.NET 源代码的安全性(源代码工具真正比拼) (論)（2）

打字好累，所以废话少讲，我们切入正题。 今天被屠宰的对象就是 我们公司使用 vb.net开发的一套管理系统。名字就不说了，此系统主程序约3M，其中共有约 3000个方法，事件，等等。是一个中大型的程序，源代码约有 5万行左右（去掉一些自动生成的代码计算后）

打字好累，所以废话少讲，我们切入正题。

今天被屠宰的对象就是 我们公司使用vb.net开发的一套管理系统。名字就不说了，此系统主程序约3M，其中共有约 3000个方法，事件，等等。是一个中大型的程序，源代码约有 5万行左右（去掉一些自动生成的代码计算后），其中有底层硬件操作类，也有水晶报表操作，数据库操作。我们最关心的是其中的一块，注册类，以及一些核心代码。而我们演示的时候将会把注册代码拿出来演示（当然，不是原来的注册代码。。。那个拿出去，BOSS要杀我的）

<span> </span>

而代码保护工具的主角是：

1．   Dotfuscator Community Edition //微软推荐的东东,我个人认为非常烂

2．   XeonCode              //最近最好的混淆器,有可取点.它号称安全,我们今

//天来看看是不是真的安全

3．   MaxtoCode            //一个不同于混淆的.NET源码工具 MaxtoCode

//目前普及版只支持 WindowsApplication的加密

//以后开放 WEB APPlication and Class Library

<span> </span>

我们的反编译目标分为二种:

1.      C#语言

2.      MSIL语言

使用的全是市场上流通的免费反编译工具,我知道收费的反编译工具还会自动还源混淆.收费的我也没有条件去测试

<span> </span>

<span> </span>

好,开始测试：

我们分别使用上面三样对代码进行混淆或加密。

完毕，测试程序所有功能：

1.      Dotfuscator Community Edition 我最不喜欢的混淆器，由于是1.2免费版，所以必须混淆所有模块，导致部分功能不能使用。但我们不关心那些，我们一会将展现被混淆的注册代码（因为类和方法都被混淆，所以必须要花点时间）

2.      XeonCode 一个相对强大的混淆工具，我一直认为他与某著名的反编译工具捆绑，导至其它工具能反编译的代码而它不能反编译。我们把它的强度开到最大，勾上所有能勾的选项。（它混淆的Windows Application可以正常运行）

3.      MaxtoCode 这是一个加密器，可以与XeonCode叠加使用，并且在2.0版中，将会加入自混淆功能，成为混淆加密一体化的工具。（它混淆的 Windows Applicaton 可以正常运行）

<span> </span>

我们最关心的是混淆或加密的结果。OK，请不要急，让我们先看看源代码，再比较一下反编译后的代码。

<span> </span>

    Private Function Encrypt(ByVal inStr As String) As String

<span> </span>

        Dim key As String = "a#2151336fdaghksfges"

        Dim out As String

        Dim j, i, s As Integer

        i = inStr.Length

        s = 0

        For j = 0 To i - 1

            out = out + inStr.Substring(j, 1) + key.Substring(s, 1)

            s = s + 1

            If s >= 20 Then s = 0

        Next

        Return out

<span> </span>

    End Function

<span> </span>

    Private Function Register(ByVal instr As String) As String

        Dim pRsa As New System.Security.Cryptography.RSACryptoServiceProvider

        Dim en As New System.Text.ASCIIEncoding

        Return en.GetString(pRsa.Encrypt(en.GetBytes(Encrypt(instr)), False))

        'Dim a As String

        'a = Encrypt(instr)

        'Dim b() As Byte

        'Dim c() As Byte

        'b = en.GetBytes(a)

        'c = pRsa.Encrypt(b, False)

        'Return en.GetString(c)

          这里怕大家看不清楚，特别加了展开的代码

End Function

<span> </span>

源代码很清楚，即是对字符串进行插入，然后使用 RSA 进行加密（这里省去了RSA的KEY）

 

好，那么我们首先来看看使用上面三种工具混淆后的C#代码

<span> </span>

1．   Dotfuscator Community Edition

<span>private</span><span> <font>string</font> <b>b</b>(<font>string</font> A_0)<div class="code" style="position:relative; padding:0px; margin:0px;"><div class="code" style="position:relative; padding:0px; margin:0px;"><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false">

Salin selepas log masuk

Salin selepas log masuk