① 比較知名的.NET混淆器/加殼軟體有哪些
加殼工具可以利用virbox Protector對exe文件及dll進行直接加殼,也可以調用api的方式進行保護。
② 推薦一個混淆或加殼軟體!!!
微軟的 Dotfuscator Community Edition
打包注冊表項,運行庫,程序文件.....
{最好在XP-X86 環境下打包,上下兼容}
PS:其實自己也能做,就像讀取文本再寫進去過程中加下密,
就像RAR,然後利用一個可執行程序進行解壓{俗稱-安裝,術語-封裝}
在網路文庫里搜索一下教程 內容更多
建議和 加殼 一起學,
③ C#編寫的DLL如何加密
c# dll 加密最快的方法使用加殼工具Virbox Protector,直接加密,Virbox Protectorke可以對dll進行性能分析,分析每個函數的調用次數,對每個函數選擇保護方式如:混淆/虛擬化/碎片化/代碼加密等;每種加密方法的特點是什麼呢?
代碼加密(X86):
針對X86匯編代碼:一種代碼自修改技術(SMC)保護代碼。把當前代碼加密存儲為密文,存儲起來,當程序運行到被保護函數時候自動解密並且執行,執行之後再擦除代碼,運行到哪裡才解密哪裡的代碼,黑客無法獲得原始機器指令和內存完整性的代碼,由於是純內存操作所以運行速度快, 性價高的保護手段,建議全加
代碼加密(IL)
針對dotNet程序,保護IL代碼:一種動態運行方法解密被保護代碼。把當前代碼加密存儲為密文,存儲起來,當程序運行到被保護函數時候自動解密並且執行,執行之後再擦除代碼,執行之後再擦除代碼,運行到哪裡才解密哪裡的代碼,黑客無法獲得原始的中間語言的指令和內存完整性的代碼,由於是純內存操作所以運行速度快, 性價高的保護手段,建議全加
壓縮
類似zip等壓縮軟體把代碼和數據段壓縮,由於帶有動態密碼,沒有任何工具可以自動脫殼,是防止反編譯和反匯編關鍵手段。
代碼混淆(IL):
將代碼中的各種元素,如變數,函數,類的名字改寫成無意義的名字。比如改寫成單個字母,或是簡短的無意義字母組合,甚至改寫成「__」這樣的符號,使得閱讀的人無法根據名字猜測其用途。
a)重寫代碼中的部分邏輯,將其變成功能上等價,但是更難理解的形式。比如將for循環改寫成while循環,將循環改寫成遞歸,精簡中間變數,等等。
b) 打亂代碼的格式。比如刪除空格,將多行代碼擠到一行中,或者將一行代碼斷成多行等等。
c) 添加花指令,通過特殊構造的指令來使得反匯編器出錯,進而干擾反編譯工作的進行。
代碼混淆器也會帶來一些問題。主要的問題包括:· 被混淆的代碼難於理解,因此調試除錯也變得困難起來。開發人員通常需要保留原始的未混淆的代碼用於調試。· 對於支持反射的語言,代碼混淆有可能與反射發生沖突。· 代碼混淆並不能真正阻止反向工程,只能增大其難度。因此,對於對安全性要求很高的場合,僅僅使用代碼混淆並不能保證源代碼的安全。
代碼混淆的特點是安全度低、不會影響效率。
代碼虛擬化:
針對X86代碼: 是指將機器代碼翻譯為機器和人都無法識別的一串偽代碼位元組流;在具體執行時再對這些偽代碼進行一一翻譯解釋,逐步還原為原始代碼並執行。 這段用於翻譯偽代碼並負責具體執行的子程序就叫作虛擬機VM(好似一個抽象的CPU)。它以一個函數的形式存在,函數的參數就是位元組碼的內存地址。 由於虛擬機代碼和虛擬機CPU的實現可以做到每次都是隨機設計和隨機執行 並且代碼每次可以隨機變化,包括一些邏輯上的等價變化可以參考硬體N個與非門NOT-AND實現各種邏輯門,演算法和訪問內存形式的變化,包括數學上的非等價變化,代碼體積幾乎可以膨脹達到100到10000倍,造成機器無法做演算法還原到原有邏輯。
代碼虛擬化的特點是:安全度中、不會影響效率。
代碼碎片化:
深思自主知識產權的最新技術:基於 LLVM 和 ARM 虛擬機技術,自動抽取海量代碼移入 SS 內核態模塊,極大的降低了使用門檻, 不再需要手動移植演算法,可移植的演算法從有限的幾個增長到幾乎無限多,支持的語言也不再限於 C, 這是加密技術的一次綜合應用,效果上類似於將軟體打散執行,讓破解者無從下手。
安全度高、建議關鍵函數或調用加密鎖方法;使用太多會影響效率
④ 如何使用axproctector給.net程序加密
介紹一些dotNet加密保護工具的原理以及就其脫殼進行簡單探討。remotesoft protector、maxtocode、.Net Reactor、Cliprotector
、themida .Net、xenocode native compiler、DNGuard。
remotesoft protector
應該是一款比較老的。net加密保護工具了,看其官方網站似乎還是06年更新過。該軟體沒有提供試用版下載,相關資料比較少。去年接觸過一
個該軟體保護的.Net程序。加密後的程序發布時需要附帶native 的 dll。
這款殼可以算是jit層的殼,是jit wrap 模式,通過hook getJit函數,攔截 jit 請求。在每次發生jit請求時其運行庫會將加密的程序集完全
「原地」 解密還原。
特點:整體解密
脫殼:攔截地層jit請求,然後中斷。這時程序集已經完全解密,直接pe mp就行了。
maxtocode
這個大家應該比較熟悉了,和 remotesoft protector 應該時前後腳起步的關系吧。其1.x,2.x,3.1x和3.2內核有很大差別。
特點:單方法體解密
maxtocode 1.x 版本沒有用過,不過DST組的菩提曾經寫過 maxtocode 1.x 的脫殼機。
maxtocdoe 2.x 其內核是EE層,單方法體「原地」解密。編譯之後再擦除解密的代碼。
脫殼:因為是「原地」解密,所以方法體代碼逃不過profile的。可以在profile裡面記錄每個方法體,然後填充到文件中。
方法二:nop 調 其內核 的擦除代碼。這個不用修改其內核文件,只要還原 mscorwks。dll 中其hook的第二處地方即可。這樣方法體解密後就
在內存中了。所有方法invoke一面,直接pe mp即可。
maxtocode 3.1x,這個版本接觸得比較多,我接觸的第一個maxtocode版本就是3.10。這一版其內核相對2.x變動比較大。方法體已經不是原地
解密的了,也就是說profile已經不能監視到其il代碼了,這算是一個巨大的進步吧。3.1x的內核基本上是一樣的,只是後續的版本針對反射做
了一些小動作。
脫殼:直接反射、修復後反射。
方法二:直接調用其內核的解密函數進行脫殼,簡單快速。
maxtocode 2007 企業版,Jit層內核 ,其在 ee 層和 jit層均安裝了多處 hook。其內核在前面的文章裡面有詳細介紹。
脫殼:因其jit層內核的漏洞,可以用簡單的方式還原方法體。Hook Jit 後可以簡單的進行方法體還原完成單個方法的脫殼。
把每個方法都脫一面,填迴文件即可。
.Net Reactor
一款很特別的。net加密殼。它有兩種模式, application 和 library。
第一種模式 是把 。net程序整體加密,然後創建一個 native的loader。整體加密的脫殼很簡單,mp 內存即可。
第二種模式 加密後的程序集也要帶一個native的dll。和maxtocode一樣,加了很多靜態構造函數,一個startup函數。
但是在 startup函數調用後,即完成了程序集的全部「原地」解密。所以運行後直接mp內存就可以了。
脫殼:直接pe mp。
CliProtector
一款jit層的加密殼,大概是去年年底發現的。當時我在進行DNGuard2.0的開發,經分析後發現其內核模式和當時DNGuard 2.0的jit層內核很相似。分析後不久就發現了其jit層內核處理的一個漏洞,可以用簡單的方式還原方法體。也就是最近在maxtocode 2007 企業版中發現的那個。在我的DNGuard 2.0 中對這個漏洞進行了預防處理。
個人感覺其模式兼容性比maxtocode 2007企業版要好。只是可惜,它除了有jit層漏洞,還偷了賴,IL代碼沒有加密,和我出的dnguard 1.0 demo一樣,只是把 il搬了一下位置,沒有加密。不過對於jit層脫殼來說加不加密倒無所謂了。但這樣可能導致破解者從另一個角度去脫殼了。
特點:單方法體解密
脫殼:Jit hook,簡單方法體還原, 同maxtocode2007企業版的脫殼方式。
方法二:分析其加密文件結構,直接還原(因其il代碼沒有加密,可以不用考慮解密演算法的研究)。
themida .Net
themida 是win32的一個強殼,它支持 。Net的加密,其加密方式是整體加密,但是憑借其win32 anti的優勢,相比其它整體加密的加密工具來說強度要高一點,不過也就僅僅那麼一點。
脫殼:過anti,pe mp。
xenocode native compiler
xenocode 的專長是混淆保護,不過它也提供了一個所謂的生成本地代碼的功能。其生成本地代碼其實就是把 程序集打包,創建一個native loader。但是它的打包把framework都包進去了,也就是說打包後的程序可以在沒有安裝framework的機器上直接運行,代價是生成的文件體積非常大,因為它把十幾兆的framework包進去了。
脫殼:直接pe mp。
方法二:分析其打包的文件格式直接解包(已有工具)。
DNGuard 1.0 內核模式同 maxtocode 3.1x。脫殼方式也雷同。
DNGuard 2.0 Jit層內核,同maxtocode 2007企業版和CLIProtector。相比少了一個漏洞,不能用簡單方式還原方法體。
如果破解者對jit內核工作非常熟悉,也能從jit層的結構體中重構出方法體。
脫殼:Jit hook 結構體重構模式。
總結:
以上除了 maxtocode 3.x, DNGuard, CLiProtector 外,其它工具加密的程序都存在profile漏洞,可以通過profile獲取代碼。
綜合兼容性和強度 CLiProtector 和 maxtocode 2007 企業版 要好一些。
DNGuard 2.0的強度好一些,兼容性比較差,就只支持 v2.0.50727.42 的framework。
DNGuard新版已經開始採用兼容全部framework的模式了。
上面的所有工具加密的程序集,都可以直接在jit層中截獲 IL位元組碼。 IL位元組碼不是方法體,它是方法體的一部分。
只取得il位元組碼無法完成脫殼工作,但是已可反為MSIL匯編代碼,進行演算法分析了。
DNGuard HVM的目標就是不讓jit層截獲可分析的IL位元組碼。
⑤ c# 代碼加殼軟體或者混淆器哪個比較好,能防止反編譯的。跪求
現在最好的是
1.DNGuard HVM 這個是基於內核級別的加密。不會讓IL代碼被反編譯或被專從內存中剝離。屬
2. IL Protected
這個兩個都比較好。其餘的都很垃圾,
————————————————————————————————————
Dotfuscator VS默認帶的工具,不過是個社區版 強度不大
dotNET Reactor 使用了NativeCode 和混淆的形式 ,可從內存中剝離
Xenocode Postbuild 專業工具,還是比較可以的,但是要看你怎麼用
{smartassembly}.Setup.msi 這個是 RedGate出品的,
————————————————————————————————————
除了我說的第一、第二個工具,你可以嘗試用其他的工具混淆加密,然後把你的測試程序發給我,我可以完美破解。都是親身測試過的。
⑥ 對抗 | 利用de4dot解密被混淆的.NET代碼
【破解揭秘】解密.NET混淆代碼的實戰之旅
在dotNet安全矩陣星球的微信群中,我們時常圍繞.NET技術分享心得。今日,一位群友於下午1:06拋出一個挑戰——反編譯後的代碼仍然被精心混淆,亟需恢復其原始形態。我於1:35收到消息,立刻與這位技術高手交流,接手了這個解密任務。經過45分鍾的專注操作,到2:20,DLL成功解密,這段經歷值得記錄,讓我們一起探索解密的過程和關鍵步驟。
這位開發者使用的混淆工具是.NET Reactor,這也是我曾用過的,其混淆後的代碼像這樣面目全非(見圖):
面對眾多反混淆工具,de4dot因其廣泛適用性和高效性而脫穎而出。它依託dnlib的強大功能,能夠破解包括Xenocode、MaxtoCode、Eazfuscator.NET、Agile.NET等在內的眾多混淆後的.NET代碼。現在,就讓我們深入了解一下這款反混淆領域的神器吧!
【踩坑記】
我使用的de4dot最新版本為v3.1.41592.3405,但在CMD中嘗試運行命令de4dot-x64.exe -d Dx.OfficeView.dll時,遇到了問題。提示找不到載入程序集de4dot.cui,解決方法是將項目目錄下的de4dot.cui.dll復制到當前路徑。接下來,又出現了de4dot.code.dll和dnlib.dll缺失的提示。經過一系列復制操作,總算能看到版本信息,但新的錯誤接踵而至。此時,我發現新版本並不適用,於是回歸至舊版3.0系列,de4dot-3.0.3成了我的得力助手。
【解密神器】
de4dot的用法簡單實用。例如,通過-d選項,可以輕松檢測出混淆器類型,如:
de4dot.exe -d c:inputDx.OfficeView.dll
對於批量反混淆,你可以使用如下命令,將輸入目錄的DLL解密並保存到輸出目錄:
de4dot.exe -r c:input -ru -ro c:output
解密後的代碼清晰可見,可以直接進行審計,我將處理後的文件分享給那位群友,他感激之餘還請我喝了杯奶茶,這充分體現了我們圈子中學習交流的熱情氛圍。
【結語】
如果你也對.NET安全有興趣,歡迎加入我們的技術交流群,共同學習進步。聯系小編mm1552923,或關注公眾號"dotNet編程大全",讓我們一起探索.NET世界的更多奧秘。