欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

JIT层脱壳浅析

程序员文章站 2022-07-05 23:30:09
作 者: chenxiaolu 现在.Net 壳真是越来越强了,目前的主流保护思想都是基于“方法”层面的了,在内存中我们已经无法获得完整的Assembly了,即使...
作 者: chenxiaolu

现在.Net 壳真是越来越强了,目前的主流保护思想都是基于“方法”层面的了,在内存中我们已经无法获得完整的Assembly了,即使Dump下来,也看不全IL代码。比较有代表性的壳就是Reactor, MaxToCode, DNGuard HVM等等。
    可是不知道为什么,大牛们总是把技术藏着掖着,害得我们这些小菜们破解无路,经过细读rick大牛的文章和在某人的细心指点下,略有心得,特来和大家分享。
    俗话说:“柿子要找软的捏”,在上面提到的三款强壳中,最弱的可就是要算Reactor了。虽然是最弱的,但是我相信几乎可以难倒90%的DOTNET初学者。虽然大牛们不屑一顾,甚至秒杀,但是作为小菜的我们还是需要研究很久的。
    为了便于研究,我们自己先创建一个小小的CrackMe,代码非常简单如下:
代码:
if (textBox1.Text == "123456")
{
      MessageBox.Show("CODE IS OK");
}
else
{
      MessageBox.Show("ERROR");
}
只要注册码为123456就可以注册成功,我们根据RVA地址可以顺利找到其二进制代码如下:
JIT层脱壳浅析

 
 
我们再使用Reactor4.4对这个CrackMe进行加密,同样为了起到研究的目的,我们仅仅勾选NecroBit选项
 
 JIT层脱壳浅析
加密后,我们再也看不到IL代码了。
 
JIT层脱壳浅析
这便是Reactor的独门秘籍了,基于方法体加密。
 
    那么我们就真的没有办法了吗?方法当然是有的,其一是研究Reactor的自我解密函数,那么我们甚至就可以静态脱壳了,但这是属于牛人研究的范畴,我们暂且不研究。其二就是利用Hook JIT来截获IL代码。看雪论坛上已经有高手详细的解释了怎么编写一个HOOK JIT的代码,所以我就不展开讲了,我们甚至可以直接使用OllyDBG的ILLY插件来直接获取IL代码。
http://bbs.pediy.com/showthread.php?t=116218
http://bbs.pediy.com/showthread.php?t=63940
    在使用这个插件之前,请先搭建一个Pure DOTNET环境,所谓的Pure DOTNET环境是指一台裸机安装了原版Windows XP操作系统后,仅仅安装了.NET Framework v2.0.50727 版本的框架。
http://www.microsoft.com/downloads/z...d-aab15c5e04f5
    任何其他软件都没有安装。这个环境是非常利于HOOK JIT的,可以让我们今天使用的ILLY插件很稳定的截获IL代码。建议大家在虚拟机中建立这样的环境。
 
    将ILLY插件拷贝到OllyDBG的plugin目录中去。然后将加密后的CrackMe拖进OllyDBG中,
OllyDBG很快就会中断到compileMethod方法处,并弹出了IL代码对话框,当然这里仅仅只CrackMe的入口点,为了测试,我们先暂停ILLY的监控,让程序跑飞。
 JIT层脱壳浅析
 
可以通过上面的菜单进行暂停或执行ILLY的监控。当程序跑飞后,我们再次启用ILLY,点击按钮后,ILLY插件就真正截获到我们需要的IL代码了。
 JIT层脱壳浅析
 
上图便是获得的核心IL代码,我们先不急着处理,看一个小小的意外收获。请看OllyDBG的反汇编代码:
 JIT层脱壳浅析
 
    这岂不就是那段IL代码编译后的Native代码么??而红色标出的部分就是判断注册是否成功的关键跳,将74修改为75后,果然显示注册成功了!看样子如果我们只做一个内存补丁也是可以的,但不是今天研究的主题,我们暂不讨论。
    在弹出的ILLY对话框中,我们可以点击Save *.BIN到文件,这样我们就真正通过HOOK JIT获得了Reactor加密后的数据了。我们只需要将这些二进制代码还原到原程序中就行了,可是新的问题出现了:加密后的程序存储IL代码的字节数太少了,而我们获得的IL字节太多了,根本放不下去啊…..
 
对于这个问题我纠结了很久,最后不得不向某人求助。某人是这样做的:他先用CFF在加密后的程序中新建一个Section 将Dump到的Bin文件添加进去。如下图所示
 JIT层脱壳浅析
 
下图就是增加了Section后的截图,新的Section取名为.text2
 
 JIT层脱壳浅析
    我们只需要将button_click1方法的RAV重新指向到这个新的解密后的方法就行了(.text2的RAV是14000)。但是这里我们一定要注意一个很大的问题,就是Tiny Method 和Fat Method,由于计算Fat Method的数据有点多,我们还是当作Tiny Method来处理,经过IL代码的大小计算后得出的Tiny Method头应该是CA,因此我们将RAV 14006处修改为CA,(限于篇幅,具体计算方法可以Google之)然后我们再将按钮点击出的Button_click1的RVA修改为14006
 
将上图红色方框处修改为14006

JIT层脱壳浅析
 
存盘后,我们再用ILSPY打开看看,神奇的一幕出现了:
 
 






JIT层脱壳浅析
我们成功的还原了Reactor4.4加密后的源代码!!!激动啊~~~~曾经难倒了多少菜鸟~~~
程序试着跑一下,没有报错!!!剩下的破解工作太简单就不说了。
 
    今天我们利用纯手工完成了对Reactor4.4加密后的程序的简单破解。大家还满意吗?如果写一个工具完成上述手工操作的全过程,那么整个Reactor壳就可以轻松脱去!!本文也仅仅是起到一个抛砖引玉的作用,虽然某人已经自己写出自动脱壳机了,可惜他没给我……。不能分享给大家了,实在抱歉……。
    最后希望大家能写出来一个出来分享。
附件提供了文中提到的CrackMe,欢迎大家尝试,欢迎留帖或者发邮件给我一起讨论chenxiaolu2012@gmail.com

http://up.2cto.com/2012/0215/20120215102518946.rar