博客园  :: 首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理

初步研究 DNGuard HVM 2007 软件

Posted on 2007-08-28 16:46  Aplo  阅读(5011)  评论(24编辑  收藏  举报

我一直很关注瑞克的博客,自从他已开始发布dotnet保护文章开始,因为我也很关注这方面的技术。毕竟是BCG的成员嘛,哈哈哈,看到瑞克终于把 DNGuard HVM 推出,于是就小试一把。看看他把自己的软件说的很棒,到底做到什么保护程度。

不过由于时间有限,我只研究了一个开头,不过我会继续向下深入的分析的。

废话少说,言归正传:

拿到 DNGuard HVM 2007 (可能是使用版,具体给问瑞克了,我是从他bbs上下载的,他说标准版和专业版不提供下载,我也没有办法了)

首先,dotnet实现即时编译是通过mscorjit.dll实现的。其提供一个导出函数getJit,就可以得到FJitCompiler对象的地址,该对象是Singleton模式。无论你调用多少回只会返回一个对象实例。该对象实现了ICorJitCompiler接口,可以进行对dotnet程序即时编译。

DNGuard HVM 的做法是将 mscorjit.dll 中导出函数 getJit 修改,直接跳转他的运行环境 HVMRuntm.dll 0x600085D0 地址,

0x600085D0    mov  eax,0x6001FEE4
                         ret

这样在执行完 getJit 就会返回 0x6001FEE4 地址,这个地址是 DNGuard HVM 实现的一个即时编译对象的地址,当然他也是继承了ICorJitCompiler接口,并实现了compileMethod 虚函数。这样我们就可以通过虚函数表找到这个函数地址。

这里是虚函数表:
0x600188B4   ==>   0x60008AD0
                                 0x60008AE0
                                 0x60008AF0

其中0x60008AD0 就是 compileMethod 虚函数的函数地址。具体内容如下:

0x60008AD0      mov  eax, [0x60021934]
                           mov  ecx, [eax]
                           mov  [esp+04],  eax
                           mov  eax,  [ecx]
                           jmp  eax

这里是什么意思呢?
哈哈哈,我来解释一下:

mov  eax, [0x60021934]          [0x60021934]内存的内容就是 0x790AF70

0x790AF70这个就是微软实现即时编译对象的地址。它将原来 getJit 本该返回的对象地址传给eax,然后

mov  ecx, [eax]

这条语句就可以得到原对象的虚函数表。

mov  eax,  [ecx]

接着获取原对象实现的 compileMethod 虚函数。

jmp  eax

最后执行它。虽然我们有执行回原有对象,可是你别小看它,为什么呢?
DNGuard HVM 2007 将原有对象的虚函数表替换了, compileMethod 虚函数的地址现在变成了 HVMRuntm.dll库中的0x60008B00,这就是HVMRuntm.dll实现的解密函数地址,进行IL解密。

我猜想,可能是瑞克先写的解密函数,然后再写的即时编译对象,否则干什么这么麻烦,跳来跳去的,哈哈哈,(To:瑞克,不知道我说的对不对?)

由于时间关系,我没有跟踪HVMRuntm.dll库中的0x60008B00解密函数,不过下回会继续,也希望给研究 DNGuard HVM 2007 的人有所帮助。

今天就写到这里了。

我的Email是dreamvoice@21cn.com 有机会大家可以切磋一下,BCG万岁~~~~!也祝大家网安啦~~~~!