有没有办法防止我们的应用程序被分析或注入？ （C＃）

Question

有大量用于 C# 程序集的分析器和静态代码分析器。

只是想知道是否有什么方法可以防止被分析，因为它确实让我在被剥夺时感到有点紧张。

我已经在互联网和 stackoverflow 上进行了搜索。 似乎没有什么令我惊奇的。

我所得到的只是一些更可怕的标题，比如这些（抱歉，新用户不能发布超链接，请谷歌搜索它们）：

“汇编操作和 C#/VB.NET 代码注入”

“如何注入托管 . NET 程序集 (DLL) 到另一个进程中”

是我太担心还是什么？

顺便说一句，我们正在使用 C# 构建一个新的 winform 客户端，供银行客户进行在线交易。 我们不应该用 winform 的方式来做这件事，还是应该使用其他语言，比如 Delphi、C++？ 目前我们有一个用C++ Builder构建的winform客户端。

Answer 1

如果“分析”是指有人反编译代码并查看它，那么 VS Pro 及更高版本附带的 Dotfucstor 是一个简单（免费）的工具，可以在这里提供帮助。 有一个功能更齐全（但需要付费）的版本可以做更多事情。

为了防止有人篡改您部署的组件，请使用强名称< /a>.

Answer 2

有志者事竟成，无论是托管代码还是本机程序集。 关键是将重要信息保留在服务器端并保持对其的控制。

Answer 3

几乎任何应用程序都可以“分析和注入”。 有些比其他更多。 这就是为什么你永远不相信用户输入。 您在服务器端完全验证用户的请求，确保您不易受到缓冲区溢出、sql 注入和其他攻击媒介的影响。

混淆器会使 .NET 程序集更难分析。 使用安全密钥对程序集进行强命名可以使更改代码变得更加困难。 但是，就像数字世界中的其他事物一样，有人可以利用漏洞并绕过您采取的任何保护措施。

Answer 4

您需要决定的第一件事是什么？
混淆器仅对保护“秘密武器”算法有用，但攻击者可以简单地提取代码并将其用作黑盒。 99% 的情况下，混淆器都是浪费钱。
如果攻击者具有物理访问权限，那么您无能为力。

Answer 5

如果最终用户以管理权限运行，那么他们将能够附加调试器并修改您的代码，包括目标帐户详细信息。 我当地友好的银行给了我一张芯片和一张卡片。 密码读取器，我必须输入目标帐户的最后 n 位数字，它会使用我的银行卡芯片对其进行哈希/加密； 然后，我将设备上的代码输入银行的网络应用程序，该应用程序也可以在银行端进行检查。 这减轻了“中间人”类型的攻击......

Answer 6

安全性只有在您物理控制访问的系统上才有可能，即使这样也不能保证，只是可以实现。 您必须假设任何不在您控制的系统上执行的代码都可能并且将会受到损害。 正如罗兰·肖（Rowland Shaw）所说，对于金融机构来说，最好的选择是某种物理代币，它可以有效地为所有交易添加离线独特的组件，而攻击者在受感染的系统中操作时无法（轻易）提前知道这些交易。 即使这样，您也应该意识到这样一个事实：如果用户的计算机已被入侵，并且从那时起他使用安全令牌登录，直到会话结束，攻击者就可以自由地执行用户有权执行的任何操作，但至少在这种情况下，用户更有可能注意到欺诈活动。