我一直很关注瑞克的博客,自从他已开始发布dotnet保护文章开始,因为我也很关注这方面的技术。毕竟是BCG的成员嘛,哈哈哈,看到瑞克终于把 DNGuard HVM 推出,于是就小试一把。看看他把自己的软件说的很棒,到底做到什么保护程度。
不过由于时间有限,我只研究了一个开头,不过我会继续向下深入的分析的。
废话少说,言归正传:
拿到 DNGuard HVM 2007 (可能是使用版,具体给问瑞克了,我是从他bbs上下载的,他说标准版和专业版不提供下载,我也没有办法了)
首先,dotnet实现即时编译是通过mscorjit.dll实现的。其提供一个导出函数getJit,就可以得到FJitCompiler对象的地址,该对象是Singleton模式。无论你调用多少回只会返回一个对象实例。该对象实现了ICorJitCompiler接口,可以进行对dotnet程序即时编译。
DNGuard HVM 的做法是将 mscorjit.dll 中导出函数 getJit 修改,直接跳转他的运行环境 HVMRuntm.dll 0x600085D0 地址,
0x600085D0 mov eax,0x6001FEE4
ret
这样在执行完 getJit 就会返回 0x6001FEE4 地址,这个地址是 DNGuard HVM 实现的一个即时编译对象的地址,当然他也是继承了ICorJitCompiler接口,并实现了compileMethod 虚函数。这样我们就可以通过虚函数表找到这个函数地址。
这里是虚函数表:
0x600188B4 ==> 0x60008AD0
0x60008AE0
0x60008AF0
其中0x60008AD0 就是 compileMethod 虚函数的函数地址。具体内容如下:
0x60008AD0 mov eax, [0x60021934]
mov ecx, [eax]
mov [esp+04], eax
mov eax, [ecx]
jmp eax
这里是什么意思呢?
哈哈哈,我来解释一下:
mov eax, [0x60021934] [0x60021934]内存的内容就是 0x790AF70
0x790AF70这个就是微软实现即时编译对象的地址。它将原来 getJit 本该返回的对象地址传给eax,然后
mov ecx, [eax]
这条语句就可以得到原对象的虚函数表。
mov eax, [ecx]
接着获取原对象实现的 compileMethod 虚函数。
jmp eax
最后执行它。虽然我们有执行回原有对象,可是你别小看它,为什么呢?
DNGuard HVM 2007 将原有对象的虚函数表替换了, compileMethod 虚函数的地址现在变成了 HVMRuntm.dll库中的0x60008B00,这就是HVMRuntm.dll实现的解密函数地址,进行IL解密。
我猜想,可能是瑞克先写的解密函数,然后再写的即时编译对象,否则干什么这么麻烦,跳来跳去的,哈哈哈,(To:瑞克,不知道我说的对不对?)
由于时间关系,我没有跟踪HVMRuntm.dll库中的0x60008B00解密函数,不过下回会继续,也希望给研究 DNGuard HVM 2007 的人有所帮助。
今天就写到这里了。
我的Email是dreamvoice@21cn.com 有机会大家可以切磋一下,BCG万岁~~~~!也祝大家网安啦~~~~!