zoukankan      html  css  js  c++  java
  • 浅谈.Net脱壳中方法体的局部变量签名还原

    在之前介绍Jit层脱壳原理时曾提到两个难点,
    1。方法体的局部变量签名。
    2。方法体的SEH 异常处理表。

    本文主要就第一个问题进行简单探讨,随带也涉及到一些第二个问题。

    前面提到过投机的方式获取,不在本文讨论范围,投机总是过于侥幸。

    进入到Jit层后,局部变量签名已经由token值转变为了结构体 CORINFO_SIG_INFO ,可以推测,该转变应该是在 ee 层调用 jit的预处理过程中完成了。
    参考sscli的源代码,很容易可以定位到一个关键函数 unsigned long __stdcall UnsafeJitFunction(class MethodDesc *, class COR_ILMETHOD_DECODER *, unsigned long) 在 .net 1.1 中好像名字叫 JitFunction 。

    只要Hook这个函数,就可以获取到需要的东西了。
    第一个参数,前面提到过了,可以转换为dotNet中的方法对象。第二个参数,是本文要提到的关键东西。关于它的定义可以参考sscli或者dotNet的sdk。
    从名字就能看出它是干什么用的。如果你好彩,得到它就得到了整个方法体(如:.Net reactor, maxtocode 2007之前版本以及2007个人版,dnguard v1.0)。

    如果壳在Jit层有挂钩,那么基本上可以判断这里无法取得IL字节码(如果壳采用分段解密,在这里不会解密IL字节码,它会把IL字节码的解密放到Jit层中)。
    基本上可以确定这里能够获取到LocalVarSig 的 token值。
    同时顺带一般也能获取到SEH Table。

    这里需要注意,如果壳在附近也有挂钩,需要判断它是否挂了这个函数,然后需要调整一下hook位置。

    还有一个不错的hook位置是 getMethodInfoHelper(MethodDesc *,CORINFO_METHOD_STRUCT_ *,COR_ILMETHOD_DECODER *,CORINFO_METHOD_INFO *)。


    这个方法再配合 jit层的hook,加在一起基本上就完成了一个方法体的完整还原。

    使用这个方法对 CliProtector,DNGuard HVM 加密保护的程序集无效。
    这两个是纯Jit层的壳,在ee层没有挂钩服务提供解密,所以在这个方法hook不到所需的东西。
    它们实际上是把预处理的工作全部放到了壳里面。
    也许有人会有疑惑,既然这样加密壳为什么还要在ee层挂钩提供解密服务呢?这是几个技术问题,
    加密壳需要在ee层挂接解密服务,一般是没有解决如何在壳中实现全部预处理的工作。
    在Jit层实现预处理工作与在Jit层中直接实现脱壳是一个互逆的操作。
    前面介绍Jit层脱壳时提到过两个难点,在jit层实现预处理同样也是这两个难点。

  • 相关阅读:
    挖掘经典:几乎被人遗忘的HTML七种用法
    TechEd 2010 微软技术大会 12月1日3日 北京国家会议中心
    PostSharp摘要
    实现Asp.net Forms身份验证的操作步骤详解
    DTO,DMO,DPO
    CodeSmith和PowerDesigner的安装和数据库创建二
    ASP.NET 2.0 Membership
    C# IEnumerable<T>、IEnumerator<T>、List<T>、ArrayList、[]数组各各的区别
    [转]ActiveWriter集成到VS.NET的NHibernate(ActiveRecord)对象可视化设计工具
    当一个程序员面临太多选择的时候
  • 原文地址:https://www.cnblogs.com/rick/p/852999.html
Copyright © 2011-2022 走看看