.NET 程序保护实战系列 06 · 方法体加密:密钥在手才能执行的代码 06 · 方法体加密密钥在手才能执行的代码目录问题IL 明文存放在程序集中核心思路提取、加密、替换、解密执行方法体 Stub参数打包与 MethodGuard 调用DynamicMethod 运行时重建 ILILED 序列化格式异常处理器EH的重建ldstr 指令的特殊处理Token 解析owner 模块的关键作用方法选择与限制性能与安全性结语注意方法体加密MethodEncryptionStep是 TWSoft.AssemblyProtector 的高级保护功能其核心实现涉及自研的 ILED 序列化引擎和 DynamicMethod 重建算法。本文介绍整体架构和关键设计决策具体加密算法和 ILED 序列化源码不公开。1. 问题IL 明文存放在程序集中.NET 程序的 IL 代码以明文形式存储在.text节中。即使是混淆后的程序使用 dnSpy 打开右键方法 → “Edit Method Body” → 可以看到完整的 IL.method public hidebysig static float64 Calculate(float64 a, float64 b) cil managed { .maxstack 2 IL_0000: ldarg.0 IL_0001: ldarg.1 IL_0002: add IL_0003: ret }方法体加密的目标让这个方法体在静态分析时不可见只有在运行时通过正确的密钥才能解密并执行。2. 核心思路提取、加密、替换、解密执行保护时build-time: 1. 提取目标方法的完整 IL 体 ├── IL 指令字节码 ├── 局部变量签名 (local signature) ├── 异常处理器表 └── 方法签名 (返回类型、参数类型) 2. 序列化为 ILED 格式IL Encoded Data 3. 加密 → 以 ManifestResource 嵌入程序集 4. 替换原方法体为 stub → 创建 object[] 参数数组 → 加载方法 token → 调用 MethodGuard.Invoke(token, args) → 如有返回值则 unbox ret运行时run-time: 1. 首次调用 → MethodGuard.Invoke(token, args) 2. 二分查找 token 对应的加密数据 3. 解密 → 反序列化 ILED → 解析 IL EH local sig 4. 通过 DynamicMethod ILGenerator 重建完整方法体 5. 缓存 DynamicMethod 委托 → 之后调用 O(1) 6. 执行并返回结果3. 方法体 Stub参数打包与 MethodGuard 调用原方法签名floatCalculate(floata,floatb)替换后的 stub// 创建参数数组 ldc.i4.2 newarr System.Object dup ldc.i4.0 ldarg.0 box float64 stelem.ref dup ldc.i4.1 ldarg.1 box float64 stelem.ref // 加载 token ldc.i4 methodToken // 调用 MethodGuard call object MethodGuard::Invoke(uint token, object[] args) // 还原返回值 unbox.any float64 retldarg.0→ 原方法的第一个参数a注意 .NET 实例方法中ldarg.0this静态方法的ldarg.0 第一个参数4. DynamicMethod 运行时重建 IL运行时MethodGuard.Invoke解密数据后调用CreateDynamicMethod通过ILGenerator逐条发出 IL 指令// 伪代码示意非真实源码DynamicMethoddmnewDynamicMethod(,returnType,paramTypes,ownerModule);ILGeneratorildm.GetILGenerator();// 声明局部变量foreach(varlocalinlocals)il.DeclareLocal(local.Type);// 重建 ILforeach(varinstructionininstructions){switch(instruction.OpCode){caseOpCodes.Ldarg_0:il.Emit(OpCodes.Ldarg_0);break;caseOpCodes.Add:il.Emit(OpCodes.Add);break;caseOpCodes.Call:il.Emit(OpCodes.Call,ResolveMethod(instruction.Token));break;// ... 200 条指令映射 ...}}// 异常处理器foreach(varehinexceptionHandlers){il.BeginExceptionBlock();// emit try bodyil.BeginCatchBlock(eh.CatchType);// emit catch bodyil.EndExceptionBlock();}vardeldm.CreateDelegate(delegateType);5. ILED 序列化格式ILED 是我们自研的 IL 二进制序列化格式高效紧凑通常比原始 IL 体小 30-50%[Header] 4 bytes: Total size 2 bytes: Version [LocalSignature] 2 bytes: Sig length N bytes: Signature blob [ILBody] 2 bytes: IL code length N bytes: IL bytecode token resolution hints [ExceptionHandlers] 2 bytes: EH count 8 bytes per EH: Try[offset,len] Handler[offset,len] type加密后添加魔术头0xCAFEBABE存储为 ManifestResource。6. 异常处理器EH的重建DynamicMethod通过ILGenerator支持异常处理器但有以下限制不支持 fault 块finally 需要手动管理局部变量槽leave指令需要指定目标 label我们的重建器正确处理所有 EH 类型并为 finally/fault 生成补偿逻辑。7. ldstr 指令的特殊处理DynamicMethod的ResolveString不回退到 owner 模块的#US字符串堆。处理策略保护时收集所有Ldstr指令的字符串序列化到 ILED 数据中不依赖模块元数据重建时通过ILGenerator重新Emit(OpCodes.Ldstr, the string)8. Token 解析owner 模块的关键作用与虚拟化不同方法体加密有一个关键优势DynamicMethod 的 owner 模块 当前保护模块。// _ownerModule typeof(MethodGuard).Module 目标程序集DynamicMethoddmnewDynamicMethod(,returnType,paramTypes,_ownerModule);因此 IL 中的 token如call 0x0A000001可以直接在 owner 模块中解析——不需要虚拟化那样的名称反射机制。这既简化了实现也提升了运行时性能。9. 方法选择与限制自动跳过以下方法条件原因泛型方法DynamicMethod 不支持泛型实例化含ref struct局部变量SpanT等不能 boxing值类型实例方法this 指针语义复杂byref-like 返回/参数不能 boxing抽象方法 / P/Invoke / 无方法体—含ldftn/ldvirtftn函数指针无法传递通过--method-scope控制加密范围All— 所有合格方法EntryPointOnly— 仅入口点方法ByMethodName— 按名称指定--method-names Calculate;Verify10. 性能与安全性指标原生方法体加密首次调用~10ns~0.5-2ms解密DynamicMethod 创建后续调用~10ns~10ns缓存委托直接调用额外内存0 解密缓冲区 DynamicMethod 缓存首次调用有毫秒级延迟但后续调用与原生代码无异——因为 DynamicMethod 一经 JIT 编译即与普通方法无差别。11. 结语方法体加密在安全性和性能之间达到了优秀的平衡——静态分析完全无法看到方法实现运行时首次解密后性能不受影响。配合代码虚拟化可以分层保护不同敏感度的方法。下一篇将讲解JIT Hook 保护——另一种方法保护策略仅在 .NET Framework 上可用。本文由 TWSoft.AssemblyProtector 驱动。方法体加密核心源码不公开商业授权用户可获取完整实现。