Скрыть код

[avc]

Хотелось бы эту тему раскрыть по подробней, т.к. на днях обнаружил как пользователь копается в моих исходниках. Наличие JustDecompile у него на рабочем столе открыло мне глаза, что даже простой инженер в 2 клика может залезть в мои исходники. Поэтому у меня несколько более конкретных вопросов по теме:
1. Все обфускаторы платные? Даже если мне достаточно просто тотального все переименовать?
2. Нашел невнятный комментарий, что вроде бы в C# есть атрибут для пометки части кода как unmanaged и такой код уже не виден через reflection. Есть такое? Простые декомпиляторы без деобфускаторов с таким кодом не справятся?
3. Я отправляю из плагина почту по SMTP. Соответсвенно в коде лежит логин/пароль. Для защиты от просмотра бинарника я пароль зашифровал. Но метод дешифровки в декомпилированном коде не просто виден - он прекрасно работает...  Ключ шифрования тоже бросается в глаза. Что посоветуете, где спрятать пароль?

[Дмитрий Загорулькин]

1. Все обфускаторы платные? Даже если мне достаточно просто тотального все переименовать?

В Visual Studio 2017 обнаружил недавно дополнительный компонент - Dotfuscator. Можно попробовать с помощью него обфусцировать сборку. Сам ещё не пробовал - руки не доходят.
Если что, устанавливается через Visual Studio Installer. Надо покопаться и найти его в дополнительных компонентах.

[Владимир Шу]

В Visual Studio 2017 обнаружил недавно дополнительный компонент - Dotfuscator.

Он есть и в VS 2015 Update 3. Я не запускал и не пробовал, мне пока без надобности.

[Дмитрий Загорулькин]

Я помню он был ещё в версии 2010 "из коробки". Потом в следующих версиях пропал и был доступен только отдельно за деньги. Теперь вот снова появился в виде версии "Community Edition": https://docs.microsoft.com/ru-ru/visualstudio/ide/dotfuscator/?view=vs-2017
Хе-хе:

Ваша копия Microsoft Visual Studio 2017 включает копию PreEmptive Protection - Dotfuscator Community Edition (или Dotfuscator CE), доступную для бесплатного личного использования.

Почитал внимательно лицензионное соглашение. Вроде как, нигде не сказано, что только для некоммерческих разработок. Делается только упор на то, что лицензия должна использоваться лично разработчиком.

[avc]

dotfuscator проверил. Работает, все переименовывает, кроме public. Пришлось повозиться, заменяя где возможно на internal. Автокад не возражает.... вроде бы. Надо еще по тестировать, но на первый взгляд все хорошо. Код делает чудовищно не читаемым. Спасибо!
Первый вопрос снят.

[Александр Ривилис]

2. Нашел невнятный комментарий, что вроде бы в C# есть атрибут для пометки части кода как unmanaged и такой код уже не виден через reflection. Есть такое? Простые декомпиляторы без деобфускаторов с таким кодом не справятся?

Ты ничего не путаешь? Может речь идёт про unsafe, а не про unmanaged? В любом случае от декомпилятора это не спасёт. Спасти может только если мудуль написал на mixed C++, когда часть кода managed (и соответственно может быть декомпилирован) и часть кода native и соответственно .NET-декомпиляторы с ним ничего сделать не могут.

[Александр Ривилис]

3. Я отправляю из плагина почту по SMTP. Соответсвенно в коде лежит логин/пароль. Для защиты от просмотра бинарника я пароль зашифровал. Но метод дешифровки в декомпилированном коде не просто виден - он прекрасно работает...  Ключ шифрования тоже бросается в глаза. Что посоветуете, где спрятать пароль?

Я бы сделал native (написанную на C++) dll-ку с функцией - дешифровки (ключ зашит в ней) и ей передавал бы строку для дешифровки. Впрочем и отправку e-mail можно в ней реализовать. Это конечно не обезопасит от нормального хакера.

[Дмитрий Загорулькин]

Первый вопрос снят.

А я  уж подумал, что обфускатор снимет оставшиеся вопросы

2. Нашел невнятный комментарий, что вроде бы в C# есть атрибут для пометки части кода как unmanaged и такой код уже не виден через reflection. Есть такое?

Есть ссылочка почитать о чём там речь? Вроде как, никаких простых решений для борьбы с декомпиляцией C# кода не существует. Я так понимаю, что это актуально для языка C++. На C# неуправляемый код не написать. Рекомендуют делать такие куски неуправляемого кода, пряча внутрь важную функциональность. Неуправляемый код действительно довольно сложно декомпилировать. Пока писал, Александр Наумович уже всё объяснил, в принципе

3. Я отправляю из плагина почту по SMTP. Соответсвенно в коде лежит логин/пароль. Для защиты от просмотра бинарника я пароль зашифровал. Но метод дешифровки в декомпилированном коде не просто виден - он прекрасно работает...  Ключ шифрования тоже бросается в глаза. Что посоветуете, где спрятать пароль?

Чем глубже - тем лучше. Насколько фантазии хватит . У меня есть некоторые хитрости для усложнения жизни взломщикам. Но они не сказать что прямо железобетонные. Ну и раскрывать их хотя бы из соображения безопасности не хочу. Тут ещё такой момент - автору хорошо видно где и что смотреть. А когда с чужим, да ещё и обфусцированным кодом разбираться придётся - сдаётся мне, что даже неспрятанные пароли будет тяжеловато найти. Без нормальных имён, без комментариев. Задачка явно непростая, я думаю.

[avc]

Ты ничего не путаешь?

Столько начитался по теме, что конечно же все перепуталось в голове. Наверно unsafe, да. И ссылку уже теперь не найду. Но раз ни что не мешает декомпилятору, то значит и вопрос про атрибуты отпадает.

[avc]

Чем глубже - тем лучше.

Я просто подумал, что есть какие-то общие рекомендации или даже может специальный API. Задачка-то вроде общеупотребимая. Но раз каждый пилит свой велосипед - буду пилить, куда деваться....

[Дмитрий Загорулькин]

Я просто подумал, что есть какие-то общие рекомендации или даже может специальный API.

Ну кое-что есть: https://docs.microsoft.com/ru-ru/dotnet/standard/security/cryptographic-services
Только чтобы в этом всём разбираться, надо хорошенько изучить теорию криптографии.

[Привалов Дмитрий]

Интересная тема, тоже в свое время изучал форумы по защите NET, информации не очень много, все что я понял:
1. Языки типа .NET и JAVA более уязвимы, чем C++, BASIC и т.д., в силу своей природы кроссплатформенности,  у них описание типов данных вынесено отдельно и хорошо читаются. Т.е. обфускаторы прячут имя Ваших классов, методов, но базовые типы данных .NET, а возможно и типы из dll AutoCAD будут читаться.
2. Обфускаторов много, есть бесплатные, эффективность их разная. Но вот как определить после которого код легко взломать а который "крепкий орешек"? Поделитесь ссылками если есть на сравнение.
3. Деобфускаторы существуют и позволяют легко прочитать структуру программ с "корявыми именами", останется только в полуавтоматическом режиме вновь присвоить имена классам и методам на свой вкус . Есть ролики на ютубе, вроде все просто.
4. В комментах к статьям видел что человек жаловался, что после платного обфускатора хакер получил его исходники и потом по почте прикалывался и говорил что взломать было легко.
 
Если увидели инфу что какой-то обфускатор взломан или не надежен кидайте инфу сюда, всем будет полезно знать. :-)

[Александр Пекшев aka Modis]

В меня конечно сейчас камни полетят, но.... может кто-то привести пример, факт, того, как у кого-то "сперли" плагин для автокада и нанесли этим финансовый (или еще какой) урон?

[Александр Ривилис]

В меня конечно сейчас камни полетят, но.... может кто-то привести пример, факт, того, как у кого-то "сперли" плагин для автокада и нанесли этим финансовый (или еще какой) урон?

Подробностей раскрывать не буду, хотя прошло очень много лет, но в своё время защита МАЭСТРО, которая была построена на ключах Sentinel была взломана. Мы сами были виноваты, так было одно место, через которое проходила проверка на уровне Да/Нет, которую нашли и обошли. Очевидно, что какой-то финансовый урон был. Пришлось тогда заняться защитой всерьез и потратить на неё несколько месяцев. Конечно сказать, что МАЭСТРО - это "плагин для автокада" будет неким преуменьшением, но в принципе это конечно плагин или множество плагинов...

[Дмитрий Загорулькин]

может кто-то привести пример, факт, того, как у кого-то "сперли" плагин для автокада и нанесли этим финансовый (или еще какой) урон?

Так ведь не побегут же к разработчику хвастаться: "смотри, мы твой плагин сломали и бесплатно юзаем!". Вскрыли, обошли защиту, установили всем в какой-нибудь шаражкиной конторе на 20 проектировщиков и пользуются тихонько.