NET程序的代码混淆、加壳与脱壳

1、.NET程序的代码混淆、加壳与脱壳通常我们通过代码混淆、加密的形式达到软件保护的目的。在Web开发里我们接触过的可能就是JS代码加密了，可以通过对JS代码进行混淆、加密从而实现对核心JS代码的保护。如果没有接触过的可以在这里简单了解一下，这次我们就不去细说了。在以前Win32的软件中，加壳脱壳的技术已经发展的非常成熟，国内有大名鼎鼎的看雪、吾爱破解等论坛，三四年前还在上学时，论坛里的大牛一直都是自己的偶像。而.NET程序因为编译结果不是机器代码语言，而是IL语言，所以加壳脱壳相关的软件还不是很多，我搜索到了一些，如VS自带的DotFuscator、.NET Reactor、xeoncode等，

2、这次我们就简单介绍下手边有的.NET Reactor 。1.代码混淆代码混淆主要通过一些名称替换、移位、流程混淆的方式来实现。先来看一个测试的DEMO程序，很简单的一个Winform程序，实例化窗体时实例化一个User类，点击按钮显示用户名，这样也可以测试加密、加壳后程序是否能够继续运行。 1 using System; 2 using System.Windows.Forms; 3  4 namespace CodeObfuscator 5  6

3、0;    public partial class Form1 : Form 7      8         private readonly User _currentUser; 9         public&

4、#160;Form1()10         11             InitializeComponent();12             _currentUser = new User13 

5、0;           14                 UserID = 1,15                 Use

6、rName = "Parrycnblogs"16             17         18 19         private void ButtonAlertClick(object sender

7、, EventArgs e)20         21             MessageBox.Show(_currentUser.UserName);22         23     24 25

8、60;    public class User26     27         public int UserID  get; set; 28         public string UserName  

9、;get; set; 29     30 我们使用最常用的反编译工具Reflector对生成的exe反编译查看源码。下面我们打开.NET Reactor进行代码混淆，载入exe后，在一般设置里可以设置压缩选项，不过设置后程序初始化速度会变慢，是因为需要将代码解压缩后再加载到内存中。在混淆选项里将Enable设置为启用，混淆公共类型，字符串加密等常用的也设置成启用。其他的选项Tips里都有详细的解释，就不一一讲解。 当我们再使用Reflector反编译查看时，发现没有看到混淆后的代码，而是看到了这个结果。猜

10、想应该是.NET Reactor程序对exe进行处理后打了个包，我们使用查壳工具查看后发现果然是这样，外面套了一层Delphi的东西，这个还不是壳，只是一些额外数据。关于Overlay相关内容可以查看这里。2.加壳与脱壳加壳实际上就是一种加密方式，被加壳的程序在运行前要先运行一段附加指令，这段附加的指令完成相关操作后会启动主程序，程序就像被包在一个壳里一样，加壳的技术在病毒编写的时候也被大量使用。我们使用北斗加壳程序对上面的exe加壳后，再来反编译看一看。反编译后我们已经找不到之前程序任何相关名称、代码，完全被一个“壳子”包裹了起来，在程序运行时，程序将先运行我们反编译看到的main函数进行一

11、系列的解压、解密动作后将代码加载到内存中运行原始的程序，这样就实现了对程序的保护功能。脱壳就是对程序进行解压缩、解密，将外面的一层壳脱去后，继续进行逆向工程进行破解。 而关于脱壳，本人也是略知皮毛，不敢胡乱卖弄，感兴趣的可以去论坛里学习相关知识。这里介绍的混淆、加壳的方法也只是为了在需要对自己的程序进行保护时的一种方法。觉得文章还行的话就推荐下吧，哈哈。作者：Parry 出处：本文版权归作者和博客园共有，欢迎转载，但未经作者同意必须保留此段声明，且在文章页面明显位置给出原文连接，否则保留追究法律责任的权利。分类: 03.Sugars, 04.NET标签:

12、 .NET, 安全绿色通道： 好文要顶 关注我 收藏该文与我联系 Parry关注 - 16粉丝 - 171荣誉：推荐博客+加关注180(请您对文章做出评价)« 上一篇：ASP.NET Web API（二）：安全验证之使用HTTP基本认证» 下一篇：小心DataContractJsonSerializer和JavaScriptSerializer的内部实现差异posted  2012-11-14 17:18 Parry 阅读(8765) 评论(25) 编辑&

13、#160;收藏评论  #1楼 2012-11-14 17:31 | Quella  如果混淆,那就没办法看到原来的代码。支持(0)反对(0)  #2楼楼主 2012-11-14 17:42 | Parry  Quella引用如果混淆,那就没办法看到原来的代码。是，只是进行了混淆而已，一些逻辑还是能看出来的。支持(0)反对(0)  #3楼 2012-11-14 17:44 | sunriseyuen 

14、; Parry引用Quella引用引用如果混淆,那就没办法看到原来的代码。是，只是进行了混淆而已，一些逻辑还是能看出来的。代码多了,看到你不想看了.支持(0)反对(0)  #4楼楼主 2012-11-14 17:50 | Parry  sunriseyuen引用Parry引用引用Quella引用引用如果混淆,那就没办法看到原来的代码。是，只是进行了混淆而已，一些逻辑还是能看出来的。代码多了,看到你不想看了.但是如果价值很高的话，哈哈！支持(0)反对(0)  #5楼 2012-11-14

15、 19:34 | James-yu  DLL 混淆后啥效果？支持(0)反对(0)  #6楼 2012-11-14 20:17 | 幻元素  使用了.NET Reactor之后，序列化等用到元数据的功能就用不了了,不知有没有什么解决方法.支持(0)反对(0)  #7楼楼主 2012-11-14 20:41 | Parry  James-yu引用DLL 混淆后啥效果？效果是一样的支持(0)反对(0)  

16、;#8楼楼主 2012-11-14 20:44 | Parry  幻元素引用使用了.NET Reactor之后，序列化等用到元数据的功能就用不了了,不知有没有什么解决方法.还真没试过，我去看看 :-)支持(0)反对(0)  #9楼 2012-11-14 20:48 | rsync  这些混淆没太大作用。人家直接到处IL，然后修改IL。之后重新build一份就解决问题了。支持(0)反对(0)  #10楼楼主 2012-11-14 21:41

17、0;| Parry  imfunny引用这些混淆没太大作用。人家直接到处IL，然后修改IL。之后重新build一份就解决问题了。你用这种方法试试看能不能看到IL哦支持(0)反对(0)  #11楼 2012-11-14 21:44 | rsync  Parry混淆的是可以看到的。我确定。加壳的不能够。但是加壳的不一定能够运行，也不能够被引用撒的。用vs带的ildasm看下就知道了。至于代码呢，谁爱看就谁谁拿去的，混淆没什么意义。支持(0)反对(0)  #12楼 201

18、2-11-14 22:17 | daconglee  至于代码呢，谁爱看就谁谁拿去的，混淆没什么意义支持(1)反对(0)  #13楼 2012-11-14 22:33 | LineZero  文章不错，支持一下支持(0)反对(0)  #14楼 2012-11-15 00:27 | gongji  aspack支持(0)反对(0)  #15楼 2012-11-15 07:25 |

19、 liuyilin888  皮毛而已支持(0)反对(0)  #16楼楼主 2012-11-15 09:45 | Parry  liuyilin888引用皮毛而已恩 水平一般 脱壳的部分还等大牛们来写我再学习学习 哈哈支持(0)反对(0)  #17楼楼主 2012-11-15 12:09 | Parry  imfunny一般的混淆是可以的但是使用上面的.NET Reactor混淆后是看不到的，需要脱壳后才能看到。至于混淆的意义主

20、要看不同的需求了，就想js混淆一样。支持(0)反对(0)  #18楼 2012-11-15 14:07 | eflay  再保护也比c+的保护好破的多，所以一般最多加个变量名混淆，否则反倒破坏很多东西，降低执行效率。支持(0)反对(0)  #19楼 2012-11-15 16:30 | 6572789  混淆后，代码慢不慢，并且会不会爆病毒错误支持(0)反对(0)  #20楼 2012-11-15 18:56 | 为乐而来  这