.NET 中的序列化和混淆

Question

我有一个二进制文件，我想对其进行混淆并分发给用户。假设我使用二进制文件的未混淆版本来使用现成的 .NET 二进制格式化程序来序列化数据。然后我们可以用混淆的二进制文件反序列化数据吗？

我想分发混淆的二进制文件和序列化数据。如果上述问题的答案是肯定的，我可以在用户之间共享序列化数据。否则，我将不得不向每个用户提供单独的序列化数据。

Answer 1

混淆的二进制数据和序列化数据之间似乎存在混淆。如果您使用默认序列化器序列化您的类，则类名称和属性/字段值将用作该序列化数据中的字符串 - 因此，如果您混淆二进制文件，则使用该二进制文件的序列化数据将具有混淆的名称和非混淆名称。如果执行以下任一操作，模糊二进制文件将无法读取由模糊二进制文件创建的序列化数据：

1. 对序列化类使用类重命名
2. 对序列化类使用成员重命名

以下是一些选项解决这个问题：

1. 我已经有一段时间没有使用它了（所以你需要验证它在你的情况下是否有效），但是如果你使用二进制格式化程序，那么你可以控制数据如何存储在序列化中通过提供处理 SerializationInfo 和 StreamingContext 的构造函数来创建文件。如果您通过谷歌搜索示例，您应该会找到一个（这是我找到的一个：将对象序列化到文件）。您可能找不到很多关于使用此方法的新文章，因为大多数人觉得它不是很有趣，但是它确实是指定类如何使用二进制格式化程序保存自身和重新填充自身的最简单方法。

   在您必须实现的构造函数中，您使用键/值对的字符串来进行序列化 - 在混淆中，这些字符串可能会被加密（这是可以的），并且属性设置语句将被重命名并与您的混淆类/成员名称 - 因此它应该适用于混淆和非混淆程序集。

2. 另一个选项可以从混淆中排除您正在序列化的类，并且只加密数据文件。

Answer 2

看错问题了。当二进制文件被混淆时，当类名/命名空间发生更改等时，您需要小心。这不仅会在混淆/非混淆的二进制文件之间中断，而且通常也会在不同版本之间中断。

该产品显然不包括标记为： http://www.ssware.com/cryptoobfuscator /obfuscator-net.htm （这不是推荐，我从未使用过 - 您必须对其进行测试，看看成本是否值得）。

除此之外，您可以根据要序列化的数据量编写自定义序列化器。

---

[原始答案]

为什么要混淆数据？我只能想象这是为了阻止某人编辑它或阻止某人阅读内容。

如果是为了防止某人编辑它，那么我可以建议您包含数据的哈希值，然后不要费心去混淆它。

如果是为了防止有人阅读它，那么我建议您在数据序列化后对其进行加密。

两者都有很多例子，但如果您想要一个例子，请告诉我。

Answer 3

您是否尝试过使用EazFuscator？它允许一些自定义重命名方案，以便您在某些情况下保留确切的名称，例如外部方法。但它并未与最新版本的 .NET 4.0+ 或 WCF 保持同步。

您还可以使用 .NET Reactor，这是另一种混淆器服务，其功能远远超出了 EazFuscator 和 Dotfuscator，但它确实有成本。

.NET Reactor 还允许代码加密，而不是混淆，正如之前所建议的，这将解决问题。