在 C# / .NET 中运行应用程序之前检查 DLL 是否真实/正确

Question

您好，我正在尝试弄清楚如何确保提供的 DLL 是正确的。 原因是我们的分布式解决方案是由许多小型 DLL 构建的，每个 DLL 都包含应用程序的某些部分，有时我们会推出其中一些的新版本。

这不是“更新问题”，而是简单 - 我们如何检查是否：

1. 其正确的二进制/汇编

2. 客户/客户端是否已篡改该文件，并可能将其替换为具有类似功能的同名文件之一以返回错误值？

多种原因

这可以用于版权保护/许可证测试或其他重要的验证问题，所以我试图弄清楚MD5校验和+某种汇编信息是否足够？ （如果是这样，如何访问程序集详细信息或类似信息？）

当然，当您可以反编译 .NET DLL 时，没有什么是万无一失的，但正是因此，我们希望确保有人不只是反编译我们的函数列表，然后写入自己的替换 DLL我们的“哦，太重要了”DLL。

我们的原因是当我们遇到因错误或目的而毁坏这些的客户时，调试/支持所需的麻烦量（我们不关心原因，我们只是尽力防止大多数可能的错误）。

Answer 1

我看到两个选项：

1. 数字签名。您需要购买数字证书，但是一旦您使其发挥作用，您就可以对文件的来源非常有信心。还有一个优点是，您的程序不会在 Windows Vista 及更高版本中被标记为来自“未知发布者”。

2. 哈希。您可以使用 MD5（或更好的 SHA-1）哈希值。非常容易实现，但可以解决保护问题（尽管这样做并不简单）。

Answer 2

在 Visual Studio 中，您可以将引用指向库的“特定版本”。您只需在引用的属性中将默认的“False”更改为“True”即可。这将为您处理程序集信息的查找。使用绑定重定向覆盖它很简单，但这会阻止程序在意外安装错误版本的情况下尝试运行。

正如 @Alberto Martinez 提到的，我确实建议进行数字签名，以获得针对故意篡改的最佳保护。