.NET 程序保护实战系列 06 · 方法体加密:密钥在手才能执行的代码

06 · 方法体加密:密钥在手才能执行的代码

目录

  1. 问题:IL 明文存放在程序集中
  2. 核心思路:提取、加密、替换、解密执行
  3. 方法体 Stub:参数打包与 MethodGuard 调用
  4. DynamicMethod 运行时重建 IL
  5. ILED 序列化格式
  6. 异常处理器(EH)的重建
  7. ldstr 指令的特殊处理
  8. Token 解析:owner 模块的关键作用
  9. 方法选择与限制
  10. 性能与安全性
  11. 结语

注意:方法体加密(MethodEncryptionStep)是 TWSoft.AssemblyProtector 的高级保护功能,其核心实现涉及自研的 ILED 序列化引擎和 DynamicMethod 重建算法。本文介绍整体架构和关键设计决策,具体加密算法和 ILED 序列化源码不公开


1. 问题:IL 明文存放在程序集中

.NET 程序的 IL 代码以明文形式存储在 .text 节中。即使是混淆后的程序,使用 dnSpy 打开,右键方法 → "Edit Method Body" → 可以看到完整的 IL:

.method public hidebysig static float64 Calculate(float64 a, float64 b) cil managed
{
  .maxstack 2
  IL_0000: ldarg.0
  IL_0001: ldarg.1
  IL_0002: add
  IL_0003: ret
}

方法体加密的目标:让这个方法体在静态分析时不可见,只有在运行时通过正确的密钥才能解密并执行


2. 核心思路:提取、加密、替换、解密执行

保护时(build-time):

1. 提取目标方法的完整 IL 体
   ├── IL 指令字节码
   ├── 局部变量签名 (local signature)
   ├── 异常处理器表
   └── 方法签名 (返回类型、参数类型)

2. 序列化为 ILED 格式(IL Encoded Data)

3. 加密 → 以 ManifestResource 嵌入程序集

4. 替换原方法体为 stub:
   → 创建 object[] 参数数组
   → 加载方法 token
   → 调用 MethodGuard.Invoke(token, args)
   → 如有返回值则 unbox + ret
运行时(run-time):

1. 首次调用 → MethodGuard.Invoke(token, args)
2. 二分查找 token 对应的加密数据
3. 解密 → 反序列化 ILED → 解析 IL + EH + local sig
4. 通过 DynamicMethod + ILGenerator 重建完整方法体
5. 缓存 DynamicMethod 委托 → 之后调用 O(1)
6. 执行并返回结果

3. 方法体 Stub:参数打包与 MethodGuard 调用

原方法签名:

float Calculate(float a, float b)

替换后的 stub:

// 创建参数数组
ldc.i4.2
newarr System.Object
dup
ldc.i4.0
ldarg.0
box float64
stelem.ref
dup
ldc.i4.1
ldarg.1
box float64
stelem.ref

// 加载 token
ldc.i4 <methodToken>

// 调用 MethodGuard
call object MethodGuard::Invoke(uint token, object[] args)

// 还原返回值
unbox.any float64
ret

ldarg.0 → 原方法的第一个参数 a(注意 .NET 实例方法中 ldarg.0 = this,静态方法的 ldarg.0 = 第一个参数)


4. DynamicMethod 运行时重建 IL

运行时,MethodGuard.Invoke 解密数据后调用 CreateDynamicMethod,通过 ILGenerator 逐条发出 IL 指令:

// 伪代码示意(非真实源码)
DynamicMethod dm = new DynamicMethod("", returnType, paramTypes, ownerModule);
ILGenerator il = dm.GetILGenerator();

// 声明局部变量
foreach (var local in locals)
    il.DeclareLocal(local.Type);

// 重建 IL
foreach (var instruction in instructions)
{
    switch (instruction.OpCode)
    {
        case OpCodes.Ldarg_0: il.Emit(OpCodes.Ldarg_0); break;
        case OpCodes.Add: il.Emit(OpCodes.Add); break;
        case OpCodes.Call: il.Emit(OpCodes.Call, ResolveMethod(instruction.Token)); break;
        // ... 200+ 条指令映射 ...
    }
}

// 异常处理器
foreach (var eh in exceptionHandlers)
{
    il.BeginExceptionBlock();
    // emit try body
    il.BeginCatchBlock(eh.CatchType);
    // emit catch body
    il.EndExceptionBlock();
}

var del = dm.CreateDelegate(delegateType);

5. ILED 序列化格式

ILED 是我们自研的 IL 二进制序列化格式,高效紧凑(通常比原始 IL 体小 30-50%):

[Header]
  4 bytes: Total size
  2 bytes: Version

[LocalSignature]
  2 bytes: Sig length
  N bytes: Signature blob

[ILBody]
  2 bytes: IL code length
  N bytes: IL bytecode + token resolution hints

[ExceptionHandlers]
  2 bytes: EH count
  8 bytes per EH: Try[offset,len] + Handler[offset,len] + type

加密后添加魔术头 0xCAFEBABE,存储为 ManifestResource。


6. 异常处理器(EH)的重建

DynamicMethod 通过 ILGenerator 支持异常处理器,但有以下限制:

  • 不支持 fault 块
  • finally 需要手动管理局部变量槽
  • leave 指令需要指定目标 label

我们的重建器正确处理所有 EH 类型,并为 finally/fault 生成补偿逻辑。


7. ldstr 指令的特殊处理

DynamicMethodResolveString 不回退到 owner 模块的 #US 字符串堆。处理策略:

  • 保护时收集所有 Ldstr 指令的字符串
  • 序列化到 ILED 数据中(不依赖模块元数据)
  • 重建时通过 ILGenerator 重新 Emit(OpCodes.Ldstr, "the string")

8. Token 解析:owner 模块的关键作用

与虚拟化不同,方法体加密有一个关键优势:DynamicMethod 的 owner 模块 = 当前保护模块

// _ownerModule = typeof(MethodGuard).Module = 目标程序集
DynamicMethod dm = new DynamicMethod("", returnType, paramTypes, _ownerModule);

因此 IL 中的 token(如 call 0x0A000001)可以直接在 owner 模块中解析——不需要虚拟化那样的"名称反射"机制。这既简化了实现,也提升了运行时性能。


9. 方法选择与限制

自动跳过以下方法:

条件 原因
泛型方法 DynamicMethod 不支持泛型实例化
ref struct 局部变量 Span<T> 等不能 boxing
值类型实例方法 this 指针语义复杂
byref-like 返回/参数 不能 boxing
抽象方法 / P/Invoke / 无方法体
ldftn/ldvirtftn 函数指针无法传递

通过 --method-scope 控制加密范围:

  • All — 所有合格方法
  • EntryPointOnly — 仅入口点方法
  • ByMethodName — 按名称指定(--method-names "Calculate;Verify"

10. 性能与安全性

指标 原生 方法体加密
首次调用 ~10ns ~0.5-2ms(解密+DynamicMethod 创建)
后续调用 ~10ns ~10ns(缓存委托直接调用)
额外内存 0 + 解密缓冲区 + DynamicMethod 缓存

首次调用有毫秒级延迟,但后续调用与原生代码无异——因为 DynamicMethod 一经 JIT 编译即与普通方法无差别。


11. 结语

方法体加密在安全性和性能之间达到了优秀的平衡——静态分析完全无法看到方法实现,运行时首次解密后性能不受影响。配合代码虚拟化,可以分层保护不同敏感度的方法。

下一篇将讲解 JIT Hook 保护——另一种方法保护策略,仅在 .NET Framework 上可用。


本文由 TWSoft.AssemblyProtector 驱动。方法体加密核心源码不公开,商业授权用户可获取完整实现。

posted @ 2026-07-08 11:23  翼帆  阅读(140)  评论(2)    收藏  举报