.NET難読化ツール/戦略[終了]

私の製品には、ASP.NET、Windowsフォームアプリ、Windowsサービスなど、いくつかのコンポーネントがあります。コードの95％程度がVB.NETで記述されています。

知的財産上の理由から、コードを難読化する必要があります。これまで、5年以上前のバージョンのdotfuscatorを使用しています。新しい世代のツールに移行する時がきたと思います。私が探しているのは、新しい難読化ツールを検索するときに考慮する必要がある要件のリストです。

私がこれまでに探す必要があると知っていること：

• シリアライゼーション/デシリアライゼーション。私の現在のソリューションでは、以前にシリアル化されたデータを読み込めないという苦痛が大きすぎるため、ツールにクラスデータメンバーを難読化しないように指示しています。
• ビルドプロセスとの統合
• ASP.NETでの作業。過去に、.dll名の変更（多くの場合、ページごとに1つある）が原因でこの問題が発生することがわかりました。

.Net 1.1に戻ると難読化が不可欠でした。コードの逆コンパイルは簡単で、アセンブリからIL、C＃コードに移行して、ほとんど労力をかけずに再度コンパイルすることができます。

現在.Net 3.5を使用しているので、よくわかりません。3.5アセンブリを逆コンパイルしてみてください。あなたが得るものはコンパイルから長い道のりです。

3.5からの最適化（1.1よりはるかに優れている）と、匿名型、デリゲートなどがリフレクションによって処理される方法を追加します（再コンパイルは悪夢です）。ラムダ式、Linq-syntaxやのようなコンパイラー「マジック」var、およびのようなC＃2関数yield（結果として、読み取り不可能な名前の新しいクラスが生成される）を追加します。逆コンパイルされたコードは、コンパイル可能コードから長い道のりをたどります。

時間のかかる専門家チームでも、リバースエンジニアリングを再度行うことができますが、難読化されたコードについても同様です。彼らがそれから得たどのコードも維持できず、非常にバグが多い可能性が高いでしょう。

アセンブリにキー署名することをお勧めします（ハッカーがすべてを再コンパイルする必要があるものを再コンパイルできるかどうかを意味します）が、難読化する価値はないと思います。

多数の難読化ツールを試しました。それらのいずれも、リモート処理を使用する大規模なクライアント/サーバーアプリでは機能しません。問題は、クライアントとサーバーがいくつかのdllを共有していて、それを処理できる難読化プログラムが見つからないことです。

私たちは、DotFuscator Pro、SmartAssembly、XenoCode、Salamander、および名前が私をエスケープするいくつかの小さな時間のアプリを試しました。

率直に言って、難読化は大きなハックだと確信しています。

それが取り組む問題でさえ、完全に本当の問題ではありません。あなたが本当に保護する必要がある唯一のものは、接続文字列、アクティベーションコード、そのようなセキュリティに敏感なものです。別の会社がコードベース全体をリバースエンジニアリングして競合製品を作成するというこのナンセンスは、現実ではなく、偏執的なマネージャーの悪夢からのものです。

私は今、「ニーディープ」です。良い解決策を見つけようとしています。これまでの私の印象です。

Xenocode-.net 2.0アセンブリの難読化に使用していたXenocode2005の古いライセンスを持っています。XPでは問題なく動作し、適切なソリューションでした。私の現在のプロジェクトは.net 3.5であり、Vistaを使用しています。サポートから試してみるように言われましたが、2005バージョンはVista（クラッシュ）でも機能しません。 $ 1900 これは良いツールかもしれませんが、私は知るつもりはありません。高過ぎ。

Reactor.Net-これははるかに魅力的な価格であり、私のスタンドアロン実行可能ファイルでは問題なく動作しました。ライセンスモジュールも素晴らしく、私に多大な労力を節約してくれたでしょう。残念ながら、これには重要な機能がありません。これは、難読化からコンテンツを除外する機能です。これにより、必要な結果を得ることができなくなります（複数のアセンブリをマージして、いくつかを難読化し、他を難読化しないでください）。

SmartAssembly-この評価をダウンロードしたところ、問題なく動作しました。私が望むすべてを達成することができ、インターフェースはファーストクラスでした。価格はまだ少し高額です。

Dotfuscator Pro -Webサイトで価格が見つかりませんでした。現在見積もりを取得するために議論中。不吉な音。

Confuser-非常にうまく機能するオープンソースプロジェクト（名前が示すように、pplを混乱させるため）。

注：ConfiterExは、GitHubリポジトリのIssue＃498に従って「壊れている」と報告されています。

無料のものをお探しの場合は、Visual StudioまたはEazfuscator.NETに付属するDotObfuscator Community Editionを試すことができます。

2012年6月29日以降、Eazfuscator.NETは商用になりました。最後の無料で利用可能なバージョンは3.3です。

私はsmartassemblyを使用しています。基本的に、DLLを選択すると、難読化されて返されます。問題なく動作するようで、今のところ問題はありません。とても、とても使いやすいです。

私は市場にあるほぼすべての難読化ツールを試しましたが、私の意見ではSmartAssemblyが最高です。

SmartAssemblyも使用しています。.netアプリケーションでは、Ezrinz .Net Reactorの方がはるかに優れていることがわかりました。それは難読化し、Monoをサポートし、アセンブリをマージし、試用版を作成したり、ライセンスを特定のマシンにリンクしたりするための非常に優れたライセンスモジュールも備えています（実装は非常に簡単です）。価格も非常に競争が激しく、必要なときに迅速にサポートを提供します。 エズリズ

はっきりさせておきますが、私は製品を好きで、会社とは何の関係もない、ただの顧客です。

簡単に言えば、それはできないということです。

周りにさまざまなツールがあり、誰かがあなたのコードを読むのを難しくします-それらのいくつかは他の答えによって指摘されています。

ただし、これらはすべて読みにくくなり、必要な労力が増加します。多くの場合、これはカジュアルな読者を抑止するのに十分ですが、コードを掘り下げることを決心した人はいつでもそうすることができます。

私たちは、リモート処理もサポートするasp.netおよびwinformインターフェイスを備えた多層アプリを用意しています。あらゆる種類の予期しない方法で問題があり、私の意見ではそれだけの価値がないローダーを生成する暗号化タイプを除いて、難読化ツールの使用に問題はありませんでした。実際、私のアドバイスは、「ペストのようなローダータイプの難読化プログラムの暗号化を避ける」という説明に沿ったものになるでしょう。:)

私の経験では、難読化ツールはasp.netやリモーティングを含む.netのどの側面でも問題なく機能します。設定に慣れ、コードのどの領域にどれだけプッシュできるかを学ぶ必要があります。そして、時間をかけて取得したものについてリバースエンジニアリングを試し、さまざまな設定でどのように機能するかを確認してください。

私たちは商用アプリで何年にもわたって使用し、価格が適切であるという理由で、9rays.netのSpices obfuscatorで解決しました。正直に言うと、もう何年もサポートは必要ありませんでしたが、彼らは良いサポートを提供しています。どの難読化ツールを使用するかは重要ではないと思います。リモーティングとasp.netで適切に動作させたい場合、問題と学習曲線はすべて同じです。

他の人が言っているように、あなたが本当にやっていることは南京錠に相当するものであり、そうでなければ正直な人々を排除し、あるいは単にアプリを再コンパイルすることを難しくします。

ライセンスは通常、ほとんどの人にとって重要な領域であり、とにかくライセンスに何らかのデジタル署名付き証明書システムを使用する必要があります。最大の損失は、適切な場所にスマートシステムがなければ、ライセンスのカジュアルな共有によって発生します。ライセンスシステムを破る人々がそもそも購入することは決してありません。

これを実行しすぎて、顧客とビジネスに悪影響を及ぼし、単純で合理的なことを実行し、それについて心配することは本当に簡単です。

過去2日間、Dotfuscator Community Edition Advanced（Visual Studioにバンドルされている基本的なCEを登録した後の無料ダウンロード）を試しました。

難読化をデフォルトのオプションとして使用しない人が増える理由は、リスクと比較して難読化が深刻なためです。小規模なテストプロジェクトでは、多くの労力で難読化されたコードを実行できました。ClickOnceを介して単純なプロジェクトをデプロイするのは面倒でしたが、mageを使用してマニフェストに手動で署名した後で達成できました。唯一の問題は、エラー時にスタックトレースが難読化され、CEには解読器やクラリファイアがパッケージ化されていないことでした。

Virtual Earthの統合、多数のWebサービスの呼び出し、IOCコンテナー、および多数のリフレクションを使用して、Excelに基づくVSTOである実際のプロジェクトを難読化しようとしました。それは不可能でした。

難読化が本当に重要な要件である場合は、最初からそれを念頭に置いてアプリケーションを設計し、進行中に難読化されたビルドをテストする必要があります。そうでなければ、それがかなり複雑なプロジェクトである場合、あなたは深刻な苦痛に終わるでしょう。

Crypto Obfuscatorは、すべての懸念事項とシナリオに対処します。それ ：

1. ルールに基づいて、難読化からタイプ/メンバーを自動的に除外します。シリアル化された型/フィールドはその1つです。
2. MSBUildを使用してビルドプロセスに統合できます。
3. ASP.Netプロジェクトをサポートします。

最近、ある無料の難読化ツールの出力を別の無料の難読化ツール、つまりDotfuscator CEとCodePlexの新しいBabel難読化ツールにパイプ接続してみました。私のブログの詳細。

シリアル化に関しては、そのコードを別のDLLに移動し、プロジェクトに含めました。いずれにしても、XMLにはない秘密はないので、難読化する必要はありませんでした。これらのクラスに深刻なコードがある場合は、メインアセンブリで部分クラスを使用することでそれをカバーできます。

お使いのプラットフォームで最も安価で最もよく知られているものを使用し、それを1日と呼ぶ必要があります。高水準言語の難読化は難しい問題です。これは、VMオペコードストリームが、ネイティブオペコードストリームが行う2つの最大の問題、つまり関数/メソッドの識別とレジスタエイリアスの影響を受けないためです。

バイトコードのリバースについて知っておくべきことは、セキュリティテスターがまっすぐなX86コードをレビューして脆弱性を見つけることはすでに標準的な慣行であることです。生のX86では、関数呼び出し全体を通してローカル変数を追跡することはもちろん、有効な関数を見つけることさえできません。ほとんどの状況で、ネイティブコードリバーサーは関数名と変数名にアクセスできません---彼らがMicrosoftコードをレビューしている場合を除き、MSFTはその情報を一般に公開しています。

「Dotfuscation」は、主に関数と変数名をスクランブルすることによって機能します。リフレクターが文字通りソースコードをあきらめているデバッグレベルの情報を含むコードを公開するよりも、おそらくこれを行う方が良いでしょう。しかし、これを超えて何をしても、収益が減少する可能性があります。

Smartassemblyに問題はありませんでした。

"Dotfuscator Community Edition"を使用できます。これは、Visual Studio 2008 Professionalにデフォルトで付属しています。あなたはそれについて読むことができます：

http://msdn.microsoft.com/en-us/library/ms227240%28VS.80%29.aspx
http://www.preemptive.com/dotfuscator.html

製品の「プロフェッショナル」バージョンはコストがかかりますが、優れています。

本当にコードを難読化する必要がありますか？通常、セキュリティ上の目的で使用しない限り、逆コンパイルするアプリケーションに問題はほとんどありません。人々があなたのコードを「盗む」ことを心配しているなら、心配しないでください。あなたのコードを見ている大多数の人々は学習目的のためです。とにかく、.NETには完全に効果的な難読化戦略はありません。十分なスキルを持った人なら、いつでもアプリケーションを逆コンパイル/変更できます。

リアクターを避けます。それは完全に役に立たない（そしてはい、私はライセンスに支払いました）。Xenocodeは私が出会った最高のもので、ライセンスも購入しました。サポートはとても良かったのですが、それがうまくいったのであまり必要としませんでした。私は見つけることができるすべての難読化ツールをテストしましたが、私の結論は、xenocodeがはるかに堅牢で、最高の仕事をしたということです（.NET exeをネイティブexeに後処理して他のどこにも見られなかった可能性もあります）。

reactorとxenocodeの間には2つの主な違いがあります。1つ目は、Xenocodeが実際に機能することです。2つ目は、アセンブリの実行速度に違いがないことです。reactorでは、約600万倍遅くなりました。また、原子炉は一人で操作しているような印象を受けました。

Agile.Netは、難読化だけでなく暗号化も提供するため、.Netアセンブリをかなり保護します。無料のトレイルをダウンロードしてください。
http://secureteam.net/NET-Code-Protection.aspx http://secureteam.net/downloads.aspx

.Net 1以来、同じアプリケーションのコードを難読化してきましたが、保守の観点からすると、これは大きな頭痛の種でした。既に述べたように、シリアライゼーションの問題は回避できますが、間違いを犯して難読化したくないものを難読化するのは本当に簡単です。ビルドを壊したり、難読化パターンを変更したりして、古いファイルを開けないようにするのは簡単です。さらに、何がどこで問題があったのかを見つけるのが難しい場合があります。

私たちが選んだのはXenocodeでしたが、今日再び選択を行うのであれば、コードを難読化したり、Dotfuscatorを使用したりしたくありません。

これはマイクロソフト自身からのドキュメントです。2003年からですが、それでも関連性があるかもしれません。

WindowsクライアントでSmartAssemblyを使用しています。うまく動作します。

いくつかの余分な問題も追加します。ログファイル/例外でクラス名を出力することで、難読化を解除する必要があります。そしてもちろん、その名前からクラスを作成することはできません。したがって、クライアントを見て、難読化によってどのような問題が発生するかを確認することをお勧めします。

それはすべて、使用するプログラミング言語に依存します。記事を読む：難読化されたコード

無料の方法は、Visual Studio内からdotfuscatorを使用することです。そうしないと、外に出てPostbuild（http://www.xenocode.com/Landing/Obfuscation.aspx）のような難読化ツールを購入する必要があります。

私は最新のrpojectで難読化/リソース保護を使用する必要があり、Crypto Obfuscatorは使いやすく使いやすいツールであることがわかりました。シリアル化の問題は、このツールの設定の問題のみです。

Obfuscarと呼ばれる優れたオープンソースバージョンがあります。正常に動作するようです。タイプ、プロパティ、フィールド、メソッドは除外できます。オリジナルはここにあります：https : //code.google.com/p/obfuscar/、しかしそれはもう更新されていないようですので

MetaforicやViLabsなどの新しいコード保護技術や、ByteShieldなどの新しいソフトウェアコピー保護技術もご覧ください。開示：私はByteShieldで働いています。

私もsmartassemblyを使用しています。ただし、Webアプリケーションでどのように機能するかはわかりません。ただし、アプリでシェアウェアタイプの保護を使用している場合は、ブール値の戻りでライセンスをチェックしないようにしてください。バイトクラックは簡単です。 http://blogs.compdj.com/post/Binary-hack-a-NET-executable.aspx

SmartAssemblyは素晴らしいです、ほとんどのプロジェクトで使用されました

Ezirizデモ版を試してみました。しかし、ソフトウェアを持っていません。

難読化は実際の保護ではありません。

.NET Exeファイルがある場合、FARの方が優れていますソリューションがあります。

私はテミダを使います ていますが、非常にうまく機能していることがます。

Themidaの唯一の欠点は、.NET DLLを保護できないことです。（ExeとDLLのC ++コードも保護します）

Themidaは、ここで言及した難読化ツールよりもはるかに安価であり、最高で反 海賊行為の 保護市場に。コードの重要な部分が実行され、クラッカーによって設定された操作またはブレークポイントを検出するいくつかのスレッドを実行すると、仮想マシンが作成されます。.NET ExeをReflectorが.NETアセンブリとして認識しなくなったものに変換します。

彼らのウェブサイトの詳細な説明を読んでください：http : //www.oreans.com/themida_features.php

私はRummageと呼ばれる製品を試しました、それはあなたにいくつかの制御を与えるのに良い仕事をします...それはEzirizが提供する多くのものを欠いていますがRummageの価格が高すぎる...