关于隐藏代码要记住的第一件事:不是所有的代码都需要隐藏。

最终目标:我对大多数软件程序的最终目标是能够出售不同的许可证，这些许可证将打开和关闭我的程序中的特定功能。

最佳技术:我发现构建一个像WordPress提供的钩子和过滤器系统，绝对是迷惑对手的最佳方法。这允许您加密某些触发器关联，而无需实际加密代码。

这样做的原因是，您希望加密尽可能少的代码。

了解你的破解者:了解这一点:破解代码的主要原因不是因为恶意分发许可，实际上是因为需要更改你的代码，而他们真的不需要分发免费副本。

入门:撇开少量要加密的代码，其余的代码应该尝试塞到一个文件中，以增加复杂性和可理解性。

准备加密:你将在我的系统中分层加密，这也将是一个非常复杂的过程，所以构建另一个程序来负责加密过程。

第一步:使用base64名称来混淆所有内容。完成之后，将混淆的代码base64，并将其保存到一个临时文件中，该文件稍后将用于解密和运行此代码。有意义吗?

我重复一遍，因为你会一次又一次地这样做。您将创建一个base64字符串，并将其保存到另一个文件中，作为将被解密和呈现的变量。

第二步:您将把这个临时文件作为一个字符串读入并混淆它，然后将它作为base64并将其保存到第二个临时文件中，该文件将用于解密并为最终用户呈现它。

第三步:重复第二步，你想重复多少次都行。一旦你让它正常工作，没有解密错误，然后你就会想要开始为你的对手埋地雷。

雷区一:你一定要把你收到通知这件事绝对保密。因此，在第2层构建一个破解尝试安全警告邮件系统。这将让你知道你的对手的细节，如果有任何事情是错误的。

地雷二:依赖。你不希望你的对手能够运行第1层，而没有第3层、第4层或第5层，甚至没有实际设计的程序。因此，请确保在第一层中包含某种终止脚本，如果程序不存在，该脚本将被激活，或在其他层中。

我相信你能想出你自己的地雷，玩得开心。

需要记住的事情:你可以加密你的代码，而不是base64。这样，简单的base64就不会解密程序。

奖励:记住，这实际上是你和对手之间的一种共生关系。我总是在第一层里面放一条评论，评论祝贺破解者，并给他们一个促销码，以便从你那里获得现金奖励。

让现金奖励意义重大，但不涉及偏见。我通常会说500美元左右。如果你的男朋友是第一个破解密码的人，那就付钱给他，成为他的朋友。如果他是你的朋友，他就不会分发你的软件。问问他是怎么做到的，你可以如何改进!

好运！

使代码难以进行逆向工程称为代码混淆。

你提到的大多数技术都很容易解决。他们专注于添加一些无用的代码。但是无用的代码很容易被发现和删除，留下一个干净的程序。

为了有效地混淆，您需要使程序的行为依赖于正在执行的无用部分。例如，与其这样做:

a = useless_computation();
a = 42;

这样做:

a = complicated_computation_that_uses_many_inputs_but_always_returns_42();

或者不这样做:

if (running_under_a_debugger()) abort();
a = 42;

这样做(其中running_under_a_debugger不应该很容易被识别为测试代码是否在调试器下运行的函数-它应该将有用的计算与调试器检测混合在一起):

a = 42 - running_under_a_debugger();

有效的混淆并不是仅仅在编译阶段就能做到的。编译器能做的，反编译器也能做。当然，您可以增加反编译器的负担，但这不会有太大的帮助。有效的混淆技术，就其存在而言，包括从第一天开始编写混淆的源代码。让你的代码自修改。你的代码中充斥着从大量输入中得到的计算跳跃。例如，而不是简单的调用

some_function();

这样做，你碰巧知道some_data_structure中精确的位的预期布局:

goto (md5sum(&some_data_structure, 42) & 0xffffffff) + MAGIC_CONSTANT;

如果你认真对待混淆，那就在你的计划中增加几个月的时间;混淆视听代价不菲。请务必考虑到，到目前为止，避免人们对您的代码进行逆向工程的最好方法是使其无用，这样他们就不会费心了。这是一个简单的经济考虑:如果对他们来说价值大于成本，他们就会逆向工程;但提高他们的成本也会大大提高你的成本，所以尽量降低他们的价值。

既然我已经告诉过你，混淆是困难和昂贵的，我要告诉你，无论如何，它不适合你。你写

目前我正在研究的协议绝不能被检查或理解，为了各种人的安全

这是一个危险的信号。它是通过默默无闻来保证安全的，而默默无闻的记录非常糟糕。如果协议的安全性依赖于人们不知道协议，那么你已经输了。

推荐阅读:

安全圣经:Ross Anderson的《安全工程》 混淆的圣经:由Christian Collberg和Jasvir Nagra开发的Surreptitious软件

有一件事到目前为止还没有被提及:

您可以在自己的端(服务器端，例如由REST API调用)运行部分代码。这样，逆向工程师就完全无法访问代码。

当然，这只适用于

延迟 交通量 计算和I/O功率 隐私问题

不会阻止服务器端执行(部分)您的代码。

起初，虚拟机中受保护的代码似乎不可能进行逆向工程。Themida封隔器

但它不再那么安全了。无论你如何打包你的代码，你总是可以对任何加载的可执行文件进行内存转储，并使用任何反汇编程序(如IDA Pro)进行反汇编。

IDA Pro还提供了一个漂亮的汇编代码到C源代码转换器，尽管生成的代码看起来更像一个指针/地址数学混乱。如果你把它与原来的比较，你可以修复所有的错误，并撕下任何东西。

关于隐藏代码要记住的第一件事:不是所有的代码都需要隐藏。

最终目标:我对大多数软件程序的最终目标是能够出售不同的许可证，这些许可证将打开和关闭我的程序中的特定功能。

最佳技术:我发现构建一个像WordPress提供的钩子和过滤器系统，绝对是迷惑对手的最佳方法。这允许您加密某些触发器关联，而无需实际加密代码。

这样做的原因是，您希望加密尽可能少的代码。

了解你的破解者:了解这一点:破解代码的主要原因不是因为恶意分发许可，实际上是因为需要更改你的代码，而他们真的不需要分发免费副本。

入门:撇开少量要加密的代码，其余的代码应该尝试塞到一个文件中，以增加复杂性和可理解性。

准备加密:你将在我的系统中分层加密，这也将是一个非常复杂的过程，所以构建另一个程序来负责加密过程。

第一步:使用base64名称来混淆所有内容。完成之后，将混淆的代码base64，并将其保存到一个临时文件中，该文件稍后将用于解密和运行此代码。有意义吗?

我重复一遍，因为你会一次又一次地这样做。您将创建一个base64字符串，并将其保存到另一个文件中，作为将被解密和呈现的变量。

第二步:您将把这个临时文件作为一个字符串读入并混淆它，然后将它作为base64并将其保存到第二个临时文件中，该文件将用于解密并为最终用户呈现它。

第三步:重复第二步，你想重复多少次都行。一旦你让它正常工作，没有解密错误，然后你就会想要开始为你的对手埋地雷。

雷区一:你一定要把你收到通知这件事绝对保密。因此，在第2层构建一个破解尝试安全警告邮件系统。这将让你知道你的对手的细节，如果有任何事情是错误的。

地雷二:依赖。你不希望你的对手能够运行第1层，而没有第3层、第4层或第5层，甚至没有实际设计的程序。因此，请确保在第一层中包含某种终止脚本，如果程序不存在，该脚本将被激活，或在其他层中。

我相信你能想出你自己的地雷，玩得开心。

需要记住的事情:你可以加密你的代码，而不是base64。这样，简单的base64就不会解密程序。

奖励:记住，这实际上是你和对手之间的一种共生关系。我总是在第一层里面放一条评论，评论祝贺破解者，并给他们一个促销码，以便从你那里获得现金奖励。

让现金奖励意义重大，但不涉及偏见。我通常会说500美元左右。如果你的男朋友是第一个破解密码的人，那就付钱给他，成为他的朋友。如果他是你的朋友，他就不会分发你的软件。问问他是怎么做到的，你可以如何改进!

好运！

不行，你不能保护你的代码不被反汇编。你所能做的就是为业务逻辑设置服务器，并使用webservice为你的应用程序提供它。当然，这种情况并不总是可行的。