根据我所了解的,代码混淆并不难“破解”,而且它只能将不可避免的事情延迟一下。那么,它的目的是什么?
如果有人真的想窃取你的源代码,他们可以做到。
如果有人需要查看你的源代码以进行无害或有益的目的,他们却无法做到。
你可能不应该在代码中存储任何敏感信息,因此这不应该是一个问题。
如果你不混淆代码,你仍然没有提供完整的源代码,因此你可以销售“源代码许可证”。
有趣的是,我曾经见过的唯一混淆的代码是含有错误的可怕代码。我需要查看代码的唯一原因是找出问题所在以及我可以做些什么来修复它。
例如,我需要替换ASPDotNetStoreFront中的某些图像。当寻找标签位置时,我发现它们包含在编译代码中。太烦人了。因此,我试图反编译代码,找出要通过正则表达式替换哪些img标签。我尝试查看源代码以查看可能来自给定编译方法的图像,并且反编译器无法处理它,我认为这是因为代码混淆。我真的没有时间去寻找解编译器/反混淆器。
我认为这是值得的。对你来说成本几乎为零,而且你会让黑客的生活变得更加艰难。即使他们破解了它,你也可以满足于知道你浪费了他们数小时甚至数周的时间。只是因为锁不完美并不意味着你不锁门。
只有当你的项目是长期运行,需要花费大量时间才能实现时,才值得这样做。当然,这只是一种观点,但我还没有发现过一种模糊的 .Net DLL,使用 Reflector 就无法弄清楚其运作原理。
这只是一种威慑,而不是更多。如果某人反编译您的代码的成本大于自己实现它的成本,那么这是我认为唯一合法的情况,但如果有人想要查看您的代码运作方式,那么这并不能很好地阻止他们。
我经常看到的一个普遍情况是您如何生成和/或解密许可证密钥。任何有动力想要了解这个并在 Reflector 中查找您的盐/解密方法的人都不会被混淆所阻止,我敢说它真的不会减慢他们太多。
在我看来,不是的。我见过很多人黑掉用不同语言编写的程序。使用专业工具如IDA(适用于非托管代码),没有什么是百分之百安全的。混淆程序集甚至更容易被黑客攻击,因为元数据仍然存在。
对于 .Net 应用程序,不混淆代码就相当于把你的产品开源了,因为使用反编译工具 Reflector 很容易看到并分析源代码。也许您有许可协议,但只有少数公司有时间和金钱在法庭上维护许可协议。对于这样的公司,混淆是最佳选择。当然,您需要测试混淆的程序集,但是,您已经在测试您的产品了,为什么不测试最终的混淆程序集呢。
这也取决于混淆器的便利性。考虑我们的 Crypto Obfuscator - 它支持与 Visual Studio 的轻松集成,因此您始终在运行混淆的程序集。它还有许多自动排除功能,因此它不会混淆将导致混淆的程序集无法正常运行的类/成员。它还将显示警告(包括行号)可以引起混淆的代码可能导致混淆的程序集无法正常运行。这是一个巨大的时间节省者。
