检查 C# 代码混淆的效率

Question

我正在评估几个用于保护 WPF 应用程序中的代码的混淆器。
为了检查给定程序集上每个混淆器完成的工作结果，我使用 Red Gate 的 .Net Reflector。每次混淆之后，我都会使用 .NET Reflector 打开程序集，看看它是什么样子。

是否足够？ .NET Reflector 的结果是否可以被视为混淆质量的指标，或者我应该尝试一些其他工具？ （不是任何可能的此类工具，而是从实际常识的角度来看）。

Answer 1

Reflector 的结果应该足以表明任何随意的反编译尝试的结果如何。某些混淆器会将代码混淆到程序集甚至无法在 Reflector 中打开的程度。

任何愿意尝试比这更深入的人都不会轻易被比其他人更高级的混淆所吓倒。

Answer 2

如果 Reflector 和 ILSpy 完全拒绝反编译生成的程序集，那就最好了。我知道存在能够做到这一点的混淆器。

Answer 3

我的观点是：“是否足够”取决于您的目标应用程序。混淆从来都不是 100% 安全的代码，它总是让潜在攻击者的代码反汇编变得足够困难，但这一切都取决于“潜在攻击者”会花多少精力来反汇编您的应用程序。而且 .NET Reflector 是一个查看器，就像您提到的那样，因此无论它是否安全，都可以通过查看来推断您，例如：

字符串是否加密

，参数是否加密

，类名和字段是否 加密像（PWD_USER）一样被加密
...

问候。