Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Darmowe obfuskatory dla .NET

Obfuskacja (zaciemnianie kodu) jest techniką mającą na celu, takie przekształcenie kodu, aby jego odczytanie było maksymalnie utrudnione. Jednocześnie transformacja nie może zakłócić działania programu.

Technika jest użyteczna, w przypadkach gdy chcemy zapobiec, utrudnić analizę kodu programu. Jest to niezwykle ważne dla aplikacji pisanych w językach, których wynikowe programy są w postaci kodu pośredniego, interpretowanego bezpośrednio na maszynie klienckiej (C#, Java).

Obfuskacja nie daje 100% bezpieczeństwa. Jej celem jest maksymalne utrudnienie inżynierii wstecznej, dokładnej analizy programu.

Najczęściej aplikacje do obfuskacji zaciemniają kod poprzez:
- zmianę układu: zmiana nazw zmiennych, formatowania (spacje, znaki specjalne) itp.
- zmianę danych: odseparowanie zmiennych, zmiana długości życia zmiennej
- zmiana kontroli: zmiana przebiegu, dodatkowe warunki dla pętli, wstawienie wyrażeń, metod nie wpływający na ogólną pracę aplikacji

Przykład działania obfuskatorów:

Oryginalny kod przed kompilacją:

Kod uzyskany z pliku exe, poprzez dekompilację:

Kod uzyskany z pliku exe (z obfuskacją), poprzez dekompilację:

Z racji tego, iż obfuskatory są narzędziami niezbędnymi w pracy developerów, ich ceny nie są małe. Wahają się od 100$ do ponad 1000$ (albo i duużo więcej) za jedno stanowisko.

Spróbowałem poszukać darmowych rozwiązań dla technologi .NET, które w warunkach domowych lub małych firm, mogą przez początkowy okres działalności, zastąpić płatne wersje. Oto co udało mi się znaleźć:

Eazfuscator.NET

http://eazfuscator.netBardzo proste w obsłudze narzędzie (przeciągnij i upuść). Aplikacja używa wielu metod obfuskacji i można zastosować ją do większości projektów .NET. Niestety nie obsługuje bardziej zagnieżdżonych crossreferencji. Mimo wszystko polecam na początek!

Skater .NET Obfuscator Freeware Light Edition

http://www.rustemsoft.com/freeware_obfuscator.htmBiedniejsza, ograniczona, wersja aplikacji płatnej. Dużo opcji odnośnie obfuskacji. Czasem używam, gdy Eazfuscator.NET nie daje sobie rady z crossreferencjami.

CodeFort Free Edition

http://codefort.org/downloadDarmowa, ograniczona wersja w stosunku do płatnej Professional. Szybka i bez zbędnych rozbudowanych opcji. Używam w trudnych sytuacjach, gdy Eazfuscator.NET odmawia posłuszeństwa.

Dotfuscator Community Edition

http://www.preemptive.com/products/dotfuscator/compare-editions Dostarczony z wyższymi wersjami Visual Studio. Uboższa wersja Dotfuscator Professional Edition.

Phoenix Protector

http://ntcore.com/phoenix.phpCiekawa aplikacja. Prosta w obsłudze. Podobno wynikowy kod nie jest specjalnie wymyślny. Nie testowałem dłużej, nie wiem czemu nie mogłem się do niej przekonać, może ze względu na to, iż Eazfuscator.NET wydał mi się lepszy.

Assemblur

http://www.metapropeller.com/Obfuskuje zarówno kod natywny jak i zarządzany. Działa jedynie dla niezbyt zagłębionych crossreferencji. Otrzymujemy go w postaci wtyczki do Visual Studio.

Z ostatniej chwili:

Orange Heap

http://orangeheap.blogspot.com/Świeżynka, pierwsza, publiczna wersja wydana 7 września 2011. Wersja obecnie udostępniona czasem łapie zawias i po zrobieniu obfuskacji nie zapisuje nigdzie zmian. Jednakże widać, że projekt ma szanse na zaistnienie w śród darmowych obusfkatorów.

A jak by się komuś nudziło:

Obfuscar

http://code.google.com/p/obfuscar/Program wywoływany z konsoli. Bez większych rewelacji.

NetOrbiter

http://www.zolohouse.com/wow/NetOrbiter/index.htmlAplikacja w wersji beta/demo, raczej jako ciekawostka.

SharpObfuscator

http://sharpobfuscator.codeplex.com/Nierozwijana już od kilku lat. Kolejna ciekawostka w świecie obfuskacji .NET.

Gorąco polecam Eazfuscator.NET razem z Skater .NET LE. Ten pierwszy, mimo niesamowicie prostej obsługi, jest zaawansowanym obfuskatorem. Jeśli zaś czasem trzeba obfuskować jakieś pliki z zaawansowanymi corssreferencjami, warto skorzystać z Skater .NET LE.

Z zaciekawieniem będę również obserwował Orange Heap.

Aplikacje nie dają 100% pewności zatajenia kodu, ale dzięki nim, chociaż utrudnimy analizę po dekompilacji naszej aplikacji (np.świetnym NET Reflector'em).

Dziękuję i Pozdrawiam

 

windows oprogramowanie programowanie

Komentarze

0 nowych
kwpolska   6 #1 09.09.2011 15:33

zatajenie kodu? po co? to nie ma sensu.

djfoxer   18 #2 09.09.2011 15:41

@kwpolska
Żartujesz? Załóżmy piszesz kompercyjną aplikację, którą następnie przekazujesz dla kogoś z zewnątrz. Jeśli została ona napisana w języku, którego pliki wynikowe są w postaci kodu pośredniego, możesz np. .NET Reflector'em jednym kliknięciem odtworzyć cały projekt!

Czujesz już o co tu chodzi i czemu ludzie za obfuskatory biorą grubą kasę? ;)

Johnathan   4 #3 09.09.2011 19:59

Cena obfuskatorów jest chyba oczywista - jakoś trzeba zarabiać. W pełni rozumiem całą sytuacje bo też nie chce żeby ktoś grzebał w kodzie źródłowych moich aplikacji.

tfl   8 #4 09.09.2011 20:02

o ile temat jest mi dobrze znany z powodu kontaktow (raczej niechetnych i nielubianych) z javascriptem, o tyle nie przypuszczalem, ze do tego stopnia dokladna moze byc dekompilacja. byc moze kod jest z przykladu jest zbyt prosty? czy tak jest zawsze?

  #5 09.09.2011 20:55

@tfl z tego co pamiętam podczas kompilacji do bytecode kompilator robi pewne optymalizacje jednak nie są one tak duże jak np. w przypadku kompilowania przez gcc kodu C. Większe optymalizacje lecą podczas wykonywania programu ale program musi być odpowiednio długi. Ale mogę się mylić obecnie głółwnie zajmuje się C i PLC

przemek1234   7 #6 09.09.2011 21:03

Jeżeli chodzi o .NET to za pomocą narzędzia ILSpy (darmowego i open source) odtworzyłem cały kod mojego narzędzia użytkowego mojego programu i ponownie skompilowałem, a program wyglądał i działał bezbłędnie. Z Javą jest chyba podobnie (nie wiem dokładnie, raczej nie piszę w niej, tylko trochę próbowałem).

  #7 09.09.2011 21:12

Zaryzykuję stwierdzenie, że tak jest z każdym językiem kompilowanym do postacji pośredniej.

djfoxer   18 #8 09.09.2011 21:43

@tfl
Jeśli nie zastosujesz obfuskacji w aplikacjach napisach w tego typu językach, można odtworzyć cały projekt. Korzystając z .NET Reflectora, odzyskałem w dość złożonym projekcie, całą strukturę katalogów, wszystkie plik z klasami itp., a nawet program stworzył gotowy plik solucji dal Visual Studio!

Czasem nie jest to takie kolorowe, np. po dekomplilacji obfuskowanego pliku, elementy w typach enum tracą swoje nazwy. np.:

enum Days {Sat, Sun, Mon, Tue, Wed, Thu, Fri};

po dekompilacji obfuskowanego pliku możemy mieć coś takiego:

enum Days {#1, #2, #3, #4, #5, #6, #7};

matzu   5 #9 09.09.2011 22:07

Ładnie to wszystko zebrałeś. Choć ja zawsze zastanawiałem się nad sensem istnienia tego typu narzędzi. Prawda jest taka, że jeśli ktoś chce odtworzyć oryginalny kod programu, to to zrobi (ot, taka natura CIL-a), a obfuskacja jedynie spowoduje, że będzie to trwało dłużej. Nic poza tym.

djfoxer   18 #10 09.09.2011 22:32

@matzu
"obfuskacja jedynie spowoduje, że będzie to trwało dłużej"
Ja bym dodał jeszcze, że na początku odsieje głównie ciekawskich i amatorów chcących zerknąć do kodu.

matzu   5 #11 09.09.2011 22:39

@djfoxer
Fakt, na pewno może to być zniechęcające.

mcywinski   3 #12 10.09.2011 11:07

Taki odsiew sprawi przynajmniej, że X% potencjalnych ciekawskich odpadnie. Lepiej żeby kod naszej aplikacji zobaczyło mniej niż więcej osób, prawda?

mcywinski   3 #13 10.09.2011 11:08

Taki odsiew sprawi przynajmniej, że X% potencjalnych ciekawskich odpadnie. Lepiej żeby kod naszej aplikacji zobaczyło mniej niż więcej osób, prawda?

przemek1234   7 #14 10.09.2011 19:23

Przynajmniej widzę, że są tu ludzie, którzy potrafią trzeźwo myśleć i którym nie uderzył stallmanizm do głowy.

PS. Żeby nie było. Nie ma nic przeciwko upublicznianiu kodu źródłowego, ale jednak komercyjne aplikacje też muszą istnieć (na czymś trzeba zarabiać), a już na pewno nie można publikować kodu gier sieciowych (tych poważnych, tzn. które naprawdę przyciągają ludzi), bo to tylko ułatwi konstruowanie tzw. hacków. A obrażanie się na producenta drukarki, że sterowniki udostępnił jedynie w wersji binarnej to gruba przesada.

matzu   5 #15 10.09.2011 21:42

@przemek1234
Kod, który został poddany obfuskacji wciąż jest publiczny. Jedynym sposobem na faktyczne ukrycie wrażliwego kodu przed niepożądanymi osobami jest wykonywanie go po stronie serwera.

  #16 11.09.2011 20:23

@przemek1234

Komercyjnie zarabia się na całościowym podejściu do klienta: aplikacja, wsparcie, rozszerzenia.

Gry sieciowe, chmm... obfuskacja tylko trochę utrudni napisanie hack-a

Ja nie wymagam, by producent drukarki dał sterownik, niech udostępni informacje pozwalające na napisanie własnego

djfoxer   18 #17 11.09.2011 22:00

Dobrym pomysłem jest pisanie aplikacji, które jak to określił matzu, wrażliwy kod mają na serwerze, a reszta aplikacji może znajdować się u klienta. Co innego, że nie zawsze jest to możliwe. Dlatego obfuskacjia to dość ciekawy temat.

  #18 22.09.2011 14:07

dziś odnowione Orange Heap. Nowa wersja naprawia wykryte wady w poprzedniej wersji i dodając następujące właściwości:
- "Rename Namespaces" option
- "Rename Policy" option
- Update Summary View

djfoxer   18 #19 23.09.2011 22:58

@Anonim
Dzięki za info. Będę musiał przetestować nową wersję, gdyż w starszej wersji obfuskowane dllki czasem wyrzucały błąd (typy generyczne?).