.NET 程序保护实战系列 06 · 方法体加密:密钥在手才能执行的代码
06 · 方法体加密:密钥在手才能执行的代码
目录
- 问题:IL 明文存放在程序集中
- 核心思路:提取、加密、替换、解密执行
- 方法体 Stub:参数打包与 MethodGuard 调用
- DynamicMethod 运行时重建 IL
- ILED 序列化格式
- 异常处理器(EH)的重建
- ldstr 指令的特殊处理
- Token 解析:owner 模块的关键作用
- 方法选择与限制
- 性能与安全性
- 结语
注意:方法体加密(MethodEncryptionStep)是 TWSoft.AssemblyProtector 的高级保护功能,其核心实现涉及自研的 ILED 序列化引擎和 DynamicMethod 重建算法。本文介绍整体架构和关键设计决策,具体加密算法和 ILED 序列化源码不公开。
1. 问题:IL 明文存放在程序集中
.NET 程序的 IL 代码以明文形式存储在 .text 节中。即使是混淆后的程序,使用 dnSpy 打开,右键方法 → "Edit Method Body" → 可以看到完整的 IL:
.method public hidebysig static float64 Calculate(float64 a, float64 b) cil managed
{
.maxstack 2
IL_0000: ldarg.0
IL_0001: ldarg.1
IL_0002: add
IL_0003: ret
}
方法体加密的目标:让这个方法体在静态分析时不可见,只有在运行时通过正确的密钥才能解密并执行。
2. 核心思路:提取、加密、替换、解密执行
保护时(build-time):
1. 提取目标方法的完整 IL 体
├── IL 指令字节码
├── 局部变量签名 (local signature)
├── 异常处理器表
└── 方法签名 (返回类型、参数类型)
2. 序列化为 ILED 格式(IL Encoded Data)
3. 加密 → 以 ManifestResource 嵌入程序集
4. 替换原方法体为 stub:
→ 创建 object[] 参数数组
→ 加载方法 token
→ 调用 MethodGuard.Invoke(token, args)
→ 如有返回值则 unbox + ret
运行时(run-time):
1. 首次调用 → MethodGuard.Invoke(token, args)
2. 二分查找 token 对应的加密数据
3. 解密 → 反序列化 ILED → 解析 IL + EH + local sig
4. 通过 DynamicMethod + ILGenerator 重建完整方法体
5. 缓存 DynamicMethod 委托 → 之后调用 O(1)
6. 执行并返回结果
3. 方法体 Stub:参数打包与 MethodGuard 调用
原方法签名:
float Calculate(float a, float b)
替换后的 stub:
// 创建参数数组
ldc.i4.2
newarr System.Object
dup
ldc.i4.0
ldarg.0
box float64
stelem.ref
dup
ldc.i4.1
ldarg.1
box float64
stelem.ref
// 加载 token
ldc.i4 <methodToken>
// 调用 MethodGuard
call object MethodGuard::Invoke(uint token, object[] args)
// 还原返回值
unbox.any float64
ret
ldarg.0 → 原方法的第一个参数 a(注意 .NET 实例方法中 ldarg.0 = this,静态方法的 ldarg.0 = 第一个参数)
4. DynamicMethod 运行时重建 IL
运行时,MethodGuard.Invoke 解密数据后调用 CreateDynamicMethod,通过 ILGenerator 逐条发出 IL 指令:
// 伪代码示意(非真实源码)
DynamicMethod dm = new DynamicMethod("", returnType, paramTypes, ownerModule);
ILGenerator il = dm.GetILGenerator();
// 声明局部变量
foreach (var local in locals)
il.DeclareLocal(local.Type);
// 重建 IL
foreach (var instruction in instructions)
{
switch (instruction.OpCode)
{
case OpCodes.Ldarg_0: il.Emit(OpCodes.Ldarg_0); break;
case OpCodes.Add: il.Emit(OpCodes.Add); break;
case OpCodes.Call: il.Emit(OpCodes.Call, ResolveMethod(instruction.Token)); break;
// ... 200+ 条指令映射 ...
}
}
// 异常处理器
foreach (var eh in exceptionHandlers)
{
il.BeginExceptionBlock();
// emit try body
il.BeginCatchBlock(eh.CatchType);
// emit catch body
il.EndExceptionBlock();
}
var del = dm.CreateDelegate(delegateType);
5. ILED 序列化格式
ILED 是我们自研的 IL 二进制序列化格式,高效紧凑(通常比原始 IL 体小 30-50%):
[Header]
4 bytes: Total size
2 bytes: Version
[LocalSignature]
2 bytes: Sig length
N bytes: Signature blob
[ILBody]
2 bytes: IL code length
N bytes: IL bytecode + token resolution hints
[ExceptionHandlers]
2 bytes: EH count
8 bytes per EH: Try[offset,len] + Handler[offset,len] + type
加密后添加魔术头 0xCAFEBABE,存储为 ManifestResource。
6. 异常处理器(EH)的重建
DynamicMethod 通过 ILGenerator 支持异常处理器,但有以下限制:
- 不支持 fault 块
- finally 需要手动管理局部变量槽
leave指令需要指定目标 label
我们的重建器正确处理所有 EH 类型,并为 finally/fault 生成补偿逻辑。
7. ldstr 指令的特殊处理
DynamicMethod 的 ResolveString 不回退到 owner 模块的 #US 字符串堆。处理策略:
- 保护时收集所有
Ldstr指令的字符串 - 序列化到 ILED 数据中(不依赖模块元数据)
- 重建时通过
ILGenerator重新Emit(OpCodes.Ldstr, "the string")
8. Token 解析:owner 模块的关键作用
与虚拟化不同,方法体加密有一个关键优势:DynamicMethod 的 owner 模块 = 当前保护模块。
// _ownerModule = typeof(MethodGuard).Module = 目标程序集
DynamicMethod dm = new DynamicMethod("", returnType, paramTypes, _ownerModule);
因此 IL 中的 token(如 call 0x0A000001)可以直接在 owner 模块中解析——不需要虚拟化那样的"名称反射"机制。这既简化了实现,也提升了运行时性能。
9. 方法选择与限制
自动跳过以下方法:
| 条件 | 原因 |
|---|---|
| 泛型方法 | DynamicMethod 不支持泛型实例化 |
含 ref struct 局部变量 |
Span<T> 等不能 boxing |
| 值类型实例方法 | this 指针语义复杂 |
| byref-like 返回/参数 | 不能 boxing |
| 抽象方法 / P/Invoke / 无方法体 | — |
含 ldftn/ldvirtftn |
函数指针无法传递 |
通过 --method-scope 控制加密范围:
All— 所有合格方法EntryPointOnly— 仅入口点方法ByMethodName— 按名称指定(--method-names "Calculate;Verify")
10. 性能与安全性
| 指标 | 原生 | 方法体加密 |
|---|---|---|
| 首次调用 | ~10ns | ~0.5-2ms(解密+DynamicMethod 创建) |
| 后续调用 | ~10ns | ~10ns(缓存委托直接调用) |
| 额外内存 | 0 | + 解密缓冲区 + DynamicMethod 缓存 |
首次调用有毫秒级延迟,但后续调用与原生代码无异——因为 DynamicMethod 一经 JIT 编译即与普通方法无差别。
11. 结语
方法体加密在安全性和性能之间达到了优秀的平衡——静态分析完全无法看到方法实现,运行时首次解密后性能不受影响。配合代码虚拟化,可以分层保护不同敏感度的方法。
下一篇将讲解 JIT Hook 保护——另一种方法保护策略,仅在 .NET Framework 上可用。
本文由 TWSoft.AssemblyProtector 驱动。方法体加密核心源码不公开,商业授权用户可获取完整实现。

浙公网安备 33010602011771号