02 · 字符串加密让反编译器的搜索功能失效目录反编译器的核武器字符串搜索整体流程从 Ldstr 到 GetString编码器模式三种加密策略XOR 块加密与 xorshift32 密钥演化ID 编码让索引看起来像随机数不可见 Unicode 命名注入代码的隐身术整数常量加密顺手保护数值运行时 Constant 类占位符驱动的动态模板相比 ConfuserEx 的改进结语1. 反编译器的核武器字符串搜索使用 dnSpy 打开一个未保护的 .NET 程序按 CtrlF 搜索 “license”、“http”、“password”——几乎所有的关键信息都藏在字符串里。字符串加密是保护的第一道防线目的就是让攻击者无法通过字符串搜索快速定位关键代码。2. 整体流程从 Ldstr 到 GetStringStringEncryptionStep 的核心逻辑publicclassStringEncryptionStep:IProtectionStep{publicstringName字符串加密;publicintOrder10;publicboolIsEnabled(ProtectOptionsoptions)options.EncryptStrings;publicvoidInject(ProtectionContextcontext){// 1. 注入 Constant 运行时类型到目标模块// 2. 创建编码器根据 StringMode: DelegateProxy/XorWithJunk/MultiLayer// 3. 替换 Mutation.Crypt 占位符为真实解密 IL// 4. 内联 ID 解码到 GetString 方法// 5. 在 Module.cctor 开头插入 Constant.Initialize() 调用// 6. 用不可见 Unicode 重命名所有注入成员// 7. 标记注入成员为不可重命名}publicvoidExecute(ProtectionContextcontext){// 1. 扫描所有方法收集 Ldstr 指令的字符串// 2. 编码字符串到加密缓冲区// 3. XOR 块加密缓冲区// 4. 替换每个 Ldstr 为 GetString(encodedId) 调用// 5. 可选加密整数常量}}3. 编码器模式三种加密策略// DelegateProxy 模式 — 在解密和调用者之间插入委托层typeof(Funcuint,string).GetConstructor(new[]{typeof(object),typeof(IntPtr)})// 静态分析只能看到 Invoke 委托无法追踪到 DecodeString// XorWithJunk 模式 — 追加随机垃圾字节// 解密时返回正确子串提取工具会被伪造内容误导// MultiLayer 模式 — 双层加密// 外层 XOR 块加密 内层字节置换使用不同的密钥4. XOR 块加密与 xorshift32 密钥演化// 生成 16 个 uint 的解密密钥staticuint[]GenerateKey(uintseed){varkeynewuint[0x10];uintnseed;for(inti0;i0x10;i){n^n12;n^n25;n^n27;key[i]n;}returnkey;}// 加密字符串数据staticuint[]Encrypt(uint[]data,uintseed){varkeyGenerateKey(seed);// 从种子生成密钥intn0;for(inti0;idata.Length;i){// 每 16 个 uint 更换一次密钥uintkkey[n%key.Length];key[n%key.Length](data[i]^k);// XOR 加密data[i]^k;}returndata;}核心特点xorshift32 周期 2^32-1性能极高每次保护使用不同的种子随机选择某个方法入口点的 RVA相同字符串在不同保护中产生完全不同的密文5. ID 编码让索引看起来像随机数// 为每个 decoder 生成唯一的 (k1, k2) 编码密钥对intk1random.Next(1,int.MaxValue);intk2random.Next();// 编码encodedId (realId * k1 k2) 0x7FFFFFFFuintEncode(intid)(uint)((id*k1k2)0x7FFFFFFF);// 解码逻辑被内联到 GetString 方法中// realId (encodedId - k2) * modInverse(k1) 0x7FFFFFFF没有 ID 编码的GetString(0)、GetString(1)、GetString(2)… 会让攻击者轻易推断出字符串的顺序。编码后变成GetString(0x8F3A2B1C)、GetString(0x2E1D5C9A)…——看起来全是随机值。6. 不可见 Unicode 命名注入代码的隐身术// 使用零宽 Unicode 字符作为注入成员的名称// U200B: Zero Width Space// U200C: Zero Width Non-Joiner// U200D: Zero Width Joiner// U2060: Word Joiner// 注入后将类的原始名称替换为不可见字符组成的字符串// 在 dnSpy 类视图中这些成员看起来是空的varinvisibleNameGenerateInvisibleName(random);typeDef.NameinvisibleName;methodDef.NameinvisibleName;同时标记注入成员为不可重命名防止被后续混淆步骤改名后无法调用// 标记此成员不可被改名MarkAsNotRenameable(clonedMethod);// ObfuscationStep 中检查boolCanRename(IDnlibDefdef)!IsMarkedAsNotRenameable(def);7. 整数常量加密顺手保护数值// ldc.i4 12345 → 拆分为// ldc.i4 (12345 ^ key)// ldc.i4 key// xorforeach(varinstrinbody.Instructions){if(instr.OpCodeOpCodes.Ldc_I4){intval(int)instr.Operand;intkeyrandom.Next();instr.Operandval^key;// 加密值// 在下一行插入 key 和 xorInsertAfter(instr,Instruction.Create(OpCodes.Ldc_I4,key),Instruction.Create(OpCodes.Xor));}}8. 运行时 Constant 类占位符驱动的动态模板运行时Constant类的核心 —— 利用Mutation占位符机制在保护时动态替换关键值internalstaticclassConstant{// 占位符 —— 保护时会被 MutationHelper 替换为真实值和 IL// Mutation.KeyI0 → 替换为 buffer 长度// Mutation.KeyI1 → 替换为 seed// Mutation.Placeholder(...) → 替换为数组初始化 IL// Mutation.Crypt(...) → 替换为真实解密循环 ILstaticFuncuint,string_fn;// 委托代理层staticbyte[]_buf;// 解密后的字符串缓冲区publicstaticvoidInitialize(){// 以下占位符在保护时被替换为真实值uintlen(uint)Mutation.KeyI0;// → 真实数据长度uintseed(uint)Mutation.KeyI1;// → 真实种子uint[]encMutation.Placeholder(newuint[len]);// → 真实密文数组uint[]keyGenerateKey(seed);for(inti0;ilen;i)enc[i]Mutation.Crypt(enc[i],key[i%16]);// → XOR 解密循环// 将解密后的数据复制到字节缓冲区_bufnewbyte[enc.Length*4];Buffer.BlockCopy(enc,0,_buf,0,_buf.Length);_fnDecodeString;// 委托绑定}// 公开入口 — 非泛型签名模糊特征publicstaticstringGetString(uintid){return_fn(id);// 通过委托间接调用解码}// 实际解码 — 根据 id 从缓冲区提取字符串staticstringDecodeString(uintid){// id 首先经过编码解码realId (id - k2) * invK1uintrealIdMutation.Placeholder(id);// → 真实解码 IL// 从 _buf[offset] 读取 UTF-8 字符串intoffsetBitConverter.ToInt32(_buf,(int)realId*4);intlengthBitConverter.ToInt32(_buf,offset);returnEncoding.UTF8.GetString(_buf,offset4,length);}}Mutation占位符类publicstaticclassMutation{// 16 个 key 占位字段 — 保护时替换为 ldc.i4 真实值publicstaticintKeyI0,KeyI1,KeyI2,KeyI3,KeyI4,KeyI5,KeyI6,KeyI7,KeyI8,KeyI9,KeyI10,KeyI11,KeyI12,KeyI13,KeyI14,KeyI15;// 占位方法 — 保护时替换为数组初始化指令序列publicstaticTPlaceholderT(Tval)val;// 占位方法 — 保护时替换为 Crypt IL 实现publicstaticuintCrypt(uintval,uintkey)0;}9. 相比 ConfuserEx 的改进特性ConfuserEx我们的实现压缩LZMA 压缩直接 XOR 加密更轻量更快GetString 方法泛型GetT(int)— 签名特征明显非泛型GetString(uint)— 更隐蔽注入成员命名保留原始名称 “Constant”不可见 Unicode 名称ID 编码无 — 直接传递索引(k1, k2) 编码密钥对委托代理无DelegateProxy 模式整数常量加密无支持 Ldc_I4/I8 XOR 拆分安全检查无验证调用方程序集参数类型保护无支持 I4/I8/U4/U8/R4/R810. 结语字符串加密是最基础但最有效的第一道防线。它让攻击者无法通过 CtrlF 定位关键代码配合不可见 Unicode 命名进一步隐藏保护代码的存在。Mutation 占位符机制是整个保护引擎的核心设计模式——运行时模板带占位符保护时动态替换——后续的方法体加密、虚拟化、防篡改都依赖同样的模式。下一篇将讲解符号混淆——如何让类名、方法名变成天书。本文由 TWSoft.AssemblyProtector 驱动。完整源码和工具请访问项目主页。