关于lua代码加密

kfliuyang

Hello！

目前我们项目中应用了openresty，大量核心代码需要加密，如果用luac或者ljbc文件担心有被逆向的风险。

目前考虑了两种思路：

1. 从ngx_lua模块入手，修改源码，在loadfile的地方做解密处理，单独写工具对lua源码文件做加密处理

2. 从luajit入手，修改luajit编译的bytecode

两种方法都属于侵入式的方法，需要修改组件代码，对后续更新维护带来不便

有没有更好的思路，比如写一个nginx模块，做非侵入式的解密，就像ngx_lua不修改nginx的源码一样提供功能

没有看过ngx_lua的底层实现，不知是否能做到，也请春哥@agentzh 提供一些思路，谢谢！

spacewanderlzx

如果是非侵入式的方法，那我在 ngx_lua 或 luajit 的相关入口函数打下 gdb 断点，就能截获执行到的 Lua 代码了。感觉要是想可靠一点的话，可能需要把加密后的代码打入 C 文件，然后编译到 Nginx 里面去，不过这样势必要去修改 ngx_lua 的加载逻辑……

在 2017年10月19日下午7:18， <kfli...@gmail.com>写道：

Hello！

目前我们项目中应用了openresty，大量核心代码需要加密，如果用luac或者ljbc文件担心有被逆向的风险。
目前考虑了两种思路：
1. 从ngx_lua模块入手，修改源码，在loadfile的地方做解密处理，单独写工具对lua源码文件做加密处理

2. 从luajit入手，修改luajit编译的bytecode

两种方法都属于侵入式的方法，需要修改组件代码，对后续更新维护带来不便
有没有更好的思路，比如写一个nginx模块，做非侵入式的解密，就像ngx_lua不修改nginx的源码一样提供功能

没有看过ngx_lua的底层实现，不知是否能做到，也请春哥@agentzh 提供一些思路，谢谢！

--

dingdongnigetou

hello,

如果是直接在loadfile做解密动作，gdb也能截获Lua代码？

On Thursday, October 19, 2017 at 11:14:23 PM UTC+8, Zexuan Luo wrote:

如果是非侵入式的方法，那我在 ngx_lua 或 luajit 的相关入口函数打下 gdb 断点，就能截获执行到的 Lua 代码了。感觉要是想可靠一点的话，可能需要把加密后的代码打入 C 文件，然后编译到 Nginx 里面去，不过这样势必要去修改 ngx_lua 的加载逻辑……

在 2017年10月19日下午7:18， <kfli...@gmail.com>写道：
Hello！

目前我们项目中应用了openresty，大量核心代码需要加密，如果用luac或者ljbc文件担心有被逆向的风险。
目前考虑了两种思路：
1. 从ngx_lua模块入手，修改源码，在loadfile的地方做解密处理，单独写工具对lua源码文件做加密处理

2. 从luajit入手，修改luajit编译的bytecode

两种方法都属于侵入式的方法，需要修改组件代码，对后续更新维护带来不便
有没有更好的思路，比如写一个nginx模块，做非侵入式的解密，就像ngx_lua不修改nginx的源码一样提供功能

没有看过ngx_lua的底层实现，不知是否能做到，也请春哥@agentzh 提供一些思路，谢谢！

--

dingdongnigetou

做了一些功课，我想较好的方法就是对程序进行加壳，并且加入反调试限制，加壳这个可能需要到专业的公司进行付费了

On Wednesday, November 22, 2017 at 6:31:32 PM UTC+8, huang jindong wrote:

hello,

如果是直接在loadfile做解密动作，gdb也能截获Lua代码？

On Thursday, October 19, 2017 at 11:14:23 PM UTC+8, Zexuan Luo wrote:
如果是非侵入式的方法，那我在 ngx_lua 或 luajit 的相关入口函数打下 gdb 断点，就能截获执行到的 Lua 代码了。感觉要是想可靠一点的话，可能需要把加密后的代码打入 C 文件，然后编译到 Nginx 里面去，不过这样势必要去修改 ngx_lua 的加载逻辑……

在 2017年10月19日下午7:18， <kfli...@gmail.com>写道：
Hello！

目前我们项目中应用了openresty，大量核心代码需要加密，如果用luac或者ljbc文件担心有被逆向的风险。
目前考虑了两种思路：
1. 从ngx_lua模块入手，修改源码，在loadfile的地方做解密处理，单独写工具对lua源码文件做加密处理

2. 从luajit入手，修改luajit编译的bytecode

两种方法都属于侵入式的方法，需要修改组件代码，对后续更新维护带来不便
有没有更好的思路，比如写一个nginx模块，做非侵入式的解密，就像ngx_lua不修改nginx的源码一样提供功能

没有看过ngx_lua的底层实现，不知是否能做到，也请春哥@agentzh 提供一些思路，谢谢！

--