Net内存程序集通用脱壳机实现原理(二、反射以及重建方法头)
在 .Net程序加密的原理及解密探讨三(实例解密) 一文中我们介绍了反射,
主要提到三个函数
DumpAssembly,DumpType, DumpMethod。
这里我们将就 DumpMethod 这个函数讨论。
前一篇我们已经提到的dump的整体流程。
先把PE整体dump出来,然后在文件后面增加一个段。
接下来就是这次要讲的反射和方法体重建。
依靠上面的三个函数反射枚举所有方法。
取得 MethodBody 对象,重建 方法体,将方法体保存到 PE文件新建的段中,修改元数据中该方法对应的RVA,指向刚保存的位置。
只修改元数据中方法的RVA值,元数据的大小不会改变,所以元数据最后可以直接写回到原始位置。
下面介绍方法体重建。
DotNet程序一个方法的函数体一般由三部份组成。
ILHeader + ILByteArray + [DataSection]
其中第三部份是可选的,有些方法只有前两个部分。
前面提到的 MethodBody.GetILAsByteArray 是函数体的第二部分。
所以现在的任务是重建第一部分和第三部份。
今回只介绍第一部分的重建。
ILHeader 分两种模式 Tiny的和 Fat的,Tiny的Header只有1字节,Fat的Header有12字节。
为了简便起见,我们可以全部重建为Fat的Header。
先看看 Fat Header的定义
typedef struct IMAGE_COR_ILMETHOD_FAT
{
unsigned Flags : 12; // Flags
unsigned Size : 4; // size in DWords of this structure (currently 3)
unsigned MaxStack : 16; //
DWORD CodeSize; // size of the code
mdSignature LocalVarSigTok;
} IMAGE_COR_ILMETHOD_FAT;
红色的三项一共 4 字节。mdSignature 大小也是4字节。整个结构12字节。
1、Size 的值是 3,固定不变的。
2、MaxStack的值 取 MethodBody.MaxStackSize 即可。
3、CodeSize 的值就是 MethodBody.GetILAsByteArray 字节数组的长度。
4、LocalVarSigTok 的值 取 MethodBody.LocalSignatureMetadataToken 即可。
这个Fat Header的重建还是很容易的,现在只剩下 Flags 的值了。
这里我们只需要给 Flags 赋 三个标志值。
第一个 标识该函数体是 Fat 格式:0x03
第二个 标识该函数是否 InitLocals:0x10
我们可以通过 MethodBody.InitLocals 来判断是否需要增加一个标识值。
第三个 标识该函数是否有异常处理结构:0x08
这个可以通过 MethodBody.ExceptionHandlingClauses 这个列表的大小判断是否需要增加这个标识值。
如果函数没有异常处理结构,那么整个方法体的重建工作就完成了。
如果有,就需要继续重建 第三部份了。
而第三部份的重建就是依靠 MethodBody.ExceptionHandlingClauses 中的信息完成的。