紫雨轩 .Net, DNGuard HVM , .Net VMProtect

摘要： 自从.Net 2.0的新特性被公开用来获取IL代码后，加密壳就成了鸡肋。 就如tankaiha所说“.net下逆向暂时没啥新东西可搞，某软件的版本升级是一次不如一次强”，由于先天不足，这成了加密壳强度的一个瓶颈。 但是还有相当一部分人认为1.1的程序集加密后是安全的。 阅读全文

摘要： 有了这个运行库，用DNGuard加密的程序就能在Win98，WinMe系统中运行。 DNGuard支持的32位操作系统平台算基本完善了。 运行库的版本号没有变，功能也基本上没有变。增加了动态反跟踪。 阅读全文

摘要： 针对DNGuard 版本V1.0 做了一下平台兼容性测试。 首先 DNGuard 只支持32 位系统平台。 分别在Win98 WinMe , Win2000系列，Win XP, Win2003进行了测试。 阅读全文

摘要： DNGuard 是一款免费.net 内核级加密保护工具。目前版本V1.0。 下面介绍这个工具的使用方法。 阅读全文

摘要： DNGuard 是一款免费的DotNet内核模式的加密保护工具。 这是第一个发布版本，版本号定为 1.0。只支持32位系统。 目前还只在 xp和2003上做过测试，其它版本的系统还未测试，大家有条件的麻烦帮忙试试。 运行本程序需要系统安装 .Net 2.0 框架。 支持加密2.0和1.1的程序集，不过还只测试了winform的。 阅读全文

摘要： 被加密的程序集是 .Net 2.0的 winform程序。 阅读全文

摘要： 1.不依赖微软的ildasm和ilasm程序。 IL反汇编和IL汇编都程序实现。 可以加密包含本地代码的程序集。 2.Anti反编译工具，maxtocode加密的程序集无法用reflector直接查看，但是程序运行后用pedumper，dump后就可以用reflecotr查看结构了，当然还是看不到代码的。 dnguard加密的程序集比我预期的效果还要好，加密后的程序集无法用reflector查看，dump后的也无法用reflector插件。 阅读全文

摘要： 在 .Net程序加密的原理及解密探讨三（实例解密） 一文中我们介绍了反射， 主要提到三个函数 DumpAssembly，DumpType， DumpMethod。 这里我们将就 DumpMethod 这个函数讨论。 前一篇我们已经提到的dump的整体流程。 先把PE整体dump出来，然后在文件后面增加一个段。 接下来就是这次要讲的反射和方法体重建。 阅读全文

摘要： 正如前面提到的DotNet 程序的脱壳和普通PE文件的脱壳是有密切关系的。 传统PE文件dump大部分都是进程外dump，这里我们介绍的DotNet程序集的脱壳 使用进程内dump。 所以第一步就是注入问题，如何让我们的程序在目标进程内运行？ 传统的win32 注入dll，相信大家都熟悉了吧， 得益于C++/CLI的特性，我们能依靠传统的方式注入我们的程序到目标进程中。 阅读全文

摘要： 本次脱壳的测试对象是CodeLib 2 V14.9.2468.42911 更新日期是2006-10-5 目前的最新版本。 运行脱机程序到如下界面： 选中列表中的第二项，codelib.exe，选择一个保存路径，点击dump按钮，即可完成脱壳。 脱壳完的程序保存到codedump.exe。 注意这个文件是直接dump脱壳的结果，不能直接运行。 使用ildasm 反编译，然后打开il文件 查找 IL_0000: call void InFaceMaxtoCode::Startup() 替换为 //IL_0000: call void InFaceMaxtoCode::Startup() 即取消对 maxtocode 运行库的引用。 然后运行 ilasm 编译成exe文件。 放在codelib的安装目录中即可正常运行了 阅读全文