Discussion :

[Mast3rMind]

Bonjour à tous,

Je constate que les exécutables C# sont facilement décompilables et que n'importe qui disposant d'un logiciel de décompilation ou de rétro-ingénierie peut accéder librement à du code afin d'en étudier le contenu.

Je pose donc la question légitime suivante: quelle est la meilleure façon de protéger mon code C# contre la décompilation?

Je connais un peu la méthode d'obfuscation, mais j'ai un peu de crainte à l'utiliser car cela semble pouvoir engendrer d'autres problèmes reliés à la réflection, entre autre.

Les alternatives du type: "Utiliser un autre langage comme C++" ne sont bien entendu pas une option.

Pour infos, cet article de Microsoft France est bien intéressant: Visual Studio 2005 et l'obfuscation

Si quelqu'un a de bonnes idées, elles sont les bienvenues! Merci!

[Thomas Lebrun]

Obfuscation est la réponse à ta question: à toi de chercher plus d'infos à ce sujet

[theMonz31]

salut

une autre alternative testé ici (dans un cours ou un test , je ne sais plus), serait d'utiliser l'outil Xenocode qui a pour effet de te produire un executable ou une dll entierement au format natif (code x86).. ce qui veut dire qu'ensuite que seul au debuggueur assembleur tu pourras analyser le code... par contre, l'effet négatif est que ton programme va bien grossir car l'outil va intégrer dans ton exe l'ensemble des librairies utilisées compilées en natif....

genre : 40 Ko pour ton prg initiale devient 2 Mo apres traitement

L'outil n'est pas gratuit, mais pour une entreprise, il ne coute pas cher et je pense qu'une telle solution est un super alternative à l'utilisation d'un obfuscateur qui ne fait que rentre "moins" lisible ton code

The Monz, Toulouse

[cinemania]

pour les 2mo au lieu des 40kg..; si tu as l'habitude comme moi des programmes écrits en C++ builder... tu as l'habitude des exe qui explosent en terme de taille

par contre c'est vrai que Xenocode32 est payant, mais bon... comme deja dit... si ta société investi dans Visual Studio... c'est pas Xenocode qui va la ruiner, et puis au moins comme cela tu es tranquil.

[Mast3rMind]

Merci pour les conseils.

Je suis en train d'essayer la version d'évaluation de Xenocode, c'est vraiment un outil puissant. Il fonctionne beaucoup mieux chez moi que Dotfuscator.

[Thomas Lebrun]

salut

une autre alternative testé ici (dans un cours ou un test , je ne sais plus), serait d'utiliser l'outil Xenocode qui a pour effet de te produire un executable ou une dll entierement au format natif (code x86).. ce qui veut dire qu'ensuite que seul au debuggueur assembleur tu pourras analyser le code... par contre, l'effet négatif est que ton programme va bien grossir car l'outil va intégrer dans ton exe l'ensemble des librairies utilisées compilées en natif....

genre : 40 Ko pour ton prg initiale devient 2 Mo apres traitement

L'outil n'est pas gratuit, mais pour une entreprise, il ne coute pas cher et je pense qu'une telle solution est un super alternative à l'utilisation d'un obfuscateur qui ne fait que rentre "moins" lisible ton code

The Monz, Toulouse

L'outil Xenocode a été présenté sur Dvp lors d'un test. Je le sais, c'est moi qui ait fait le test Et je peux te garantir que cet outil fait de l'obfuscation de code, à moins que cela n'ait changé dans les versions récentes

[theMonz31]

salut

beh disons thomas que j'ai testé Xenocode il y a 1 mois environ et que le code produit n'était pas déssassemblable avec un outil comme reflector puisqu'il considerait que l'executable n'était pas du CLR.... donc, j'aurais tendance à penser au vue de la documentation fournie par le fabricant de ce produit que c'est réellement un assemblage natif qui est généré et non du MSIL

The Monz, Toulouse

[Louis-Guillaume Morand]

pour avoir testé les deux, moi j'ai eu une préférence pour {smartassembly}
http://lgmorand.developpez.com/dotnet/smartassembly/

il obfusque mais ca reste du MSIL et surtout c'est son reporting de bug qui est super bien foutu. Fini log4net, ou plein de try catch au niveau de l'IHM, ca pete, mais ca envoi le rapport sur un serveur et là tout est géré: regroupement, analyse, etc.
c'est créé par un seul codeur et c'est du super boulot pour le prix

[Thomas Lebrun]

salut

beh disons thomas que j'ai testé Xenocode il y a 1 mois environ

Ah vi

Tandis que la version que j'ai testé date de .... Janvier 2005 (http://morpheus.developpez.com/xenocode/) donc il est pas étonnant qu'il y ait eu des MAJ/changements