① 比较知名的.NET混淆器/加壳软件有哪些
加壳工具可以利用virbox Protector对exe文件及dll进行直接加壳,也可以调用api的方式进行保护。
② 推荐一个混淆或加壳软件!!!
微软的 Dotfuscator Community Edition
打包注册表项,运行库,程序文件.....
{最好在XP-X86 环境下打包,上下兼容}
PS:其实自己也能做,就像读取文本再写进去过程中加下密,
就像RAR,然后利用一个可执行程序进行解压{俗称-安装,术语-封装}
在网络文库里搜索一下教程 内容更多
建议和 加壳 一起学,
③ C#编写的DLL如何加密
c# dll 加密最快的方法使用加壳工具Virbox Protector,直接加密,Virbox Protectorke可以对dll进行性能分析,分析每个函数的调用次数,对每个函数选择保护方式如:混淆/虚拟化/碎片化/代码加密等;每种加密方法的特点是什么呢?
代码加密(X86):
针对X86汇编代码:一种代码自修改技术(SMC)保护代码。把当前代码加密存储为密文,存储起来,当程序运行到被保护函数时候自动解密并且执行,执行之后再擦除代码,运行到哪里才解密哪里的代码,黑客无法获得原始机器指令和内存完整性的代码,由于是纯内存操作所以运行速度快, 性价高的保护手段,建议全加
代码加密(IL)
针对dotNet程序,保护IL代码:一种动态运行方法解密被保护代码。把当前代码加密存储为密文,存储起来,当程序运行到被保护函数时候自动解密并且执行,执行之后再擦除代码,执行之后再擦除代码,运行到哪里才解密哪里的代码,黑客无法获得原始的中间语言的指令和内存完整性的代码,由于是纯内存操作所以运行速度快, 性价高的保护手段,建议全加
压缩
类似zip等压缩软件把代码和数据段压缩,由于带有动态密码,没有任何工具可以自动脱壳,是防止反编译和反汇编关键手段。
代码混淆(IL):
将代码中的各种元素,如变量,函数,类的名字改写成无意义的名字。比如改写成单个字母,或是简短的无意义字母组合,甚至改写成“__”这样的符号,使得阅读的人无法根据名字猜测其用途。
a)重写代码中的部分逻辑,将其变成功能上等价,但是更难理解的形式。比如将for循环改写成while循环,将循环改写成递归,精简中间变量,等等。
b) 打乱代码的格式。比如删除空格,将多行代码挤到一行中,或者将一行代码断成多行等等。
c) 添加花指令,通过特殊构造的指令来使得反汇编器出错,进而干扰反编译工作的进行。
代码混淆器也会带来一些问题。主要的问题包括:· 被混淆的代码难于理解,因此调试除错也变得困难起来。开发人员通常需要保留原始的未混淆的代码用于调试。· 对于支持反射的语言,代码混淆有可能与反射发生冲突。· 代码混淆并不能真正阻止反向工程,只能增大其难度。因此,对于对安全性要求很高的场合,仅仅使用代码混淆并不能保证源代码的安全。
代码混淆的特点是安全度低、不会影响效率。
代码虚拟化:
针对X86代码: 是指将机器代码翻译为机器和人都无法识别的一串伪代码字节流;在具体执行时再对这些伪代码进行一一翻译解释,逐步还原为原始代码并执行。 这段用于翻译伪代码并负责具体执行的子程序就叫作虚拟机VM(好似一个抽象的CPU)。它以一个函数的形式存在,函数的参数就是字节码的内存地址。 由于虚拟机代码和虚拟机CPU的实现可以做到每次都是随机设计和随机执行 并且代码每次可以随机变化,包括一些逻辑上的等价变化可以参考硬件N个与非门NOT-AND实现各种逻辑门,算法和访问内存形式的变化,包括数学上的非等价变化,代码体积几乎可以膨胀达到100到10000倍,造成机器无法做算法还原到原有逻辑。
代码虚拟化的特点是:安全度中、不会影响效率。
代码碎片化:
深思自主知识产权的最新技术:基于 LLVM 和 ARM 虚拟机技术,自动抽取海量代码移入 SS 内核态模块,极大的降低了使用门槛, 不再需要手动移植算法,可移植的算法从有限的几个增长到几乎无限多,支持的语言也不再限于 C, 这是加密技术的一次综合应用,效果上类似于将软件打散执行,让破解者无从下手。
安全度高、建议关键函数或调用加密锁方法;使用太多会影响效率
④ 如何使用axproctector给.net程序加密
介绍一些dotNet加密保护工具的原理以及就其脱壳进行简单探讨。remotesoft protector、maxtocode、.Net Reactor、Cliprotector
、themida .Net、xenocode native compiler、DNGuard。
remotesoft protector
应该是一款比较老的。net加密保护工具了,看其官方网站似乎还是06年更新过。该软件没有提供试用版下载,相关资料比较少。去年接触过一
个该软件保护的.Net程序。加密后的程序发布时需要附带native 的 dll。
这款壳可以算是jit层的壳,是jit wrap 模式,通过hook getJit函数,拦截 jit 请求。在每次发生jit请求时其运行库会将加密的程序集完全
“原地” 解密还原。
特点:整体解密
脱壳:拦截地层jit请求,然后中断。这时程序集已经完全解密,直接pe mp就行了。
maxtocode
这个大家应该比较熟悉了,和 remotesoft protector 应该时前后脚起步的关系吧。其1.x,2.x,3.1x和3.2内核有很大差别。
特点:单方法体解密
maxtocode 1.x 版本没有用过,不过DST组的菩提曾经写过 maxtocode 1.x 的脱壳机。
maxtocdoe 2.x 其内核是EE层,单方法体“原地”解密。编译之后再擦除解密的代码。
脱壳:因为是“原地”解密,所以方法体代码逃不过profile的。可以在profile里面记录每个方法体,然后填充到文件中。
方法二:nop 调 其内核 的擦除代码。这个不用修改其内核文件,只要还原 mscorwks。dll 中其hook的第二处地方即可。这样方法体解密后就
在内存中了。所有方法invoke一面,直接pe mp即可。
maxtocode 3.1x,这个版本接触得比较多,我接触的第一个maxtocode版本就是3.10。这一版其内核相对2.x变动比较大。方法体已经不是原地
解密的了,也就是说profile已经不能监视到其il代码了,这算是一个巨大的进步吧。3.1x的内核基本上是一样的,只是后续的版本针对反射做
了一些小动作。
脱壳:直接反射、修复后反射。
方法二:直接调用其内核的解密函数进行脱壳,简单快速。
maxtocode 2007 企业版,Jit层内核 ,其在 ee 层和 jit层均安装了多处 hook。其内核在前面的文章里面有详细介绍。
脱壳:因其jit层内核的漏洞,可以用简单的方式还原方法体。Hook Jit 后可以简单的进行方法体还原完成单个方法的脱壳。
把每个方法都脱一面,填回文件即可。
.Net Reactor
一款很特别的。net加密壳。它有两种模式, application 和 library。
第一种模式 是把 。net程序整体加密,然后创建一个 native的loader。整体加密的脱壳很简单,mp 内存即可。
第二种模式 加密后的程序集也要带一个native的dll。和maxtocode一样,加了很多静态构造函数,一个startup函数。
但是在 startup函数调用后,即完成了程序集的全部“原地”解密。所以运行后直接mp内存就可以了。
脱壳:直接pe mp。
CliProtector
一款jit层的加密壳,大概是去年年底发现的。当时我在进行DNGuard2.0的开发,经分析后发现其内核模式和当时DNGuard 2.0的jit层内核很相似。分析后不久就发现了其jit层内核处理的一个漏洞,可以用简单的方式还原方法体。也就是最近在maxtocode 2007 企业版中发现的那个。在我的DNGuard 2.0 中对这个漏洞进行了预防处理。
个人感觉其模式兼容性比maxtocode 2007企业版要好。只是可惜,它除了有jit层漏洞,还偷了赖,IL代码没有加密,和我出的dnguard 1.0 demo一样,只是把 il搬了一下位置,没有加密。不过对于jit层脱壳来说加不加密倒无所谓了。但这样可能导致破解者从另一个角度去脱壳了。
特点:单方法体解密
脱壳:Jit hook,简单方法体还原, 同maxtocode2007企业版的脱壳方式。
方法二:分析其加密文件结构,直接还原(因其il代码没有加密,可以不用考虑解密算法的研究)。
themida .Net
themida 是win32的一个强壳,它支持 。Net的加密,其加密方式是整体加密,但是凭借其win32 anti的优势,相比其它整体加密的加密工具来说强度要高一点,不过也就仅仅那么一点。
脱壳:过anti,pe mp。
xenocode native compiler
xenocode 的专长是混淆保护,不过它也提供了一个所谓的生成本地代码的功能。其生成本地代码其实就是把 程序集打包,创建一个native loader。但是它的打包把framework都包进去了,也就是说打包后的程序可以在没有安装framework的机器上直接运行,代价是生成的文件体积非常大,因为它把十几兆的framework包进去了。
脱壳:直接pe mp。
方法二:分析其打包的文件格式直接解包(已有工具)。
DNGuard 1.0 内核模式同 maxtocode 3.1x。脱壳方式也雷同。
DNGuard 2.0 Jit层内核,同maxtocode 2007企业版和CLIProtector。相比少了一个漏洞,不能用简单方式还原方法体。
如果破解者对jit内核工作非常熟悉,也能从jit层的结构体中重构出方法体。
脱壳:Jit hook 结构体重构模式。
总结:
以上除了 maxtocode 3.x, DNGuard, CLiProtector 外,其它工具加密的程序都存在profile漏洞,可以通过profile获取代码。
综合兼容性和强度 CLiProtector 和 maxtocode 2007 企业版 要好一些。
DNGuard 2.0的强度好一些,兼容性比较差,就只支持 v2.0.50727.42 的framework。
DNGuard新版已经开始采用兼容全部framework的模式了。
上面的所有工具加密的程序集,都可以直接在jit层中截获 IL字节码。 IL字节码不是方法体,它是方法体的一部分。
只取得il字节码无法完成脱壳工作,但是已可反为MSIL汇编代码,进行算法分析了。
DNGuard HVM的目标就是不让jit层截获可分析的IL字节码。
⑤ c# 代码加壳软件或者混淆器哪个比较好,能防止反编译的。跪求
现在最好的是
1.DNGuard HVM 这个是基于内核级别的加密。不会让IL代码被反编译或被专从内存中剥离。属
2. IL Protected
这个两个都比较好。其余的都很垃圾,
————————————————————————————————————
Dotfuscator VS默认带的工具,不过是个社区版 强度不大
dotNET Reactor 使用了NativeCode 和混淆的形式 ,可从内存中剥离
Xenocode Postbuild 专业工具,还是比较可以的,但是要看你怎么用
{smartassembly}.Setup.msi 这个是 RedGate出品的,
————————————————————————————————————
除了我说的第一、第二个工具,你可以尝试用其他的工具混淆加密,然后把你的测试程序发给我,我可以完美破解。都是亲身测试过的。
⑥ 对抗 | 利用de4dot解密被混淆的.NET代码
【破解揭秘】解密.NET混淆代码的实战之旅
在dotNet安全矩阵星球的微信群中,我们时常围绕.NET技术分享心得。今日,一位群友于下午1:06抛出一个挑战——反编译后的代码仍然被精心混淆,亟需恢复其原始形态。我于1:35收到消息,立刻与这位技术高手交流,接手了这个解密任务。经过45分钟的专注操作,到2:20,DLL成功解密,这段经历值得记录,让我们一起探索解密的过程和关键步骤。
这位开发者使用的混淆工具是.NET Reactor,这也是我曾用过的,其混淆后的代码像这样面目全非(见图):
面对众多反混淆工具,de4dot因其广泛适用性和高效性而脱颖而出。它依托dnlib的强大功能,能够破解包括Xenocode、MaxtoCode、Eazfuscator.NET、Agile.NET等在内的众多混淆后的.NET代码。现在,就让我们深入了解一下这款反混淆领域的神器吧!
【踩坑记】
我使用的de4dot最新版本为v3.1.41592.3405,但在CMD中尝试运行命令de4dot-x64.exe -d Dx.OfficeView.dll时,遇到了问题。提示找不到加载程序集de4dot.cui,解决方法是将项目目录下的de4dot.cui.dll复制到当前路径。接下来,又出现了de4dot.code.dll和dnlib.dll缺失的提示。经过一系列复制操作,总算能看到版本信息,但新的错误接踵而至。此时,我发现新版本并不适用,于是回归至旧版3.0系列,de4dot-3.0.3成了我的得力助手。
【解密神器】
de4dot的用法简单实用。例如,通过-d选项,可以轻松检测出混淆器类型,如:
de4dot.exe -d c:inputDx.OfficeView.dll
对于批量反混淆,你可以使用如下命令,将输入目录的DLL解密并保存到输出目录:
de4dot.exe -r c:input -ru -ro c:output
解密后的代码清晰可见,可以直接进行审计,我将处理后的文件分享给那位群友,他感激之余还请我喝了杯奶茶,这充分体现了我们圈子中学习交流的热情氛围。
【结语】
如果你也对.NET安全有兴趣,欢迎加入我们的技术交流群,共同学习进步。联系小编mm1552923,或关注公众号"dotNet编程大全",让我们一起探索.NET世界的更多奥秘。