Outils/stratégie d'obfuscation .NET

Question

Mon produit a plusieurs composantes : ASP.NET, Windows Forms App et Windows Service. Environ 95 % du code est écrit en VB.NET.

Pour des raisons de propriété intellectuelle, je dois obfusquer le code, et jusqu'à présent j'utilisais une version de dotfuscator qui a maintenant plus de 5 ans. Je pense qu'il est temps de passer à un outil de nouvelle génération. Ce que je recherche, c'est une liste d'exigences que je devrais prendre en compte lors de la recherche d'un nouvel obfuscateur.

Ce que je sais que je dois rechercher jusqu'à présent :

• Sérialisation/Dé-sérialisation . Dans ma solution actuelle, j'indique simplement à l'outil no pour obscurcir les membres des données de la classe, car la douleur de ne pas pouvoir charger des données qui ont été sérialisées auparavant est tout simplement trop grande.
• Intégration au processus de construction
• Travailler avec ASP.NET . Dans le passé, j'ai trouvé cela problématique en raison des changements de noms de .dll (il y en a souvent un par page), ce que tous les outils ne gèrent pas bien.

Answer 1

Nous avons essayé un certain nombre d'obfuscateurs. Aucun d'entre eux ne fonctionne sur une grande application client/serveur qui utilise le remoting. Le problème est que le client et le serveur partagent certaines dlls, et nous n'avons pas trouvé d'obfuscateur qui puisse le gérer.

Nous avons essayé DotFuscator Pro, SmartAssembly, XenoCode, Salamander, et plusieurs petites applications dont les noms m'échappent.

Franchement, je suis convaincu que l'obscurcissement est un grand hack.

Même les problèmes qu'il aborde ne sont pas entièrement réels. La seule chose que vous devez vraiment protéger, ce sont les chaînes de connexion, les codes d'activation, les éléments sensibles de sécurité de ce genre. Cette absurdité selon laquelle une autre société va faire de l'ingénierie inverse sur l'ensemble de votre base de code et créer un produit concurrent à partir de celle-ci est un cauchemar de gestionnaire paranoïaque, pas une réalité.

Answer 2

J'y suis plongé jusqu'aux genoux et j'essaie de trouver une bonne solution. Voici mes impressions jusqu'à présent.

Xenocode - J'ai une ancienne licence de Xenocode2005 que j'utilisais pour obscurcir mes assemblages .net 2.0. Cela fonctionnait bien sous XP et était une solution décente. Mon projet actuel est .net 3.5 et je suis sur Vista, le support m'a dit d'essayer mais la version 2005 ne fonctionne même pas sur Vista (elle plante) donc je dois maintenant acheter 'PostBuild2008' à un prix incroyable de 1900 $. C'est peut-être un bon outil, mais je ne vais pas le découvrir. Trop cher.

Reactor.Net - C'est un prix beaucoup plus attractif et il a bien fonctionné sur mon Standalone Executeable. Le module de licence est également intéressant et m'aurait épargné beaucoup d'efforts. Malheureusement, il lui manque une fonctionnalité clé, à savoir la possibilité d'exclure des éléments de l'obfuscation. Cela rend impossible l'obtention du résultat dont j'avais besoin (fusionner plusieurs assemblages, en obfusquer certains, ne pas obfusquer les autres).

SmartAssembly - J'ai téléchargé l'Eval pour cela et cela a fonctionné sans problème. J'ai pu réaliser tout ce que je voulais et l'interface était de première classe. Le prix est encore un peu élevé.

Dotfuscator Pro - Impossible de trouver le prix sur le site web. Actuellement en discussion pour obtenir un devis. C'est de mauvais augure.

Confuser - un projet open source qui fonctionne très bien (pour confondre les gens, comme son nom l'indique).

Note : ConfuserEx est apparemment "cassé" d'après l'étude de la Commission européenne. Numéro 498 sur leur repo GitHub.

Answer 3

À l'époque de .Net 1.1, l'obscurcissement était essentiel : la décompilation du code était facile, et vous pouviez passer de l'assemblage, à l'IL, au code C# et le faire compiler à nouveau avec très peu d'efforts.

Maintenant, avec .Net 3.5, je ne suis plus du tout sûr. Essayez de décompiler un assemblage 3.5 ; ce que vous obtenez est très loin de la compilation.

Ajoutez les optimisations de la 3.5 (bien meilleures que celles de la 1.1) et la façon dont les types anonymes, les délégués, etc. sont gérés par la réflexion (c'est un cauchemar de les recompiler). Ajouter les expressions lambda, la "magie" du compilateur comme la syntaxe Linq et le langage de programmation. var et des fonctions C#2 comme yield (ce qui donne lieu à de nouvelles classes avec des noms illisibles). Votre code décompilé se retrouve très loin d'être compilable.

Une équipe professionnelle disposant de beaucoup de temps pourrait toujours le désosser, mais il en va de même pour tout code obscurci. Le code qu'ils obtiendraient serait impossible à maintenir et très probablement très bogué.

Je recommanderais de signer vos assemblages par une clé (ce qui signifie que si les pirates peuvent en recompiler un, ils doivent recompiler tous les assemblages), mais je ne pense pas que l'obscurcissement en vaille la peine.

Answer 4

Si vous en cherchez un gratuit, vous pouvez essayer DotObfuscator Community Edition qui est fourni avec Visual Studio ou Eazfuscator.NET .

---

Depuis le 29 juin 2012 Eazfuscator.NET est maintenant commercial. La dernière version gratuite disponible est la 3.3.

Answer 5

J'ai utilisé smartassembly. En gros, tu choisis une dll et elle te la renvoie obfusquée. Cela semble bien fonctionner et je n'ai eu aucun problème jusqu'à présent. Très, très facile à utiliser.