是否可以检测不受信任的程序集中的递归函数（c#）？

Question

我正在编写一些 C# 来加载第三方程序集。

如果第三方决定是恶意的，他们可以编写一个递归函数，该函数最终会出现 StackOverflowException，从而导致我的应用程序崩溃。

是否可以检测递归函数？

更新： 对于像 while(true) 或 for(;;) 这样的不良情况，我已经有了解决方案。本质上，我在单独的线程中运行第三方代码，如果该线程花费的时间超过固定的持续时间，我就会拔掉插头。这对于递归来说效果不佳，因为很快就达到了堆栈限制。

更新： 也许我歪曲了我所追求的解决方案。如果我最终收到大量故意恶意代码，我将更改应用程序以在单独的进程中运行第三方代码。然而在这个阶段，我假设代码只会因为写得不好而导致问题。

接受答案 我决定最好的方法是在单独的进程中运行第三方库。我可以运行多个进程实例，甚至可以跨进程对第三方库进行某种负载平衡。如果执行的恶意代码杀死了其中一个进程，我应该能够检测到哪个库杀死了它，将该库标记为恶意，并使用所有非恶意库重新启动该进程。

感谢大家提出的很好的建议！

Answer 1

在一般情况下做到这一点并不容易。此外，递归是一种有用的编程工具，完全禁止它并不是一个好主意。

更好的想法是在另一个进程中运行程序集，并使用进程间通信机制从受信任的进程中调用方法。

Answer 2

假设您找到了一种方法来完成不可能的任务并检测递归。伟大的。这有帮助吗？不会。没有什么可以阻止敌对程序集简单地用 throw 语句抛出异常。

此外，这是最不重要的问题。如果您有不受信任的恶意代码，它们会做比简单地抛出异常来停止进程更肮脏的事情。他们将试图窃取秘密信息、安装 rootkit，等等。敌对代码最不想做的就是抛出异常；这样做会引起人们对敌对代码的注意。它会触发将被分析的自动报告。敌对代码的作者希望避免被发现，而不是大声呼吁注意攻击！

如果您有部分受信任的第三方程序集，则使用我们为您提供的针对该具体场景的工具。与其尝试自己解决不可能的问题，不如将宝贵的时间用于使用代码访问安全系统，以实现其设计目的：处理部分信任的代码。

也许您想要研究的是 MEF，它是 VSTO 团队设计的一个框架，用于处理可能具有部分信任的托管加载项。 （多年前，我为 MEF 做过一些早期设计和安全审查工作，但我很早就离开了团队，而且无论如何都不是这方面的专家。）

Answer 3

如果您真的担心的话，可以在程序集上使用反射并反编译它以查看代码。

http://www.red-gate.com/products/dotnet-development/反射器/

另一种选择是从本质上测试程序集并对其运行一些单元类型测试。

Answer 4

如果您在 Visual Studio 中调试应用程序并禁用“仅我的代码”，您将能够在“调用堆栈”中看到递归调用。这是在 .net 中查找 stackoverflow 异常根本原因的一般建议

Answer 5

那么，在单独的线程中运行恶意程序集可能会降低此类问题的风险。但是，敌对线程可能很难或不可能关闭，因此您最好在单独的进程（由您自己的代码托管）中运行敌对代码。这为您提供了一些能力：

1. 由于您托管着恶意代码，因此您可以对其进行安全限制。
2. 该代码可以以低于默认优先级的速度运行，从而降低锁定程序或操作系统本身的可能性。
3. 如果出现任何问题，您可以终止该进程。

话虽这么说，我通常不认为拒绝服务攻击等是加载不受信任的代码时的主要问题，因为如果邪恶代码导致我的应用程序停止工作，我将停止使用邪恶代码。当邪恶的代码正在做一些我不知道的非常肮脏的事情时，我会感到担心。

最后，始终存在不允许用户将 C# 代码附加到您的应用程序的核心选项。您始终可以使用自己的特殊脚本语言来让用户访问他们需要的应用程序的任何部分。