科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道如何保护你的DLL和Code不被利用

如何保护你的DLL和Code不被利用

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

大家做项目开发一般都是分层的,比如UI层,业务层,数据访问层。业务层引用数据访问层的DLL(比如dataAccess.dll),并使用dataAccess.dll中的方法。当项目完成并给客户用了,可有些心里BT的客户这个时候也可以请个稍微懂NET的人来引用你的dataAccess.dll并调用其中的方法搞破坏。比如可以直接使用里面的ChangePwd(string UserName,string Pwd)方法把其他用户的密码改了,这个时候就你就.......

来源:比特网 2009年6月13日

关键字: 网络入侵 攻击防范

  • 评论
  • 分享微博
  • 分享邮件

  大家做项目开发一般都是分层的,比如UI层,业务层,数据访问层。业务层引用数据访问层的DLL(比如dataAccess.dll),并使用dataAccess.dll中的方法。当项目完成并给客户用了,可有些心里BT的客户这个时候也可以请个稍微懂NET的人来引用你的dataAccess.dll并调用其中的方法搞破坏。比如可以直接使用里面的ChangePwd(string UserName,string Pwd)方法把其他用户的密码改了,这个时候就你就.......

  好了,该开始说怎么保护我们的代码了:

  首先我们需要把我们的程序集做成强命名的程序集。

  这里我们在.NET 命令提示中输入sn -k c:\test.snk 创建一个新的随机密钥对并将其存储在 c:\test.snk 中

  然后新建立类库ClassLibrary1,里面只有个类文件Class1.cs,代码如下:

  1using System;

  2

  3namespace ClassLibrary1

  4{

  5 public class Class1

  6 {

  7 public Class1()

  8 {

  9 //

  10 // TODO: 在此处添加构造函数逻辑

  11 //

  12 }

  13

  14 public string Insert()

  15 {

  16 return "ok";

  17 }

  18 }

  19}

  20

  AssemblyInfo.cs代码:

  //............其他的就用默认

  [assembly: AssemblyKeyFile("c:\\test.snk")] // 连接上面用强命名工具SN.exe生成的文件.

  接着创建个WindowApplication来调用我们的ClassLibrary1,代码:

  private void button1_Click(object sender, System.EventArgs e)

  {

  MessageBox.Show(new ClassLibrary1.Class1().Insert());

  }不修改WindowApplication的AssemblyInfo.cs。

  在这里就可以直接运行了,不过大家都看的出来,这样是能成功调用Class1中的方法的。

  现在让我们来修改下Class1.cs,代码:

  using System;

  using System.Security.Permissions;

  namespace ClassLibrary1

  {

  [StrongNameIdentityPermissionAttribute(SecurityAction.LinkDemand, PublicKey =

  "00240000048000009400000006020000002400005253413100040000010001000551684edd1600"+

  "8ccbdd337b1cf1490490d97fe0048c5f3629cc4f5104578499eace9b2a94115022edd620def472"+

  "8b4f088291cfa77a40659afba611fdafbb7894b93a64049d439936bd0cd8dc0704625aeb735892"+

  "e9eb3f910a49a2925af10515d935654d7adac5567ff6d780d23d587de0ff4d271da7b30680fa88"+

  "a47a4ba4")]

  public class Clas

  s1

  {

  public Class1()

  {

  //

  // TODO: 在此处添加构造函数逻辑

  //

  }

  public string Insert()

  {

  return "ok";

  }

  }

  }

  然后再编译后运行windowapplication调用class1中的方法就会出错。

  

  这里的StrongNameIdentityPermissionAttribute是NET提供的CAS(Code Access Security)中的1个类,具体可参考MSDN,SecurityAction.LinkDemand 是要求直接调用方已被授予了指定的权限,这里即windowapplication要授予了权限才行,如果使用SecurityAction.Demand要求调用堆栈中的所有高级调用方都已被授予了当前权限对象所指定的权限。他们的区别是:如果windowapplication已授权访问,而还有个windowapplication2(未授权访问)通过调用windowapplication中的button1_Click方法来调用class1,这个时候如果使用SecurityAction.LinkDemand就能成功调用,而使用SecurityAction.Demand windowapplication2就不能调用,windowapplication 在这2种情况下都能调用。

  说到这里大家一定再问PublicKey=后面一串那么长的字符串怎么来。PublicKey后面的字符串是你开始生成的c:\test.snk文件中保存的公钥。那怎么才能看到这个公钥了,照样是用SN.EXE。

  输入sn -p c:\test.snk c:\publicKey.snk (从 test.snk 中提取公钥并将其存储在 publicKey.snk 中)

  再输入sn -tp c:\publicKey.snk (显示公钥信息)

  上面这个命令就能看到PublicKey后面的字符串了,还想什么啊,把那字符串copy下来啊。

  最后大家一定在关心这个时候windowapplication 要怎么调用class1了,其实也简单,只要把windowapplication 的AssemblyInfo.cs修改为:

  [assembly: AssemblyKeyFile("c:\\test.snk")]

  到这里就一切OK了,大家都看到最关键的就是test.snk文件了,所以一定要保护好你自己的test.snk文件。

  下面是我的代码,大家可以下载看看,在使用的时候记的要把我KEY文件夹下的test.snk copy到c盘。

  不然会出错^_^。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章