紫雨轩 .Net, DNGuard HVM , .Net VMProtect

摘要： 在前面介绍mscorwks的时提到了，.net的程序是以函数为单位编译。而在 mscorjit中提供了一个函数 compileMethod 。mscorwks就是通过调用这个函数来编译.Net方法的。 对于EE层，或者虚拟机预处理层的加密壳，只需要hook这个函数就可以dump出方法体的代码了。 需要注意一点，这个函数是 thiscall 调用约定的。 .Net方法体进入 compileMethod 之后是怎么样的处理流程呢？ 阅读全文