通过不公开来保证安全并不像比他聪明得多的人所证明的那样有效 我们两个。如果你必须保护你的客户的通信协议，那么你是 道德上有义务使用最好的代码，这些代码是公开的，并由专家全面审查。

这适用于人们可以检查代码的情况。如果您的应用程序是在嵌入式微处理器上运行的，那么您可以选择一个具有密封功能的微处理器，这使得在运行时不可能检查代码或观察更多的琐碎参数，例如当前使用情况。(是的，除了硬件入侵技术，你要小心地拆卸芯片，使用先进的设备来检查单个晶体管上的电流。)

我是x86逆向工程汇编程序的作者。如果你准备感冒的话 惊喜，寄给我你竭尽全力的结果。(通过我的网站联系我。) 在我所看到的答案中，很少有人会给我带来实质性的障碍。如果你想看的话 如何复杂的逆向工程代码工作，你真的应该研究网站 逆向工程挑战。

你的问题需要澄清一下。你怎么能保守协议的秘密，如果 计算机代码可以进行逆向工程吗?如果我的协议是发送一个RSA加密消息(甚至是公钥)，通过保持协议的秘密，你能得到什么? 出于所有实际目的，检查器将面对一系列随机比特。

问候阿尔伯特

要了解自己，请阅读有关代码混淆的学术文献。亚利桑那大学的克里斯蒂安·科尔伯格是这一领域的著名学者;哈佛大学的Salil Vadhan也做了一些不错的工作。

我在这方面落后了，但我知道的基本思想是，你不能阻止攻击者看到你将执行的代码，但你可以用没有执行的代码包围它，攻击者花费指数级的时间(使用最知名的技术)来发现你的代码的哪些片段被执行了，哪些没有。

但只要有合适的时间框架，代码分析人员都可以解决这些问题。

如果你给人们一个他们能够运行的程序，那么只要有足够的时间，他们也能够对它进行逆向工程。这就是程序的本质。一旦二进制文件可供想要破译它的人使用，您就无法阻止最终的逆向工程。毕竟，计算机必须能够破译它才能运行它，而人类只是一台较慢的计算机。

可能最好的选择仍然是使用虚拟化，这引入了另一层需要绕过的间接/混淆，但正如SSpoke在他的回答中所说，这种技术也不是100%安全的。

关键是你不会得到终极保护，因为根本就没有这种东西，即使有，也不会持续太久，这意味着它一开始就不是终极保护。

凡是人组装起来的东西，都可以拆卸。

通常情况下，(正确的)拆卸通常是(一点或更多)更困难的任务，所以你的对手必须更熟练，但你可以假设总有这样的人，这是一个安全的赌注。

如果您希望保护某些内容不受REs的影响，那么您必须至少了解REs使用的常见技术。

这样的话

互联网并不是真正的资源预防逆向工程，而是描述了大量关于如何逆向工程的信息

表现出你的坏态度。我并不是说要使用或嵌入保护，你必须知道如何打破它，但要明智地使用它，你应该知道它的弱点和陷阱。你应该明白这一点。

(有一些软件以错误的方式使用保护，使得这种保护实际上不存在。为了避免含糊，我给你举一个在网上简单描述的例子:牛津英语词典第二版CD-ROM - v4。您可以在以下页面了解SecuROM使用失败的原因:16、32或64位Windows环境下CD-ROM上的牛津英语词典(OED):硬盘安装、错误、字处理宏、网络、字体等)

每件事都需要时间。

如果你是这门学科的新手，没有几个月甚至几年的时间来学习正则表达式，那么就使用其他人提供的可用解决方案。这里的问题很明显，它们已经在那里了，所以你已经知道它们不是100%安全的，但制作自己的新保护只会给你一种被保护的错误感觉，除非你非常了解逆向工程和保护的艺术状态(但你不知道，至少目前不知道)。

软件保护的目的是吓唬新手，拖延常见的正则，并让经验丰富的正则在她/他(希望很有趣)到达应用程序中心后面带微笑。

在商业谈话中，你可能会说这都是为了尽可能地推迟竞争。

(看看Philippe Biondi和Fabrice Desclaux在Black Hat 2006上展示的Skype中的银针)。

你知道有很多关于RE的东西，所以开始阅读吧。：）

我说过虚拟化，所以我将给你一个链接到EXETOOLS论坛的一个示例线程:最佳软件保护:Themida还是Enigma protector ?这可能会对你进一步的搜索有所帮助。

不行，你不能保护你的代码不被反汇编。你所能做的就是为业务逻辑设置服务器，并使用webservice为你的应用程序提供它。当然，这种情况并不总是可行的。

安全网哨兵(原阿拉丁)。不过要注意的是——他们的API很烂，文档也很烂，但与他们的SDK工具相比，这两者都很棒。

I've used their hardware protection method (Sentinel HASP HL) for many years. It requires a proprietary USB key fob which acts as the 'license' for the software. Their SDK encrypts and obfuscates your executable & libraries, and allows you to tie different features in your application to features burned into the key. Without a USB key provided and activated by the licensor, the software can not decrypt and hence will not run. The Key even uses a customized USB communication protocol (outside my realm of knowledge, I'm not a device driver guy) to make it difficult to build a virtual key, or tamper with the communication between the runtime wrapper and key. Their SDK is not very developer friendly, and is quite painful to integrate adding protection with an automated build process (but possible).

Before we implemented the HASP HL protection, there were 7 known pirates who had stripped the dotfuscator 'protections' from the product. We added the HASP protection at the same time as a major update to the software, which performs some heavy calculation on video in real time. As best I can tell from profiling and benchmarking, the HASP HL protection only slowed the intensive calculations by about 3%. Since that software was released about 5 years ago, not one new pirate of the product has been found. The software which it protects is in high demand in it's market segment, and the client is aware of several competitors actively trying to reverse engineer (without success so far). We know they have tried to solicit help from a few groups in Russia which advertise a service to break software protection, as numerous posts on various newsgroups and forums have included the newer versions of the protected product.

最近，我们在一个较小的项目上尝试了他们的软件许可解决方案(HASP SL)，如果您已经熟悉HL产品，那么这个解决方案就足够简单了。它似乎有效;目前还没有关于盗版事件的报道，但这款产品的需求要低得多。

当然，没有什么保护措施是完美的。如果有人有足够的动机，并且有大量的现金可以烧，我相信HASP提供的保护是可以规避的。