.NET gizleme araçları / stratejisi [kapalı]

Ürünümün birkaç bileşeni var: ASP.NET, Windows Forms App ve Windows Service. Kodun% 95 kadarı VB.NET'te yazılmıştır.

Fikri Mülkiyet nedenleriyle, kodu gizlemem gerekiyor ve şimdiye kadar 5 yaşından büyük bir dotfuscator sürümünü kullanıyorum. Yeni nesil bir araca geçmenin zamanı geldiğini düşünüyorum. Aradığım şey, yeni bir obfuscator ararken dikkate almam gereken gereksinimlerin bir listesidir.

Bildiğim şu ana kadar aramalıyım:

• Serileştirme / Serileştirme . Benim geçerli çözümde, ben sadece aracı anlatmak değil , daha önce tefrika edilmiş verilerini yüklemek mümkün olmayan acısı sadece çok büyük olduğu için herhangi bir sınıf veri üyeleri karartmak için.
• Derleme Süreci ile Entegrasyon
• ASP.NET ile çalışma . Geçmişte, bu sorunlu .dll isimleri (genellikle sayfa başına bir tane var) değiştirme nedeniyle buldum - hangi tüm araçlar iyi işlemez.

Net 1.1 ile geri dönme zorunluydu: kod çözme kolaydı ve montajdan IL'ye, C # koduna gidebilir ve çok az çaba ile tekrar derlenmesini sağlayabilirsiniz.

Şimdi .Net 3.5 ile hiç emin değilim. 3.5 derlemesini derlemeyi deneyin; elde ettiğiniz şey, derlemeden çok uzun bir yol.

3.5 (1.1'den çok daha iyi) optimizasyonlarını ve anonim türlerin, delegelerin ve benzerlerinin yansıma ile ele alınma biçimini ekleyin (yeniden derlemek bir kabus). Lamda ifadeleri, Linq-sözdizimi gibi 'sihir' derleyicisi varve C # 2 işlevleri yield(okunamayan adlara sahip yeni sınıflarla sonuçlanır) ekleyin . Ayrıştırılmış kodunuz derlenenden çok daha uzun bir süre bitiyor.

Çok fazla zamana sahip profesyonel bir ekip yine geri mühendislik yapabilir, ancak aynı şey gizlenmiş kod için de geçerlidir. Bundan çıkardıkları kod, sürdürülemez ve büyük olasılıkla çok hatalı olurdu.

Meclislerinizin anahtar imzasını öneriyorum (bilgisayar korsanları hepsini yeniden derlemek zorunda olduklarını yeniden derleyebiliyorlarsa), ama şaşkınlığın buna değeceğini düşünmüyorum.

Birtakım engelleri denedik. Hiçbiri uzaktan kumanda kullanan büyük bir istemci / sunucu uygulamasında çalışmaz. Sorun şu ki, istemci ve sunucu bazı dll'leri paylaşıyor ve biz bunu başarabilecek herhangi bir obfuscator bulamadık.

DotFuscator Pro, SmartAssembly, XenoCode, Salamander ve adları benden kaçan birkaç küçük uygulamayı denedik.

Açıkçası, şaşkınlığın büyük bir hack olduğuna ikna oldum.

Ele aldığı problemler bile tamamen gerçek bir problem değildir. Gerçekten korumanız gereken tek şey bağlantı dizeleri, aktivasyon kodları, güvenlik gibi hassas şeyler. Başka bir şirketin tüm kod tabanınızı tersine mühendislik yapıp ondan rakip bir ürün yaratacağı saçmalık, paranoyak bir yöneticinin kabusundan bir şeydir, gerçeklikten değil.

Ben şimdi bu konuda iyi bir çözüm bulmaya çalışıyorum. İşte benim izlenimlerim.

Xenocode - .net 2.0 derlemelerimi gizlemek için kullandığım Xenocode2005 için eski bir lisansım var. XP'de iyi çalıştı ve iyi bir çözümdü. Şu anki projem .net 3.5 ve Vista'dayım, destek bana bir denememi söyledi ama 2005 sürümü Vista'da bile çökmüyor (çöküyor) bu yüzden ben ve şimdi 'PostBuild2008' i gobsmacking fiyat noktasında satın almak zorundayım $ 1900. Bu iyi bir araç olabilir ama bulamayacağım. Çok pahalı.

Reactor.Net - Bu çok daha cazip bir fiyat noktası ve Bağımsız Çalıştırılabilir cihazımda iyi çalıştı. Lisans modülü de güzeldi ve beni bir sürü çabadan kurtarırdı. Ne yazık ki, önemli bir özelliği eksik ve bu şeyleri şaşkınlıktan hariç tutma yeteneğidir. Bu, ihtiyacım olan sonuca ulaşmayı imkansız hale getirir (Birden fazla montajı bir araya getirin, bazılarını şaşırtın, başkalarını şaşırtmayın).

SmartAssembly - Bunun için Eval'i indirdim ve kusursuz çalıştı. İstediğim her şeyi başardım ve Arayüz birinci sınıftı. Fiyat noktası hala biraz iri.

Dotfuscator Pro - Web sitesinde fiyat bulunamadı. Şu anda tartışmalar için teklif almak. Kulağa uğursuz geliyor.

Confuser - oldukça iyi çalışan bir açık kaynak projesi (adından da anlaşılacağı gibi, ppl'yi karıştırmak için).

Not: ConfuserEx'in GitHub depolarındaki # 498 Sayısına göre "bozulduğu" bildiriliyor .

Ücretsiz bir tane arıyorsanız, Visual Studio veya Eazfuscator.NET ile birlikte gelen DotObfuscator Community Edition'ı deneyebilirsiniz .

29 Haziran 2012'den bu yana , Eazfuscator.NET artık ticari. En son kullanılabilir sürüm 3.3'tür.

Akıllı montaj kullanıyorum. Temel olarak, bir dll seçin ve şaşırmış döndürür. İyi çalışıyor gibi görünüyor ve şimdiye kadar hiç problem yaşamadım. Kullanımı çok, çok kolay.

Piyasadaki hemen hemen her obfuscator'u denedim ve SmartAssembly bence en iyisi.

Ben de SmartAssembly kullanıyorum. .Net uygulamalarında Ezrinz .Net Reactor'ın benim için çok daha iyi olduğunu gördüm. Mono'yu şaşırtır, destekler, montajları birleştirir ve ayrıca deneme sürümü oluşturmak veya lisansı belirli bir makineye bağlamak için çok güzel bir lisanslama modülüne sahiptir (uygulanması çok kolaydır). Fiyat da çok rekabetçi ve gerektiğinde onlar hızlı destek. Eziriz

Açık olmak gerekirse ben sadece ürünü seven ve şirketle ilgili olmayan bir müşteriyim.

Kısa cevap, yapamayacağınızdır.

Etrafında birisinin kodunuzu okumasını zorlaştıracak çeşitli araçlar vardır - bazıları diğer cevaplarla belirtilmiştir.

Ancak, tüm bunlar okumayı zorlaştırıyor - gerekli çaba miktarını arttırıyorlar, hepsi bu. Genellikle bu, sıradan okuyucuları caydırmak için yeterlidir, ancak kodunuzu kazmaya kararlı bir kişi her zaman bunu yapabilir.

Biz de uzaktan destekleyen bir asp.net ve winform arayüzü ile çok katmanlı bir uygulama var. Ben her türlü beklenmedik şekillerde sorunlu olabilir ve sadece bence buna değer olmayan bir yükleyici üreten şifreleme türü dışında herhangi bir obfuscator kullanma ile ilgili herhangi bir sorun yaşadım. Aslında benim tavsiyem daha çok "veba gibi yükleyici tipi obfuscator'ları şifrelemekten kaçının" satırları boyunca olacaktır. :)

Deneyimlerime göre, herhangi bir obfuscator asp.net ve uzaktan kumanda dahil olmak üzere .net'in herhangi bir yönüyle iyi çalışacaktır, sadece ayarlarla samimi olmanız ve kodunuzun hangi alanlarında ne kadar ileriye gidebileceğinizi öğrenmeniz gerekir. Ve aldığınız şeyleri tersine çevirmek için zaman ayırın ve çeşitli ayarlarla nasıl çalıştığını görün.

Ticari uygulamalarımızda yıllar geçtikçe kullandık ve 9rays.net'ten Spices obfuscator'a yerleştik, çünkü fiyat doğru, işi yapıyor ve yıllarca desteğe gerçekten ihtiyacımız olmasa da dürüst olmak gerekirse iyi bir desteğe sahipler. Eğer hangi obfuscator kullandığınızı gerçekten önemli olduğunu düşünmüyorum, sorunları ve öğrenme eğrisi remoting ve asp.net ile düzgün çalışmasını istiyorsanız aynıdır.

Diğerlerinin de belirttiği gibi, gerçekten yaptığınız tek şey bir asma kilit eşdeğeridir, aksi takdirde dürüst insanları dışarıda tutmak veya bir uygulamayı yeniden derlemeyi zorlaştırmaktır.

Lisanslama genellikle çoğu insan için kilit alandır ve kesinlikle lisanslama için bir tür dijital imzalı sertifika sistemi kullanmalısınız. Akıllı bir sisteminiz yoksa, lisans sistemini bozan insanlar ilk etapta asla satın almayacaklardı.

Bunu çok ileri götürmek ve müşterileriniz ve işiniz üzerinde olumsuz bir etkiye sahip olmak, basit ve makul olanı yapmak ve sonra endişelenmeyin.

Son iki gündür Dotfuscator Community Edition gelişmiş (Visual Studio ile birlikte gelen temel CE'yi kaydettikten sonra ücretsiz indirme) ile denemeler yapıyorum.

Bence daha fazla insanın varsayılan bir seçenek olarak şaşkınlığı kullanmamasının nedeni, riske kıyasla ciddi bir güçlük olmasıdır. Daha küçük test projelerinde, gizlenmiş kodu çok çaba harcayarak çalıştırabilirim. ClickOnce aracılığıyla basit bir projeyi dağıtmak zahmetliydi, ancak manifestoları mage ile manuel olarak imzaladıktan sonra elde edilebilir. Tek sorun, hata halinde yığın izinin gizlenmiş olması ve CE'nin paketlenmiş bir deobfuscator veya temizleyici içermemesiydi.

Sanal Dünya entegrasyonu, çok sayıda web servis çağrısı ve bir IOC kapsayıcısı ve çok fazla yansıma ile Excel'de VSTO tabanlı gerçek bir projeyi gizlemeye çalıştım. İmkansızdı.

Gizleme gerçekten kritik bir gereklilikse, uygulamanızı başlangıçtan itibaren düşünerek tasarlamalısınız, ilerledikçe gizlenmiş yapıları test edin. Aksi takdirde, oldukça karmaşık bir proje ise, ciddi miktarda acıyla sonuçlanacaksınız.

Crypto Obfuscator tüm endişelerinizi ve senaryolarınızı ele alır. O :

1. Türleri / üyeleri kurallara göre gizlemeden otomatik olarak hariç tutar. Seri tipler / alanlar bunlardan biridir.
2. MSBUild kullanılarak oluşturma işlemine entegre edilebilir.
3. ASP.Net projelerini destekler.

Son zamanlarda bir başka serbest obfuscator yani Dotfuscator CE ve CodePlex yeni Babel obfuscator içine bir serbest obfuscator çıktı borulama denedim. Blogumda daha fazla ayrıntı .

Serileştirme gelince, bu kodu farklı bir DLL'e taşıdım ve projeye dahil ettim. Zaten XML'de olmayan herhangi bir sır olmadığını düşündüm, bu yüzden gizlemeye gerek yoktu. Bu sınıflarda ciddi bir kod varsa, ana mecliste kısmi sınıfların kullanılması onu kapsamalıdır.

Platformunuz için en ucuz ve en iyi bilinen şeyi kullanmalı ve bir gün olarak adlandırmalısınız. Üst düzey dillerin gizlenmesi zor bir sorundur, çünkü VM opcode akışları yerel opcode akışlarının yaptığı en büyük iki sorundan muzdarip değildir: işlev / yöntem tanımlama ve kayıt takma adı.

Bayt kodu tersine çevirme hakkında bilmeniz gereken şey, güvenlik test kullanıcılarının düz X86 kodunu gözden geçirmesinin ve içindeki güvenlik açıklarını bulmasının zaten standart bir uygulamadır. Raw X86'da, bir işlev çağrısı boyunca yerel bir değişkeni izlemek yerine, geçerli işlevleri bile bulamazsınız. Neredeyse hiçbir durumda yerel kod ters çeviricilerin işlev ve değişken adlarına erişimi yoktur - Microsoft kodunu incelemiyorlarsa, MSFT bu bilgileri herkese açık bir şekilde sağlar.

"Dotfuscation" temelde işlev ve değişken isimlerini karıştırma ile çalışır. Bunu yapmak, Reflector'un tam olarak kaynak kodunuzu bıraktığı hata ayıklama düzeyi bilgileriyle kod yayınlamaktan daha iyidir. Ancak bunun ötesinde yaptığınız her şey, geri dönüşlerin azalmasına neden olabilir.

Smartassembly ile ilgili hiç sorun yaşamadım.

"Dotfuscator Topluluk Sürümü" kullanabilirsiniz - varsayılan olarak Visual Studio 2008 Professional'da gelir. Bu konuda şu adresten okuyabilirsiniz:

http://msdn.microsoft.com/tr-tr/library/ms227240%28VS.80%29.aspx
http://www.preemptive.com/dotfuscator.html

Ürünün "Profesyonel" sürümü paraya mal olmakla birlikte daha iyidir.

Gerçekten kodunuzun gizlenmesine mi ihtiyacınız var? Genellikle güvenlik amacıyla kullanılmadığı sürece uygulamanızın ayrıştırılmasında çok az yanlışlık vardır. İnsanların kodunuzu "çalması" konusunda endişeleriniz varsa, olma; kodunuza bakan kişilerin büyük çoğunluğu öğrenme amaçlıdır. Her neyse, .NET için tamamen etkili bir gizlilik stratejisi yoktur - yeterli beceriye sahip biri uygulamanızı her zaman koda dönüştürebilir / değiştirebilir.

Reaktörden kaçının. Tamamen işe yaramaz (ve evet bir lisans için ödeme yaptım). Xenocode, karşılaştığım en iyisiydi ve bir lisans aldım. Destek çok iyiydi ama işe yaradığı kadar ihtiyacım yoktu. Bulabildiğim her obfuscator'u test ettim ve sonucum, xenocode'un en sağlam ve en sağlam olduğu ve en iyi işi yaptığıdır (ayrıca, .NET exe'nizi başka hiçbir yerde görmediğim bir yerel exe'ye işleme koyma olasılığı).

Reaktör ve kseno kod arasında iki ana fark vardır. Birincisi Xenocode aslında çalışıyor. İkincisi, derlemelerinizin yürütme hızının farklı olmamasıdır. Reaktör ile yaklaşık 6 milyon kat daha yavaştı. Ayrıca reaktörün tek kişilik bir operasyon olduğu izlenimini edindim.

Agile.Net'in .Net Assembly için oldukça iyi bir koruma sağladığını gördüm çünkü sadece gizleme değil aynı zamanda şifreleme de sunuyor. Ücretsiz bir iz indirin.
http://secureteam.net/NET-Code-Protection.aspx http://secureteam.net/downloads.aspx

Net 1'den beri aynı uygulamada kodu şaşırttım ve bakım açısından büyük bir baş ağrısıydı. Bahsettiğiniz gibi, serileştirme sorunu önlenebilir, ancak bir hata yapmak ve şaşırtmak istemediğiniz bir şeyi gizlemek gerçekten kolaydır. Derlemeyi bozmak veya gizleme düzenini değiştirmek ve eski dosyaları açamamak kolaydır. Ayrıca neyin yanlış gittiğini ve nerede olduğunu bulmak zor olabilir.

Seçimimiz Xenocode'du ve bugün tekrar seçim yapmak zorunda kaldım, kodu şaşırtmamayı veya Dotfuscator'u kullanmayı tercih etmem.

İşte Microsoft'un kendisinden bir belge. Umarım yardımcı olur ..., 2003'ten beri, ama yine de alakalı olabilir.

Windows istemcimizde SmartAssembly kullanıyoruz. Sadece iyi çalışıyor.

Ekstra problemler de ekler. Sınıf adlarınızı günlük dosyalarına / istisnalara yazdırmak gizlenmelidir. Ve elbette isminden bir sınıf oluşturamazsınız. Bu nedenle, müşterinize bir göz atmak ve şaşırtarak hangi sorunları alabileceğinizi görmek iyi bir fikirdir.

Her şey kullandığınız programlama diline bağlıdır. Makaleyi okuyun: Gizli kod

ücretsiz yol görsel stüdyo içinden dotfuscator kullanmak olacaktır, aksi takdirde dışarı çıkıp Postbuild gibi bir obfuscator satın almanız gerekir ( http://www.xenocode.com/Landing/Obfuscation.aspx )

En son işimde bir gizleme / kaynak koruması kullanmak zorunda kaldım ve Crypto Obfuscator'ı güzel ve kullanımı kolay bir araç olarak buldum . Serileştirme sorunu yalnızca bu araçtaki ayarlarla ilgilidir.

Obfuscar adında iyi bir açık kaynak sürümü var. İyi çalışıyor gibi görünüyor. Türler, özellikler, alanlar, yöntemler hariç tutulabilir. Orijinal burada: https://code.google.com/p/obfuscar/ , ancak artık güncellenmediği için

Metaforic ve ViLabs gibi yeni kod koruma teknolojilerine ve ByteShield gibi yeni yazılım kopya koruma teknolojilerine de bakmak isteyebilirsiniz . Açıklama: ByteShield için çalışıyorum.

Ayrıca smartassembly kullanıyorum. Ancak, bir web uygulaması için nasıl çalıştığını bilmiyorum. Ancak, uygulamanız shareware türü koruma kullanıyorsa, bir boole dönüşü olan bir lisansı kontrol etmediğinden emin olun. çatlamak bayt etmek çok kolay. http://blogs.compdj.com/post/Binary-hack-a-NET-executable.aspx

SmartAssembly harika, çoğu projemde kullanıldım

Eziriz demo versiyonunu denedim .... Çok beğendim. Ama yazılımı asla getirmedim.

Gizlemek gerçek bir koruma değildir.

Bir .NET Exe dosyanız varsa FAR daha iyi bir çözüm var.

Kullandığım Themida ve çok iyi çalıştığını söyleyebilirim.

Themida'nın tek dezavantajı, .NET Dll'leri koruyamamasıdır. (Ayrıca Exe ve DLL C ++ kodunu korur)

Themida Burada sözü obfuscation daha ucuz gereğidir ve en iyisi karşıtı korsan koruması piyasada. Kodunuzun kritik bölümleri çalıştırıldığında sanal bir makine oluşturur ve bir kraker tarafından ayarlanan manipülasyon veya kesme noktalarını algılayan birkaç iş parçacığı çalıştırır. .NET Exe'yi Reflector'un artık bir .NET derlemesi olarak tanımadığı bir şeye dönüştürür.

Lütfen web sitelerinde ayrıntılı açıklamayı okuyun: http://www.oreans.com/themida_features.php

Rummage adlı bir ürünü denedim ve size biraz kontrol vermekte iyi bir iş çıkarıyor ... Eziriz'in sunduğu birçok şeyden yoksun olmasına rağmen, Rummage için fiyat çok iyi ...