混淆前必须确认的三个前提是:反射调用需加[Obfuscation(Exclude=true)]或保留规则、检查第三方库是否已预混淆、调试符号.pdb须与混淆后程序集一同发布。
不是所有 C# 项目都适合或需要混淆。如果你的程序依赖 System.Reflection 动态加载类型、使用 JSON 序列化(如 Newtonsoft.Json 或 System.Text.Json)、或通过字符串名称调用方法(如 Type.GetType("MyClass")),混淆后大概率直接崩溃。混淆本质是重命名 + 控制流扁平化 + 字符串加密,它不改变逻辑,但会破坏所有基于原始名称的运行时行为。
[Obfuscation(Exclude = true)] 或对应工具的保留规则.pdb)必须和混淆后程序集一起发布,否则异常堆栈无法定位真实源码行Visual Studio 2025 自带的“Dotfuscator Community Edition”已停止更新,且对 .NET 6+ 的单文件发布(publish-self-contained=true)支持极差;而 Obfuscar 是开源、轻量、命令行驱动、持续维护的主流选择,能处理 .net5.0 及以上目标框架。
dotnet tool install -g Obfuscar.GlobalTool
obfuscar.xml 必须显式声明要保留的入口点,例如:
obfuscar obfuscar.xml,输出目录即为混淆后程序集
混淆不是“点了就完事”的操作,它引入的是静默失败风险。以下验证缺一不可:
System.TypeLoadException 或 MissingMethodException —— 这说明关键类型/方法被误删或重命名typeof(MyClass).GetProperties() 返回的仍是预期字段名(若需保持,必须用 ildasm MyApp.dll 或 dnSpy 打开混淆后 DLL,检查敏感字符串(如 API Key、SQL 模板)是否已被加密(Obfuscar 默认启用 stringEncryption)混淆能有效阻止 casual reverse engineering(比如新手用 ILSpy 看一眼就放弃),但对有经验者只是增加几分钟工作量。真正敏感的逻辑(如 license 校验、密钥派生)应移出客户端,放到服务端完成;本地只留 token 或一次性 nonce。混淆后的程序仍可被 dnlib 重写、被调试器下断点、被内存 dump 提取明文字符串——这些都不是混淆工具设计用来解决的问题。
如果你发现团队把混淆当作“安全兜底”,那真正该修的不是构建脚本,是架构设计。