由浅至深 谈谈.NET混淆原理 (四) -- 反混淆(原理 + 工具篇)

这几天,工作特别忙,没空抽出时间来写文章,粗糙之作,还请见谅。

  1.        名称混淆 反混淆

名称混淆返混淆,基本上是不太可能的事,因为以前的名称已经换掉了,也没有第二个名称备份表,所以根本无法还换。

不过,可以把不可见字符转换为可见字符,长字符串换成短字符串。

有两种方法可以做处理:

1.   MetaData中有一个区域叫做 _STRING 它存放了所有名称字符串,只要修改这里的内容,即可,此方法需要对元数据结构特别熟悉

2.   如果你对元数据不了解,没关系,你可以用ILDasm把混淆后的程序集反编译,然后一个一个的对应改过来,再用ilAsm编译,一样可以达到反混淆的作用

其实,对名于名称来说,真的没有多大用处,不用反混淆也行,免得浪费自己的时间。

2.        流程混淆 反混淆

流程混淆,在上面已经给出例子。它才是有用的一种混淆方式。它改变流程的存放序顺,从而达到静态反编译的功能。(名称混淆还是可以反编译)

不过,不管怎样,他没有办法去阻止读取IL,这就是流程混淆的天生不足。我们来看看如何对流程反混淆吧。

还是以上面的例子进行操作。

首先特别说明一下: br.s 行号 br 行号 都是强行跳转指令,而流程混淆主要是得用这样的语句进行逻辑连接的。

所以,我们就需要对照着被混淆过的代码,跟着一句一句的逻辑关系,把语句拉出来重新组合。

组合出来后,代码如下:

 
      L_0000: newobj instance void [mscorlib]System.Random::.ctor()
      L_0005: stloc.1 
      L_0006: ldstr ""
      L_0021: stloc.2 
      L_0022: ldc.i4.0 
      L_0023: stloc.0 
      L_0024: br.s L_0032
      L_0026: ldloc.2 
      L_0027: ldarg.1 
      L_0028: ldloc.1 
      L_0029: callvirt instance float64 [mscorlib]System.Random::NextDouble()
      L_002e: ldarg.2 
      L_002f: conv.r8 
           L_000d: mul 
      L_000e: conv.i4 
      L_000f: ldelem.u2 
      L_0010: box char
      L_0015: call string string::Concat(object, object)
      L_001a: stloc.2 
      L_001b: ldloc.0 
      L_001c: ldc.i4.1 
      L_001d: add 
      L_001e: stloc.0 
      L_0032: ldloc.0 
      L_0033: ldarg.3 
      L_0034: ble.s L_0026
      L_0036: ldloc.2 
      L_0037: ret 

 

         其实,反流程混淆也相当的容易,只要按照执行流程加入特定的条件即可以得到代码的序顺。

         为此,我特别写了一个反流程混淆的工具(Deflow)。将上面的代码反混淆后,得到如下代码:

      L_0000: newobj instance void [mscorlib]System.Random::.ctor()

      L_0001: stloc.1

      L_0002: ldstr ""

      L_0003: stloc.2

      L_0004: ldc.i4.0

      L_0005: stloc.0

      L_0006: br.s L_0017

      L_0007: ldloc.2

      L_0008: ldarg.1

      L_0009: ldloc.1

      L_000A: callvirt instance float64 [mscorlib]System.Random::NextDouble()

      L_000B: ldarg.2

      L_000C: conv.r8

      L_000D: mul

      L_000E: conv.i4

      L_000F: ldelem.u2

      L_0010: box char

      L_0011: call string string::Concat(object, object)

      L_0012: stloc.2

      L_0013: ldloc.0

      L_0014: ldc.i4.1

      L_0015: add

      L_0016: stloc.0

      L_0017: ldloc.0

      L_0018: ldarg.3

      L_0019: ble.s L_0007

      L_001A: ldloc.2

L_001B: ret

 

反流程混淆,并不难,说句实话,它只是一个特征的积累,你不断的分析被混淆后的特征,然后进行分析,写出反混淆的算法,即可开发出反混淆工具。上面的程序并不长,你可以手工的进行反混淆,但如果很长,那么反混淆就是一件痛苦的事了,但我只用Deflow,请请点一下按钮,就可以得到我感兴趣的代码。而且,只要是编程的人,不要你全面撑握NET什么的知识,只要你对字符串操作特别熟悉,再加上一些些聪明和经验,反流程混淆不是一件难事。

下面,我给大家介绍我反混淆的步骤:

1.   拿到混淆过后的程序集(当然,是流程混淆过的)

2.   使用我修改过的Ildasm进行反编译

3.   得到一个IL文件(明文格式的文本文件)

4.   打开文件,找到自己感兴趣的代码,把那一段方法取出

5.   使用Deflow反混淆

6.   把反混淆后的代码Copy回去

7.   使用ilasm 重新编译il文件

8.   使用Reflector查看,ok,已经可以显示C#VB的代码了。

 

由于,反编译出来的il是明文,所以,只要你对字符串操作比较熟,你就可以做一个非常完善的针对工程的反混淆工具。反混淆原理就是如此,不管反混淆强度如何改变,它也无法脱理这个原理,所以即使是流程混淆,也无法保证程序代码的安全性。

 

这里特别说明一下:Deflow纯属研究性质,所以功能非常有限,我也不会发布和公开,在研究的过程中发现有些混淆器相当狡猾,它把程序正的跳转和混淆跳转再次混淆,这种情况,我们有时候必须要手动干涉,不过,这种情况并不会带来多少工作量。至少我现在还没有手工改过。

 

总之,反流程混淆的工具,是每个程序员都可以自己行开发的,因为起点太低,任何人了解原理后都可以对其进行研究,并开发出反混淆的工具。所以,流程混淆并不理想!

 

更重要的是,即使流程混淆了,也可以进行反编译,从而,关键代码还是会被修改并再次发布,危险性依然存在。我就不明白为什么MS要提供ilDasmilAsm。这不是制造木马的好工具吗?把别个的程序反编译,在里面某个铵钮中加入自己的代码。再编译,打包,当正版发布,神不知,鬼不觉的让你中马,结果机器的主人还要找软件作者去算账……呵呵,怕怕啊。

下面,我们将介绍一下最新的MaxtoCode的原理。有兴趣的朋友不要错过。

posted on 2005-07-05 20:19  Jason.NET  阅读(5374)  评论(6编辑  收藏  举报