.NET混淆工具/策略

在过去的两天里，我一直在尝试使用Dotfuscator Community Edition advanced（一个免费下载的工具，需要先注册基础版CE，它与Visual Studio捆绑在一起）进行实验。
我认为更多人不将混淆作为默认选项的原因是，相对于风险而言，它太麻烦了。在较小的测试项目中，我可以通过大量努力运行混淆代码。通过ClickOnce部署一个简单的项目很麻烦，但是在用mage手动签名清单后仍然可行。唯一的问题是，在错误发生时，堆栈跟踪会被混淆，而CE没有打包反混淆器或澄清器。
我试图混淆一个真实的基于Excel的VSTO项目，其中包括Virtual Earth集成、大量的Web服务调用和IOC容器以及大量的反射。这是不可能的。
如果混淆确实是一个关键的要求，那么你应该从一开始就考虑到这一点来设计你的应用程序，并随着进展测试混淆版本。否则，如果它是一个相当复杂的项目，你最终会遇到严重的困难。

我最近尝试将一个免费的混淆器的输出管道传递到另一个免费的混淆器中 - 即Dotfuscator CE和CodePlex上的新Babel混淆器。更多细节请参见我的博客。
至于序列化，我已经将该代码移动到不同的DLL中并包含在项目中。我认为在XML中没有任何秘密，因此它不需要混淆。如果这些类中有任何严肃的代码，使用主程序集中的部分类应该可以解决问题。

避免使用Reactor。它完全没有用处（是的，我为许可证付费了）。Xenocode是我遇到的最好的一个，并且也购买了许可证。支持非常好，但我并不需要太多，因为它只是能够工作。我测试了每一个我能找到的混淆器，我的结论是Xenocode远远是最强大的，做得最好（还有可能将您的.NET exe后处理为本地exe，这是我在其他任何地方都没有看到的）。
Reactor和Xenocode之间有两个主要区别。 第一个是Xenocode真正起作用。 第二个是您的程序集执行速度没有任何区别。使用Reactor会慢约600万倍。我也有印象Reactor是一个单人操作。

你可以使用“Dotfuscator社区版” - 它是Visual Studio 2008专业版的默认选项。你可以在以下网址了解更多信息：

http://msdn.microsoft.com/en-us/library/ms227240%28VS.80%29.aspx
http://www.preemptive.com/dotfuscator.html

该产品的“专业版”需要付费，但更好。

你真的需要对你的代码进行混淆吗？通常情况下，除非用于安全目的，否则应用程序被反编译很少出现问题。如果你担心别人“窃取”你的代码，不要担心；查看你的代码的绝大多数人都是为了学习目的。无论如何，在.NET中没有完全有效的混淆策略 - 有足够技能的人总是能够反编译/修改你的应用程序。

我发现Agile.Net提供了非常好的保护措施，因为它不仅提供混淆，还提供加密功能。你可以下载免费试用版。
http://secureteam.net/NET-Code-Protection.aspx http://secureteam.net/downloads.aspx

你应该选择在你的平台上最便宜和最知名的工具，并开始使用。高级语言的混淆是一个难题，因为虚拟机操作码流不会遭受本机操作码流的两个最大问题：函数/方法识别和寄存器别名。关于字节码反编译，你需要知道的是，安全测试人员已经将其作为标准实践来审查直接的X86代码并找到其中的漏洞。在原始的X86中，你甚至不能找到有效的函数，更不用说在函数调用期间跟踪本地变量了。在几乎没有情况下，本机代码反转器可以访问函数和变量名称——除非他们正在审查微软代码，因为微软很好心地向公众提供了这些信息。
“Dotfuscation”主要通过混淆函数和变量名称来工作。这样做可能比发布带有调试级别信息的代码更好，因为反编译器会直接暴露你的源代码。但是，任何超出此范围的操作都可能会导致收益递减。

我使用Smartassembly没有遇到任何问题。

这里有一份来自微软的文件。希望能对您有所帮助...虽然是2003年的，但仍可能具有相关性。

自从.Net 1以来，我一直在同一个应用程序中混淆代码，从维护的角度来看，这是一个主要的头痛问题。正如你所提到的，序列化问题可以避免，但很容易犯错并混淆不想混淆的内容。很容易破坏构建，或更改混淆模式而无法打开旧文件。此外，很难找出出了什么问题以及问题出在哪里。
我们的选择是Xenocode，如果今天我再次做出选择，我会更愿意不混淆代码或使用Dotfuscator。

我最近的项目中需要使用混淆/资源保护，发现Crypto Obfuscator是一个不错且易于使用的工具。在这个工具中，序列化问题只是设置的问题。