zoukankan      html  css  js  c++  java
  • Net内存程序集通用脱壳机实现原理(二、反射以及重建方法头)


    .Net程序加密的原理及解密探讨三(实例解密)  一文中我们介绍了反射,
    主要提到三个函数
     DumpAssembly,DumpType, DumpMethod。

    这里我们将就 DumpMethod 这个函数讨论。

    前一篇我们已经提到的dump的整体流程。
    先把PE整体dump出来,然后在文件后面增加一个段。

    接下来就是这次要讲的反射和方法体重建。
    依靠上面的三个函数反射枚举所有方法。

    取得 MethodBody 对象,重建 方法体,将方法体保存到 PE文件新建的段中,修改元数据中该方法对应的RVA,指向刚保存的位置。
    只修改元数据中方法的RVA值,元数据的大小不会改变,所以元数据最后可以直接写回到原始位置。

    下面介绍方法体重建。

    DotNet程序一个方法的函数体一般由三部份组成。
    ILHeader + ILByteArray + [DataSection]
    其中第三部份是可选的,有些方法只有前两个部分。

    前面提到的 MethodBody.GetILAsByteArray 是函数体的第二部分。
    所以现在的任务是重建第一部分和第三部份。
    今回只介绍第一部分的重建。

    ILHeader 分两种模式 Tiny的和 Fat的,Tiny的Header只有1字节,Fat的Header有12字节。
    为了简便起见,我们可以全部重建为Fat的Header。

    先看看 Fat Header的定义
    typedef struct IMAGE_COR_ILMETHOD_FAT
    {
        unsigned Flags    : 12;     // Flags
        unsigned Size     :  4;     // size in DWords of this structure (currently 3)
        unsigned MaxStack : 16;     // 
        DWORD   CodeSize;           // size of the code
        mdSignature   LocalVarSigTok;    
    } IMAGE_COR_ILMETHOD_FAT;

    红色的三项一共 4 字节。mdSignature   大小也是4字节。整个结构12字节。
    1、Size 的值是 3,固定不变的。
    2、MaxStack的值 取 MethodBody.MaxStackSize 即可。
    3、CodeSize 的值就是 MethodBody.GetILAsByteArray 字节数组的长度。
    4、LocalVarSigTok 的值 取 MethodBody.LocalSignatureMetadataToken 即可。

    这个Fat Header的重建还是很容易的,现在只剩下 Flags 的值了。
    这里我们只需要给 Flags 赋 三个标志值。
    第一个 标识该函数体是 Fat 格式:0x03

    第二个 标识该函数是否 InitLocals:0x10
    我们可以通过 MethodBody.InitLocals 来判断是否需要增加一个标识值。

    第三个 标识该函数是否有异常处理结构:0x08
    这个可以通过 MethodBody.ExceptionHandlingClauses 这个列表的大小判断是否需要增加这个标识值。

    如果函数没有异常处理结构,那么整个方法体的重建工作就完成了。
    如果有,就需要继续重建 第三部份了。

    而第三部份的重建就是依靠 MethodBody.ExceptionHandlingClauses  中的信息完成的。



  • 相关阅读:
    一起谈.NET技术,WPF 自定义快捷键命令(Command) 狼人:
    一起谈.NET技术,WPF 基础到企业应用系列5——WPF千年轮回2 狼人:
    一起谈.NET技术,asp.net页面中输出变量、Eval数据绑定等总结 狼人:
    单片机沉思录——再谈static
    Java平台对脚本语言支持之ScriptEngine创建方式
    [置顶] [Html] Jquery那些事
    codeforces 165E Compatible Numbers
    2013第六周上机任务【项目2 程序填空(1)】
    腾讯再否认微信收费 三大运营商态度分化
    电子钟程序
  • 原文地址:https://www.cnblogs.com/rick/p/561556.html
Copyright © 2011-2022 走看看