5

我正在尝试让 {smartassembly} .NET 混淆器与我的系统一起使用。我目前将用户数据存储在一系列序列化的字典类中,然后反序列化这些类以取回数据。我已经忽略了汇编版本信息,只是因为那样会让生活变得痛苦。该代码改编自 MSDN

//to avoid cross-versioning problems
public sealed class CrossVersionDeserializationBinder : SerializationBinder {
    public override Type BindToType(string assemblyName, string typeName) {
        Type typeToDeserialize = null;

        typeToDeserialize = Type.GetType(String.Format("{0}, {1}",
            typeName, assemblyName));

        return typeToDeserialize;
    }
}

问题是,现在我的混淆应用程序将忽略版本信息,但无法读取非混淆应用程序保存的数据,反之亦然。我们需要一个非混淆版本来调试应用程序,所以这对我们来说是一个相当大的展示。有什么办法可以解决这个问题?我不应该混淆数据类吗?这似乎是一个相当大的安全漏洞。

4

2 回答 2

7

也许考虑一个不与类型和字段名称绑定的序列化程序?例如,protobuf-net是一个二进制序列化程序,但对每个成员使用数字标签集(通过属性)。这表示:

  • 序列化根本不依赖于程序集版本
  • 字段名称信息不在序列化文件中
  • (由上述)代码是否被混淆并不重要
  • (并且)该文件不能用于轻易破解混淆(尽管数据可能仍暗示意图,除非加密)

例如:

[ProtoContract]
public class Foo {
    [ProtoMember(1)]
    public string Bar {get;set;}
}

在这里,1是标识文件中成员的所有内容。这里的关键是它是基于契约的,因此可以在以后使用不相关的类型进行反序列化:

[ProtoContract]
public class a12 {
    [ProtoMember(1)]
    public string a {get;set;}
}

(这很好,因为混淆保留了元数据,IIRC)。

将此与其他基于合同的序列化程序(例如XmlSerializeror DataContractSerializer)进行对比 - 您将被迫将成员名称放在属性中,这几乎会使混淆变得毫无意义:

[DataContract]
public class a12 {
    [DataMember(Name="Bar")]
    public string a {get;set;}
}
于 2009-02-05T06:32:07.540 回答
-1

混淆首先不能提供安全性。因此,您可能需要考虑放弃它,期间。

我看到的两个选项是:

  1. 不要混淆这些类型。这将使事情正常进行。
  2. 编写您自己的序列化程序代码。

由于您通过混淆一无所获,因此我会选择#1。

于 2009-02-05T02:47:18.353 回答