zoukankan      html  css  js  c++  java
  • 浅谈.Net脱壳中方法体的局部变量签名还原

    在之前介绍Jit层脱壳原理时曾提到两个难点,
    1。方法体的局部变量签名。
    2。方法体的SEH 异常处理表。

    本文主要就第一个问题进行简单探讨,随带也涉及到一些第二个问题。

    前面提到过投机的方式获取,不在本文讨论范围,投机总是过于侥幸。

    进入到Jit层后,局部变量签名已经由token值转变为了结构体 CORINFO_SIG_INFO ,可以推测,该转变应该是在 ee 层调用 jit的预处理过程中完成了。
    参考sscli的源代码,很容易可以定位到一个关键函数 unsigned long __stdcall UnsafeJitFunction(class MethodDesc *, class COR_ILMETHOD_DECODER *, unsigned long) 在 .net 1.1 中好像名字叫 JitFunction 。

    只要Hook这个函数,就可以获取到需要的东西了。
    第一个参数,前面提到过了,可以转换为dotNet中的方法对象。第二个参数,是本文要提到的关键东西。关于它的定义可以参考sscli或者dotNet的sdk。
    从名字就能看出它是干什么用的。如果你好彩,得到它就得到了整个方法体(如:.Net reactor, maxtocode 2007之前版本以及2007个人版,dnguard v1.0)。

    如果壳在Jit层有挂钩,那么基本上可以判断这里无法取得IL字节码(如果壳采用分段解密,在这里不会解密IL字节码,它会把IL字节码的解密放到Jit层中)。
    基本上可以确定这里能够获取到LocalVarSig 的 token值。
    同时顺带一般也能获取到SEH Table。

    这里需要注意,如果壳在附近也有挂钩,需要判断它是否挂了这个函数,然后需要调整一下hook位置。

    还有一个不错的hook位置是 getMethodInfoHelper(MethodDesc *,CORINFO_METHOD_STRUCT_ *,COR_ILMETHOD_DECODER *,CORINFO_METHOD_INFO *)。


    这个方法再配合 jit层的hook,加在一起基本上就完成了一个方法体的完整还原。

    使用这个方法对 CliProtector,DNGuard HVM 加密保护的程序集无效。
    这两个是纯Jit层的壳,在ee层没有挂钩服务提供解密,所以在这个方法hook不到所需的东西。
    它们实际上是把预处理的工作全部放到了壳里面。
    也许有人会有疑惑,既然这样加密壳为什么还要在ee层挂钩提供解密服务呢?这是几个技术问题,
    加密壳需要在ee层挂接解密服务,一般是没有解决如何在壳中实现全部预处理的工作。
    在Jit层实现预处理工作与在Jit层中直接实现脱壳是一个互逆的操作。
    前面介绍Jit层脱壳时提到过两个难点,在jit层实现预处理同样也是这两个难点。

  • 相关阅读:
    使goroutine同步的方法总结
    PHP类自动加载技术
    swoole架构分析
    网站用户行为分析——HBase的安装与配置
    Java基础——异常处理
    大数据技术原理与应用——分布式文件系统HDFS
    大数据技术原理与应用——大数据处理架构Hadoop
    廖老师的Python教程——安装Python
    廖老师的Python教程——Python简介
    大数据技术原理与应用——大数据概述
  • 原文地址:https://www.cnblogs.com/rick/p/852999.html
Copyright © 2011-2022 走看看