.NET中的资源有多安全？

Question

从应用程序本身之外从.NET应用程序中检索嵌入式资源有多难？即使资源被压缩和普通加密，使用工具检索它们有多困难？ （我不关心数据本身，资源本身的检索的只是方法的保护）

---

编辑：

我觉得我的问题被误解了，这是少谈加密还有更多关于检索的内容，除了反射镜之外，还有什么可以使用的？

Answer 1

使用诸如.NET Reflector或.NET Resourcer之类的工具从编译后的.NET DLL中检索资源是微不足道的。

Answer 2

如果您使用应用程序中嵌入的密钥加密资源，那么通过一点逆向工程就可以轻松地检索密钥，从而获取资源。

如果您使用安全算法对它们进行加密并要求用户输入密码，那么如果没有密码，将无法提取资源。但我想这不是你想要的。我想你想阻止用户在应用程序之外使用你的资源？

如果是的话，简短的答案是：.NET中的资源不安全。

Answer 3

如果我告诉你一个有一百万美元的保险箱，那么走开，你最终会进入安全。没有技术可以保护这些资金，你唯一真正的障碍就是时间。

软件也一样。保护资源的唯一方法就是不要把它们放在有人可以的地方，给予足够的时间，去找他们。我知道的最有效的选择是将关键资源存储在您控制的服务器上。

当然，很多人得到这个错误。不管怎样，他们都允许将安全资源临时复制到用户的计算机上。在这一点上，游戏丢失了。这意味着您只能真正确保拥有自然临时克隆的资源。例如，过期的安全令牌或计算结果不会显示如何计算。

Answer 4

问题不在于.NET资源，而在于一般的安全问题。您可以将这个问题改为“我的客户端应用程序存储我不想进行反向工程的秘密”，而不是改变意图。

什么是在您的资源文件中，为什么它需要被保护？你有没有考虑过一种设计，你根本不把这些秘密存储在客户端？如果您在保护客户端机密方面进行银行业务，我认为您会感到失望。

Answer 5

下面是一些快速代码来从组件中获取资源。你决定它是多么容易和安全...

class Program 
{ 
    static void Main(string[] args) 
    { 
     var assemblies = from file in args 
         let assembly = TryLoad(file) 
         where assembly != null 
         from rName in assembly.GetManifestResourceNames() 
         select new { assembly, rName }; 

     foreach (var item in assemblies) 
      using (var rs = item.assembly 
           .GetManifestResourceStream(item.rName)) 
       SaveTo(rs, item.rName); 

    } 

    static void SaveTo(Stream stream, string name) 
    { 
     var buffer = new byte[32*1024]; 
     var bufferLen = 1; 
     using (var fs = new FileStream(name, FileMode.Create)) 
      while (bufferLen > 0) 
       if ((bufferLen = stream.Read(buffer, 0, buffer.Length)) > 0) 
        fs.Write(buffer, 0, bufferLen); 
    } 

    static Assembly TryLoad(string filename) 
    { 
     if (string.IsNullOrEmpty(filename) || 
      !File.Exists(filename)) 
      return null; 
     try 
     { 
      var fullName = Path.GetFullPath(filename); 
      return Assembly.LoadFile(fullName); 
     } 
     catch (Exception ex) 
     { 
      Debug.WriteLine(ex); 
      return null; 
     } 
    } 
}