt được mọi thứ tôi muốn và Giao diện là lớp học đầu tiên. Điểm giá vẫn còn một chút nặng.

Dotfuscator Pro - Không thể tìm thấy giá trên trang web. Hiện đang thảo luận để có được một báo giá. Âm thanh đáng ngại.

Confuser - một dự án nguồn mở hoạt động khá tốt (để gây nhầm lẫn với ppl, đúng như tên gọi của nó).

Lưu ý: ConfuserEx được báo cáo là "bị hỏng" theo Vấn đề # 498 trên repo GitHub của họ.

Nếu bạn đang tìm kiếm một bản miễn phí, bạn có thể dùng thử DotObfuscator Community Edition đi kèm với Visual Studio hoặc Eazfuscator.NET .

Kể từ ngày 29 tháng 6 năm 2012 , Eazfuscator.NET hiện là thương mại. Phiên bản miễn phí cuối cùng là 3.3.

Tôi đã được sử dụng thông minh. Về cơ bản, bạn chọn một dll và nó trả lại nó bị xáo trộn. Nó dường như hoạt động tốt và cho đến nay tôi không có vấn đề gì. Rất, rất dễ sử dụng.

Tôi đã thử hầu hết mọi obfuscator trên thị trường và SmartAssugging là tốt nhất theo quan điểm của tôi.

Tôi cũng đã sử dụng SmartAssugging. Tôi thấy rằng Ezrinz .Net Reactor tốt hơn cho tôi trên các ứng dụng .net. Nó che giấu, hỗ trợ Mono, hợp nhất các hội đồng và nó cũng có một mô-đun cấp phép rất đẹp để tạo phiên bản dùng thử hoặc liên kết giấy phép với một máy cụ thể (rất dễ thực hiện). Giá cả cũng rất cạnh tranh và khi tôi cần hỗ trợ thì nhanh đâu. Eziriz

Nói rõ hơn, tôi chỉ là một người chăm sóc thích sản phẩm và không liên quan đến công ty.

Câu trả lời ngắn gọn là bạn không thể.

Có nhiều công cụ khác nhau sẽ khiến người khác khó đọc mã của bạn hơn - một số trong đó đã được chỉ ra bởi các câu trả lời khác.

Tuy nhiên, tất cả những điều này làm cho nó khó đọc hơn - chúng làm tăng số lượng nỗ lực cần thiết, đó là tất cả. Thường thì điều này là đủ để ngăn chặn những người đọc bình thường, nhưng ai đó quyết tâm đào sâu vào mã của bạn sẽ luôn có thể làm như vậy.

Chúng tôi có một ứng dụng nhiều tầng với giao diện asp.net và winform cũng hỗ trợ từ xa. Tôi không gặp vấn đề gì với việc sử dụng bất kỳ trình obfuscator nào ngoại trừ loại mã hóa tạo ra trình tải có thể gây rắc rối theo tất cả các cách bất ngờ và theo quan điểm của tôi. Trên thực tế, lời khuyên của tôi sẽ phù hợp hơn với dòng chữ "Tránh mã hóa các bộ lọc obfuscators như bệnh dịch". :)

Theo kinh nghiệm của tôi, bất kỳ trình obfuscator nào cũng sẽ hoạt động tốt với bất kỳ khía cạnh nào của .net bao gồm asp.net và từ xa, bạn chỉ cần trở nên thân mật với các cài đặt và tìm hiểu xem bạn có thể đẩy nó đến đâu trong khu vực của mã của bạn. Và dành thời gian để thử kỹ thuật đảo ngược về những gì bạn nhận được và xem cách nó hoạt động với các cài đặt khác nhau.

Chúng tôi đã sử dụng nhiều năm qua trong các ứng dụng thương mại của mình và giải quyết trên chương trình obfuscator từ 9rays.net vì giá cả phù hợp, công việc và họ có hỗ trợ tốt mặc dù chúng tôi thực sự không cần hỗ trợ trong nhiều năm nữa nhưng phải trung thực Tôi không nghĩ rằng bạn thực sự sử dụng obfuscator nào, các vấn đề và đường cong học tập đều giống nhau nếu bạn muốn nó hoạt động đúng với điều khiển từ xa và asp.net.

Như những người khác đã đề cập, tất cả những gì bạn thực sự làm là tương đương với ổ khóa, tránh cho những người trung thực khác hoặc làm cho việc biên dịch lại ứng dụng trở nên khó khăn hơn.

Cấp phép thường là lĩnh vực quan trọng đối với hầu hết mọi người và bạn chắc chắn nên sử dụng một số loại hệ thống chứng chỉ được ký điện tử để cấp phép bằng mọi cách. Mất mát lớn nhất của bạn sẽ đến từ việc chia sẻ giấy phép thông thường nếu bạn không có một hệ thống thông minh, những người phá vỡ hệ thống cấp phép sẽ không bao giờ mua ở nơi đầu tiên.

Thật sự dễ dàng để đưa điều này đi quá xa và có tác động tiêu cực đến khách hàng và doanh nghiệp của bạn, hãy làm những gì đơn giản và hợp lý và sau đó đừng lo lắng về điều đó.

Trong hai ngày qua, tôi đã thử nghiệm với Dotfuscator Community Edition nâng cao (bản tải xuống miễn phí sau khi đăng ký CE cơ bản đi kèm với Visual Studio).

Tôi nghĩ lý do nhiều người không sử dụng obfuscation như một tùy chọn mặc định là vì đó là một rắc rối nghiêm trọng so với rủi ro. Trong các dự án thử nghiệm nhỏ hơn, tôi có thể có được mã bị xáo trộn đang chạy với rất nhiều nỗ lực. Triển khai một dự án đơn giản thông qua ClickOnce thật rắc rối, nhưng có thể đạt được sau khi ký thủ công các bảng kê khai với pháp sư. Vấn đề duy nhất là do lỗi, dấu vết ngăn xếp đã bị xáo trộn và CE không có bộ khử nhiễu hoặc bộ làm rõ được đóng gói.

Tôi đã cố gắng làm xáo trộn một dự án thực sự là VSTO dựa trên Excel, với tích hợp Trái đất ảo, rất nhiều cuộc gọi dịch vụ web và một thùng chứa IOC và rất nhiều phản ánh. Nó là điều không thể.

Nếu obfuscation thực sự là một yêu cầu quan trọng, bạn nên thiết kế ứng dụng của mình với ý nghĩ đó ngay từ đầu, kiểm tra các bản dựng obfuscated khi bạn tiến bộ. Mặt khác, nếu đó là một dự án khá phức tạp, bạn sẽ phải chịu một nỗi đau nghiêm trọng.

Crypto Obfuscator giải quyết tất cả các mối quan tâm và kịch bản của bạn. Nó:

1. Tự động loại trừ các loại / thành viên khỏi obfuscation dựa trên các quy tắc. Các loại / lĩnh vực nối tiếp là một trong số họ.
2. Nó có thể được tích hợp vào quá trình xây dựng bằng MSBUild.
3. Hỗ trợ các dự án ASP.Net.

Gần đây tôi đã thử chuyển đầu ra của một obfuscator miễn phí sang một obfuscator miễn phí khác - cụ thể là Dotfuscator CE và obfuscator Babel mới trên CodePlex. Thêm chi tiết trên blog của tôi .

Đối với việc tuần tự hóa, tôi đã chuyển mã đó sang một DLL khác và đưa mã đó vào dự án. Tôi lập luận rằng không có bất kỳ bí mật nào trong đó không có trong XML, vì vậy nó không cần phải che giấu. Nếu có bất kỳ mã nghiêm trọng nào trong các lớp đó, sử dụng các lớp một phần trong cụm chính sẽ bao trùm nó.

Bạn nên sử dụng bất cứ thứ gì rẻ nhất và được biết đến nhiều nhất cho nền tảng của bạn và gọi nó là một ngày. Việc xáo trộn các ngôn ngữ cấp cao là một vấn đề khó khăn, bởi vì các luồng opcode VM không gặp phải hai vấn đề lớn nhất mà các luồng opcode gốc làm: nhận dạng hàm / phương thức và đăng ký bí danh.

Những gì bạn nên biết về đảo ngược mã byte là nó đã là thông lệ tiêu chuẩn cho những người kiểm tra bảo mật để xem xét mã X86 thẳng và tìm lỗ hổng trong đó. Trong X86 thô, bạn thậm chí không thể tìm thấy các hàm hợp lệ, chứ đừng nói đến việc theo dõi một biến cục bộ trong suốt cuộc gọi hàm. Trong hầu như không có trường hợp nào, bộ đảo ngược mã gốc có quyền truy cập vào hàm và tên biến --- trừ khi họ đang xem xét mã Microsoft, mà MSFT cung cấp thông tin đó cho công chúng một cách hữu ích.

"Dotfuscation" hoạt động chủ yếu bằng cách xáo trộn chức năng và tên biến. Có lẽ tốt hơn để làm điều này hơn là xuất bản mã với thông tin ở mức gỡ lỗi, trong đó Reflector thực sự đang từ bỏ mã nguồn của bạn. Nhưng bất cứ điều gì bạn làm ngoài điều này có khả năng nhận được lợi nhuận giảm dần.

Tôi không có vấn đề gì với Smartassugging.

Bạn có thể sử dụng "Dotfuscator Community Edition" - theo mặc định trong Visual Studio 2008 Professional. Bạn có thể đọc về nó tại:

http://msdn.microsoft.com/en-us/l Library / ms227240% 28VS.80% 29.aspx
http://www.preeemive.com/dotfuscator.html

Phiên bản "Chuyên nghiệp" của sản phẩm có giá tiền nhưng tốt hơn.

Bạn có thực sự cần mã của bạn bị xáo trộn? Thông thường có rất ít sai với ứng dụng của bạn bị dịch ngược, trừ khi nó được sử dụng cho mục đích bảo mật. Nếu bạn lo lắng về việc mọi người "đánh cắp" mã của bạn, thì đừng; đại đa số mọi người nhìn vào mã của bạn sẽ được dùng cho mục đích học tập. Dù sao, không có chiến lược obfuscation hoàn toàn hiệu quả cho .NET - ai đó có đủ kỹ năng sẽ luôn có thể dịch ngược / thay đổi ứng dụng của bạn.

Tránh lò phản ứng. Nó hoàn toàn vô dụng (và vâng tôi đã trả tiền cho một giấy phép). Xenocode là thứ tốt nhất tôi gặp và mua giấy phép quá. Sự hỗ trợ rất tốt nhưng tôi không cần nó nhiều vì nó chỉ hoạt động. Tôi đã thử nghiệm tất cả các obfuscator mà tôi có thể tìm thấy và kết luận của tôi là xenocode là công cụ mạnh nhất và hoạt động tốt nhất (cũng có thể gửi quy trình .NET exe của bạn lên exe bản địa mà tôi không thấy ở bất kỳ nơi nào khác.).

Có hai sự khác biệt chính giữa lò phản ứng và xenocode. Điều đầu tiên là Xenocode thực sự hoạt động. Thứ hai là tốc độ thực hiện của các hội đồng của bạn không khác nhau. Với lò phản ứng, nó chậm hơn khoảng 6 triệu lần. Tôi cũng có ấn tượng rằng lò phản ứng là hoạt động của một người đàn ông.

Tôi thấy Agile.Net cung cấp sự bảo vệ khá tốt cho hội .Net của bạn vì nó không chỉ cung cấp khả năng mã hóa mà còn mã hóa. Tải về một đường mòn miễn phí.
http://secureteam.net/NET-Code-Protection.aspx http://secureteam.net/doads.aspx

Tôi đã làm xáo trộn mã trong cùng một ứng dụng kể từ .Net 1, và đó là một vấn đề đau đầu từ góc độ bảo trì. Như bạn đã đề cập, vấn đề tuần tự hóa có thể tránh được, nhưng thực sự rất dễ mắc lỗi và làm xáo trộn thứ gì đó mà bạn không muốn bị xáo trộn. Thật dễ dàng để phá vỡ bản dựng hoặc thay đổi mẫu obfuscation và không thể mở các tệp cũ. Thêm vào đó, có thể khó tìm ra những gì đã sai và ở đâu.

Sự lựa chọn của chúng tôi là Xenocode và hôm nay tôi đã đưa ra lựa chọn đó, tôi không muốn làm xáo trộn mã, hoặc sử dụng Dotfuscator.

Đây là một tài liệu từ chính Microsoft. Hy vọng điều đó sẽ giúp ..., đó là từ năm 2003, nhưng nó vẫn có thể có liên quan.

Chúng tôi đang sử dụng SmartAssugging trên máy khách windows của chúng tôi. Hoạt động tốt.

Có thêm một số vấn đề thêm. In tên lớp của bạn trong tệp nhật ký / ngoại lệ phải được loại bỏ. Và tất nhiên không thể tạo một lớp từ tên của nó. Vì vậy, đó là một ý tưởng tốt để xem xét khách hàng của bạn và xem những vấn đề bạn có thể gặp phải bằng cách che giấu.

Tất cả phụ thuộc vào ngôn ngữ lập trình mà bạn sử dụng. Đọc bài viết: Mã bị xáo trộn

cách miễn phí sẽ là sử dụng dotfuscator từ trong studio trực quan, nếu không bạn phải ra ngoài và mua một obfuscator như Postbuild ( http://www.xenocode.com/Landing/Obfuscation.aspx )

Tôi đã phải sử dụng một obfuscation / bảo vệ tài nguyên trong rpoject mới nhất của tôi và thấy Crypto Obfuscator là một công cụ dễ sử dụng và đơn giản. Vấn đề tuần tự hóa chỉ là vấn đề cài đặt trong công cụ này.

Có một phiên bản mã nguồn mở tốt gọi là Obfuscar. Có vẻ để làm việc tốt. Các loại, thuộc tính, trường, phương thức có thể được loại trừ. Bản gốc ở đây: https://code.google.com.vn/p/obfuscar/ , nhưng vì nó dường như không được cập nhật nữa

Bạn cũng có thể muốn xem xét các công nghệ bảo vệ mã mới như Metaforic và ViLabs và các công nghệ bảo vệ bản sao phần mềm mới như ByteShield . Tiết lộ: Tôi làm việc cho ByteShield.

Tôi cũng sử dụng thông minh. Tuy nhiên, tôi không biết làm thế nào nó hoạt động cho một ứng dụng web. Tuy nhiên, tôi muốn chỉ ra rằng nếu ứng dụng của bạn sử dụng bảo vệ loại phần mềm chia sẻ, hãy đảm bảo rằng ứng dụng đó không kiểm tra giấy phép với lợi nhuận boolean. quá dễ dàng để bẻ khóa byte. http://bloss.compdj.com/post/Binary-hack-a-NET-executable.aspx

SmartAssugging rất tuyệt, tôi đã được sử dụng trong hầu hết các dự án của mình

Tôi đã thử phiên bản demo Eziriz .... Tôi thích nó. Nhưng không bao giờ mang phần mềm.

Obfuscating không phải là một sự bảo vệ thực sự.

Nếu bạn có một tệp .NET exe thì có một giải pháp tốt hơn FAR .

Tôi sử dụng Themida và có thể nói rằng nó hoạt động rất tốt.

Hạn chế duy nhất của Themida là nó không thể bảo vệ các .NET .NET. (Nó cũng bảo vệ mã C ++ trong exe và DLL)

Themida rẻ hơn nhiều so với các obfuscators được đề cập ở đây và là tốt nhất trong bảo vệ chống vi phạm bản quyền trên thị trường. Nó tạo ra một máy ảo là những phần quan trọng trong mã của bạn đang chạy và chạy một số luồng phát hiện các thao tác hoặc điểm dừng được thiết lập bởi một cracker. Nó chuyển đổi .NET exe thành một cái gì đó mà Reflector thậm chí không nhận ra là một cụm .NET nữa.

Vui lòng đọc mô tả chi tiết trên trang web của họ: http://www.oreans.com/themida_features.php

Tôi đã thử một sản phẩm tên là Rummage và nó hoạt động rất tốt trong việc cung cấp cho bạn một số quyền kiểm soát ... Mặc dù nó thiếu nhiều thứ mà Eziriz cung cấp nhưng giá cho Rummage là quá tốt ...