前言
.NET程序由于众所周知的原因,因为它是一个托管中间语言代码,也即是MSIL,天然性的易于被破解。即使是现在的AOT技术,因为通过一个C++的引导程序BootStrap(.Net8的AOT引导程序BootStrap)引导,所以其逆向难度依然是容易级的。了解其加密原理,针对性的保护就显得比较重要了。
这里说的强加密是虚拟机(CLR/JIT)加密,加密软件自带的算法加密,逆向有一定难度的.NET加密工具。没有虚拟机加密这个基本功能,基本上不推荐。
研究VBP和DHVM的时候,很明显的感觉到VBP在托管方面较强,它基本上做到了一个托管的DLL hook了JIT的编译流程,加密托管DLL。但DHVM给人的感受完全相反。DHVM在非托管上具有较强的加密手段,所以它需要带一个非托管的RunHVM64.dll在对JIT进行操作。
详述
参考以下代码:
static void ABC()
{
Console.WriteLine("Call ABC");
}
static void DEF()
{
Console.WriteLine("Call DEF");
}
static void Main(string[] args)
{
ABC();
DEF();
Console.WriteLine("Call Main");
Console.ReadLine();
}VBP上,它加密了MSIL程序集和函数名称,此后又加密了IL的指令。它的JIT Hook方式跟DHVM基本上雷同,只不过代码实现方式不一样。仅此而已。
至于代码的区别在于,ABC和DEF函数在VBP里面被内联了,它的MSIL二进制如下:
00 72 01 00 00 70 28 11 00 00 0a 00 2a 00 // ABC函数
00 72 13 00 00 70 28 11 00 00 0a 00 2a 00 // DEF函数ABC和DEF函数被内联到了托管Main函数里面,类似于Console.WriteLine("Call Main");的这种格式的调用。先传递一个字符串,也就是MSIL的二进制:
00 72 01 00 00 70然后Console.WriteLine调用以及返回,也就是MSIL二进制
28 11 00 00 0a 00 2a 00 //2a:ret(返回) 00:nop在静态的托管DLL里面,这个MSIL是伪装的,真正的MSIL需要解密之后,才能够形成如上MSIL赋给JIT的ILCode让其正常编译。这里需要的是解密前的静态码(比如例子的特征码:A3 35 57 22),无痕hook即可。
然DHVM里面没有内联,但在非托管里面存储了IL代码,如下:
0000000180474088 4C 8B 5E 10 mov r11,qword ptr [rsi+10h]
000000018047408C 4C 89 5F 10 mov qword ptr [rdi+10h],r11DHVM也需要通过解密来形成最后的MSIL结果,但是因为它有非托管的静态固有地址,所以不需要逆出其解密的地方,即可hook之。
ABP和DHVM的差别在于,前者只要逆出了其原理基本上一马平川,可以静态无痕其解密前的字节码。而DHVM则是综合性质更强,具备的知识更多,才可以静态无痕其ASM。
