Обфускація (програмне забезпечення)

Обфуска́ція (від лат. obfuscare — затіняти, затемнювати; англ. obfuscate — робити неочевидним, заплутаним, збивати з пантелику) або заплу́тування чи знечи́тнення коду — приведення початкового коду або виконуваного програмного коду до вигляду, який зберігає його функціональність, але ускладнює аналіз, розуміння алгоритму роботи і модифікації при декомпіляції.

«Заплутування» коду може здійснюватися на рівні алгоритму, початкового коду та/або асемблерного коду. Для створення заплутаного асемблерного коду можуть використовуватися спеціалізовані компілятори, які використовують неочевидні або недокументовані можливості середовища виконання програми. Існують також спеціальні програми, що здійснюють обфускацію, які називаються обфуска́торами (англ. Obfuscator).

• Ускладнення декомпіляції/зневадження та вивчення програм з метою виявлення функціональності.
• Ускладнення декомпіляції пропрієтарних програм з метою запобігання зворотної розробки або обходу DRM і систем перевірки ліцензій.
• Порушення авторських прав програмістів і приховування авторства. Парадокс у тому, що використовується це переважно в пропрієтарних програмах.
• Оптимізація програми з метою зменшення розміру працюючого коду і (якщо використовується мова, яка не компілюється) прискорення роботи.
• Демонстрація неочевидних можливостей мови і кваліфікації програміста (якщо проводиться вручну, а не інструментальними засобами).

На JavaScript, VBScript і подібних скрипт-мовах користувачу доступний початковий код програми. В цьому випадку форматуванням тексту й заміною імен можна зробити текст менш прочитним.

Початковий код:

 int COUNT = 100;
 float TAX_RATE = 0.2;
 for (int i=0; i<COUNT; i++)
 {
   tax[i] = orig_price[i] * TAX_RATE;
   price[i] = orig_price[i] + tax[i];
 }

Код після обфускації:

 for(int a=0;a<100;a++){b[a]=c[a]*0.2;d[a]=c[a]+b[a];}

Зазвичай, обфускація на рівні машинного коду зменшує швидкість виконання і відповідно збільшує час виконання програми. Тому вона застосовується в критичних до безпеки, але не критичних до швидкості місцях програми, таких як перевірка реєстраційного коду.

Найпростіший спосіб обфускації машинного коду — вставка в нього недіючих конструкцій (таких як or ax, ax ).

На відміну від звичайних мов, таких як C++ і Pascal, які компілюють в машинний код, мова Java, NetP і мови платформи .NET компілюють початковий код в проміжний код (байт-код), який містить досить інформації для адекватного відновлення початкового коду. З цієї причини, для цих мов застосовується обфускація проміжного коду.

Як було сказано вище, декомпіляція програм Java і .NET досить проста. У цьому випадку обфускатор надає неоціненну допомогу тим, хто хоче приховати свій код від сторонніх очей. Найчастіше після обфускації декомпільований код повторно не компілюється.

Обфускація HTML допомагає спамерам: на поштовому клієнті, що здатний відображати HTML, текст читається, але антиспам-фільтр, який має справу з джерельним HTML-файлом, пропускає небажане повідомлення, які не розпізнає в ньому забороненого рядка.

Найпростіший приклад обфускованого HTML:

 <b>Євро</b><b>па</b>

При перегляді користувач побачить слово «Європа», в той час як у початковому коді воно розчленоване і сприймається як два роздільних слова.

В інтерпретованих мовах обфускований код займає менше місця, ніж початковий, і часто виконується швидше, ніж початковий. Сучасні обфускатори також замінюють константи числами, оптимізують код ініціалізації масивів, і виконують іншу оптимізацію, яку на рівні початкового тексту провести проблематично або неможливо.

Проблема зменшення розміру важлива, наприклад, при програмуванні для стільникових телефонів на J2ME, де розмір програми серйозно обмежений. Обфускація JavaScript зменшує розмір HTML-файлів і, відповідно, прискорює завантаження.

Код після обфускації може стати більш залежним від платформи або компілятора.

Обфускатор не дає сторонній особі з'ясувати, що робить код, але й не дає розробнику зневаджувати його. При зневадженні доводиться відключати обфускатор.

Хоча обфускація допомагає зробити розподілену систему безпечнішою, не варто обмежуватися тільки нею. Обфускація — це безпека через приховування. Жоден з існуючих обфускаторів не гарантує складності декомпіляції і не забезпечує безпеки на рівні сучасних криптографічних схем. Цілком імовірно, що ефективний захист неможливий (принаймні в деякому конкретному класі вирішуваних завдань).

Сучасний обфускатор — складний програмний комплекс. Найчастіше в обфускатори, незважаючи на ретельне проектування і тестування, пролазять помилки. Так що є ненульова ймовірність, що код, який пройшовший через обфускатор взагалі не буде працювати. І чим складніше програма, що розробляється — тим більше ця ймовірність.

Більшість мов з проміжним кодом можуть створювати або викликати об'єкти по іменах їх класів. Сучасні обфускатори дозволяють зберегти зазначені класи від перейменування, однак подібні обмеження скорочують гнучкість програм.

• Початковий код
• Компіляція
• CryptoNote
• Monero
• Код-спагеті

• Чєрнов А. В. Аналіз програм, які заплутують. [Архівовано 28 лютого 2013 у Wayback Machine.](рос.)
• Обфускація і її подолання. [Архівовано 2 березня 2013 у Wayback Machine.](рос.)
• The International Obfuscated C Code Contest. [Архівовано 28 травня 2014 у Wayback Machine.]
• Protecting Java Code Via Code Obfuscation, ACM Crossroads, Spring 1998 issue
• Protect Your Java Code — Through Obfuscators And Beyond [Архівовано 9 травня 2008 у Wayback Machine.], April 2009
• Dotfuscator in Visual Studio on MSDN resource page [Архівовано 9 квітня 2008 у Wayback Machine.] — Visual Studio 2008 documentation for built-in .NET obfuscation
• Obfuscation tools for .NET, on MSDN [Архівовано 24 квітня 2008 у Wayback Machine.] — Obfuscation resources for .NET, on the Microsoft Developer Center.
• Can we obfuscate programs?
• Yury Lifshits. Lecture Notes on Program Obfuscation (Spring'2005) [Архівовано 23 жовтня 2008 у Wayback Machine.]
• Java obfuscators, каталог посилань Open Directory Project
• Analysis of the 12 days program [Архівовано 15 березня 2008 у Wayback Machine.]
• Analysis of the obfuscated maze generating program
• Obfuscated Perl program with explanation [Архівовано 27 лютого 2014 у Wayback Machine.]
• Making C compiler generate obfuscated code [Архівовано 14 червня 2012 у Wayback Machine.]
• Analysis of javascript code obfuscation [Архівовано 18 квітня 2012 у Wayback Machine.]
• Pseudo cycles insertion example [Архівовано 30 серпня 2013 у Wayback Machine.]