1.        名称混淆 － 反混淆

名称混淆返混淆，基本上是不太可能的事，因为以前的名称已经换掉了，也没有第二个名称备份表，所以根本无法还换。

不过，可以把不可见字符转换为可见字符，长字符串换成短字符串。

有两种方法可以做处理：

1．   在MetaData中有一个区域叫做 _STRING 它存放了所有名称字符串，只要修改这里的内容，即可，此方法需要对元数据结构特别熟悉

2．   如果你对元数据不了解，没关系，你可以用ILDasm把混淆后的程序集反编译，然后一个一个的对应改过来，再用ilAsm编译，一样可以达到反混淆的作用

其实，对名于名称来说，真的没有多大用处，不用反混淆也行，免得浪费自己的时间。

2.        流程混淆 － 反混淆

流程混淆，在上面已经给出例子。它才是有用的一种混淆方式。它改变流程的存放序顺，从而达到静态反编译的功能。（名称混淆还是可以反编译）

不过，不管怎样，他没有办法去阻止读取IL，这就是流程混淆的天生不足。我们来看看如何对流程反混淆吧。

还是以上面的例子进行操作。

首先特别说明一下： br.s 行号 br 行号 都是强行跳转指令，而流程混淆主要是得用这样的语句进行逻辑连接的。

所以，我们就需要对照着被混淆过的代码，跟着一句一句的逻辑关系，把语句拉出来重新组合。

组合出来后，代码如下：

      L_0000: newobj instance void [mscorlib]System.Random::.ctor()

      L_0005: stloc.1 

      L_0006: ldstr ""

      L_0021: stloc.2 

      L_0022: ldc.i4.0 

      L_0023: stloc.0 

      L_0024: br.s L_0032

      L_0026: ldloc.2 

      L_0027: ldarg.1 

      L_0028: ldloc.1 

      L_0029: callvirt instance float64 [mscorlib]System.Random::NextDouble()

      L_002e: ldarg.2 

      L_002f: conv.r8 

           L_000d: mul 

      L_000e: conv.i4 

      L_000f: ldelem.u2 

      L_0010: box char

      L_0015: call string string::Concat(object, object)

      L_001a: stloc.2 

      L_001b: ldloc.0 

      L_001c: ldc.i4.1 

      L_001d: add 

      L_001e: stloc.0 

      L_0032: ldloc.0 

      L_0033: ldarg.3 

      L_0034: ble.s L_0026

      L_0036: ldloc.2 

      L_0037: ret 

其实，反流程混淆也相当的容易，只要按照执行流程加入特定的条件即可以得到代码的序顺。

为此，我特别写了一个反流程混淆的工具（Deflow）。将上面的代码反混淆后，得到如下代码：

L_0000: newobj instance void [mscorlib]System.Random::.ctor()

L_0001: stloc.1

L_0002: ldstr ""

L_0003: stloc.2

L_0004: ldc.i4.0

L_0005: stloc.0

L_0006: br.s L_0017

L_0007: ldloc.2

L_0008: ldarg.1

L_0009: ldloc.1

L_000A: callvirt instance float64 [mscorlib]System.Random::NextDouble()

L_000B: ldarg.2

L_000C: conv.r8

L_000D: mul

L_000E: conv.i4

L_000F: ldelem.u2

L_0010: box char

L_0011: call string string::Concat(object, object)

L_0012: stloc.2

L_0013: ldloc.0

L_0014: ldc.i4.1

L_0015: add

L_0016: stloc.0

L_0017: ldloc.0

L_0018: ldarg.3

L_0019: ble.s L_0007

L_001A: ldloc.2

L_001B: ret

反流程混淆，并不难，说句实话，它只是一个特征的积累，你不断的分析被混淆后的特征，然后进行分析，写出反混淆的算法，即可开发出反混淆工具。上面的程序并不长，你可以手工的进行反混淆，但如果很长，那么反混淆就是一件痛苦的事了，但我只用Deflow，请请点一下按钮，就可以得到我感兴趣的代码。而且，只要是编程的人，不要你全面撑握NET什么的知识，只要你对字符串操作特别熟悉，再加上一些些聪明和经验，反流程混淆不是一件难事。

下面，我给大家介绍我反混淆的步骤：

1．   拿到混淆过后的程序集（当然，是流程混淆过的）

2．   使用我修改过的Ildasm进行反编译

3．   得到一个IL文件（明文格式的文本文件）

4．   打开文件，找到自己感兴趣的代码，把那一段方法取出

5．   使用Deflow反混淆

6．   把反混淆后的代码Copy回去

7．   使用ilasm 重新编译il文件

8．   使用Reflector查看，ok，已经可以显示C#或VB的代码了。

由于，反编译出来的il是明文，所以，只要你对字符串操作比较熟，你就可以做一个非常完善的针对工程的反混淆工具。反混淆原理就是如此，不管反混淆强度如何改变，它也无法脱理这个原理，所以即使是流程混淆，也无法保证程序代码的安全性。

这里特别说明一下：Deflow纯属研究性质，所以功能非常有限，我也不会发布和公开，在研究的过程中发现有些混淆器相当狡猾，它把程序正的跳转和混淆跳转再次混淆，这种情况，我们有时候必须要手动干涉，不过，这种情况并不会带来多少工作量。至少我现在还没有手工改过。

总之，反流程混淆的工具，是每个程序员都可以自己行开发的，因为起点太低，任何人了解原理后都可以对其进行研究，并开发出反混淆的工具。所以，流程混淆并不理想！

更重要的是，即使流程混淆了，也可以进行反编译，从而，关键代码还是会被修改并再次发布，危险性依然存在。我就不明白为什么MS要提供ilDasm和ilAsm。这不是制造木马的好工具吗？把别个的程序反编译，在里面某个铵钮中加入自己的代码。再编译，打包，当正版发布，神不知，鬼不觉的让你中马，结果机器的主人还要找软件作者去算账……呵呵，怕怕啊。

下面，我们将介绍一下最新的MaxtoCode的原理。有兴趣的朋友不要错过。