偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

.Net JIT騷操逆向最新版Dngurad HVM

作者:江湖
開發(fā) 前端
r11寄存器做了一些位移和相加的動(dòng)作,應(yīng)該是解密ILCode的地址和確保r11不能修改,可見它確實(shí)做了加固加密處理。此外,在經(jīng)過試驗(yàn),在Jmp指令跳轉(zhuǎn)到指定的位置時(shí),會(huì)出現(xiàn)與HVMRun64.dll二進(jìn)制不符合的數(shù)據(jù)。這應(yīng)該也是它的一個(gè)反破解機(jī)制。

前言

Dnguard HVM(以下簡(jiǎn)稱DHVM),它通過對(duì)虛擬機(jī)(CLR)和JIT加密,號(hào)稱.Net最強(qiáng)加密軟件。截至10月27日目前官網(wǎng)最新版4.60版,它的試用版可以下載試用,本篇看下它這個(gè)最新版的強(qiáng)度。

2.概述

本篇看下它的新版改動(dòng)了哪些東西,加固了加密程度。

調(diào)用托管Main:

threadStart.Call(&stackVar);

之后JIT編譯函數(shù)invokeCompileMethod的methodInfo參數(shù)的成員變量ILCode處的情況。

000000018047407E 41 D2 E3             shl         r11b,cl
0000000180474081 41 D3 F3             sal         r11d,cl
0000000180474084 45 0F C1 DB          xadd        r11d,r11d
0000000180474088 4C 8B 5E 10          mov         r11,qword ptr [rsi+10h]
000000018047408C 4C 89 5F 10          mov         qword ptr [rdi+10h],r11

老板的情況:

0000000180497AB2: E9 A1 73 00 00 jmp  0000000180497AB8
0000000180497AB7: F8             clc
0000000180497AB8: 4C 89 5F 10    mov  qword ptr [rdi+10h],r11

r11寄存器做了一些位移和相加的動(dòng)作,應(yīng)該是解密ILCode的地址和確保r11不能修改,可見它確實(shí)做了加固加密處理。此外,在經(jīng)過試驗(yàn),在Jmp指令跳轉(zhuǎn)到指定的位置時(shí),會(huì)出現(xiàn)與HVMRun64.dll二進(jìn)制不符合的數(shù)據(jù)。這應(yīng)該也是它的一個(gè)反破解機(jī)制。

這兩個(gè)東西,加上去似乎增加了難度。這種方式加上之前的防御策略,確實(shí)能阻擋大部分人。然二進(jìn)制無不可做之事。我們順著這個(gè)地址(000000018047408C)往下看:

000000018047409D 0F 84 DD 00 00 00 je 0000000180474180

這個(gè)地方其實(shí)可以hook下,但是DHVM似乎進(jìn)行了相應(yīng)的反hook機(jī)制,所以無法做到,繼續(xù)往下看。

00000001804741C7 E9 00 00 00 00          jmp         00000001804741CC
00000001804741CC C6 84 24 81 00 00 00 2A  mov         byte ptr [rsp+81h],2Ah
00000001804741D4 E9 00 00 00 00          jmp         00000001804741D9
00000001804741D9 E8 C2 82 BA FF          call        000000018001C4A0

這兩個(gè)jmp都是跳轉(zhuǎn)到j(luò)mp本身指令集的下一條指令集地址的特性。所以這里是hook的好地方:

以上代碼可以改為:

00000001804741C7 4C 8B 6F 10          mov         r13,qword ptr [rdi+10h]
00000001804741CB 90                   nop
00000001804741CC C6 84 24 81 00 00 00 2A mov         byte ptr [rsp+81h],2Ah
00000001804741D4 49 C6 45 0D 08       mov         byte ptr [r13+0Dh],8
00000001804741D9 E8 C2 82 BA FF       call        000000018001C4A0

如此跳轉(zhuǎn)實(shí)際上是廢跳,原理是把利用這兩個(gè)jmp的特性,對(duì)它進(jìn)行了一個(gè)Hook。

把ILCode的地址也即是【rdi+0x10】的地址賦給r13,然后把r13偏移量為0XD的地方byte修改為8.

它的一個(gè)C#示例是:

static void ABC()
{
    Console.WriteLine("Call ABC");
}


static void DEF()
{
    Console.WriteLine("Call DEF");
}


static void Main(string[] args)
{
   Console.WriteLine("Call Main");
   ABC();
   DEF();
   Console.ReadLine();
}

Main里面調(diào)用了函數(shù)ABC和DEF

調(diào)用ABC和DEF的二進(jìn)制MSIL分別為:

ABC:28 07 00 00 06 00
DEF:28 08 00 00 06 00

他們不同點(diǎn)事,07和08,調(diào)用ABC的二進(jìn)制MSIL在整個(gè)ILCode里面的偏移是0xD。所以上面Hook代碼

00000001804741D4 49 C6 45 0D 08  mov  byte ptr [r13+0Dh],8

本來它的調(diào)用打印的結(jié)果是:

圖片圖片

hook之后打印的結(jié)果是:

圖片圖片

3.結(jié)尾

DHVM新版加強(qiáng)了難度,但我們可以利用指令集的一些特性來對(duì)它進(jìn)行學(xué)習(xí)和研究,依然非常簡(jiǎn)單。

責(zé)任編輯:武曉燕 來源: 江湖評(píng)談
DHVM破解數(shù)據(jù)
相關(guān)推薦

2023-07-26 07:41:27

2010-06-08 10:15:45

opensuse 11

2025-04-14 02:25:00

2013-08-26 17:17:37

Ubuntu 12.0

2009-09-10 09:06:06

思科CCNP認(rèn)證教材思科CCNP認(rèn)證

2009-04-03 08:43:57

2009-04-06 08:22:57

2009-12-31 11:09:36

Ubuntu wine

2020-04-03 13:24:38

Spring Boot面試題Java

2011-05-04 13:16:49

甲骨文數(shù)據(jù)庫(kù)

2011-03-23 10:23:56

IE9嘗鮮體驗(yàn)瀏覽器

2017-11-07 16:48:58

數(shù)字體驗(yàn)管理DEMRiverbed

2023-11-19 19:01:53

UbuntuCalibre

2010-01-28 09:22:24

瀏覽器速度測(cè)試

2011-09-02 11:14:43

思杰

2012-02-15 09:37:38

Firefox

2013-10-10 10:03:22

VMware

2012-10-16 09:46:23

OpenStackFolsomSwift

2009-12-16 10:04:51

Chrome瀏覽器漏洞

2009-12-16 08:49:12

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)