JIT层脱壳浅析
程序员文章站
2022-04-12 21:50:08
作 者: chenxiaolu
现在.Net 壳真是越来越强了,目前的主流保护思想都是基于“方法”层面的了,在内存中我们已经无法获得完整的Assembly了,即使...
作 者: chenxiaolu
现在.Net 壳真是越来越强了,目前的主流保护思想都是基于“方法”层面的了,在内存中我们已经无法获得完整的Assembly了,即使Dump下来,也看不全IL代码。比较有代表性的壳就是Reactor, MaxToCode, DNGuard HVM等等。
可是不知道为什么,大牛们总是把技术藏着掖着,害得我们这些小菜们破解无路,经过细读rick大牛的文章和在某人的细心指点下,略有心得,特来和大家分享。
俗话说:“柿子要找软的捏”,在上面提到的三款强壳中,最弱的可就是要算Reactor了。虽然是最弱的,但是我相信几乎可以难倒90%的DOTNET初学者。虽然大牛们不屑一顾,甚至秒杀,但是作为小菜的我们还是需要研究很久的。
为了便于研究,我们自己先创建一个小小的CrackMe,代码非常简单如下:
代码:
if (textBox1.Text == "123456")
{
MessageBox.Show("CODE IS OK");
}
else
{
MessageBox.Show("ERROR");
}
只要注册码为123456就可以注册成功,我们根据RVA地址可以顺利找到其二进制代码如下:
我们再使用Reactor4.4对这个CrackMe进行加密,同样为了起到研究的目的,我们仅仅勾选NecroBit选项
加密后,我们再也看不到IL代码了。
这便是Reactor的独门秘籍了,基于方法体加密。
那么我们就真的没有办法了吗?方法当然是有的,其一是研究Reactor的自我解密函数,那么我们甚至就可以静态脱壳了,但这是属于牛人研究的范畴,我们暂且不研究。其二就是利用Hook JIT来截获IL代码。看雪论坛上已经有高手详细的解释了怎么编写一个HOOK JIT的代码,所以我就不展开讲了,我们甚至可以直接使用OllyDBG的ILLY插件来直接获取IL代码。
http://bbs.pediy.com/showthread.php?t=116218
http://bbs.pediy.com/showthread.php?t=63940
在使用这个插件之前,请先搭建一个Pure DOTNET环境,所谓的Pure DOTNET环境是指一台裸机安装了原版Windows XP操作系统后,仅仅安装了.NET Framework v2.0.50727 版本的框架。
http://www.microsoft.com/downloads/z...d-aab15c5e04f5
任何其他软件都没有安装。这个环境是非常利于HOOK JIT的,可以让我们今天使用的ILLY插件很稳定的截获IL代码。建议大家在虚拟机中建立这样的环境。
将ILLY插件拷贝到OllyDBG的plugin目录中去。然后将加密后的CrackMe拖进OllyDBG中,
OllyDBG很快就会中断到compileMethod方法处,并弹出了IL代码对话框,当然这里仅仅只CrackMe的入口点,为了测试,我们先暂停ILLY的监控,让程序跑飞。
可以通过上面的菜单进行暂停或执行ILLY的监控。当程序跑飞后,我们再次启用ILLY,点击按钮后,ILLY插件就真正截获到我们需要的IL代码了。
上图便是获得的核心IL代码,我们先不急着处理,看一个小小的意外收获。请看OllyDBG的反汇编代码:
这岂不就是那段IL代码编译后的Native代码么??而红色标出的部分就是判断注册是否成功的关键跳,将74修改为75后,果然显示注册成功了!看样子如果我们只做一个内存补丁也是可以的,但不是今天研究的主题,我们暂不讨论。
在弹出的ILLY对话框中,我们可以点击Save *.BIN到文件,这样我们就真正通过HOOK JIT获得了Reactor加密后的数据了。我们只需要将这些二进制代码还原到原程序中就行了,可是新的问题出现了:加密后的程序存储IL代码的字节数太少了,而我们获得的IL字节太多了,根本放不下去啊…..
对于这个问题我纠结了很久,最后不得不向某人求助。某人是这样做的:他先用CFF在加密后的程序中新建一个Section 将Dump到的Bin文件添加进去。如下图所示
下图就是增加了Section后的截图,新的Section取名为.text2
我们只需要将button_click1方法的RAV重新指向到这个新的解密后的方法就行了(.text2的RAV是14000)。但是这里我们一定要注意一个很大的问题,就是Tiny Method 和Fat Method,由于计算Fat Method的数据有点多,我们还是当作Tiny Method来处理,经过IL代码的大小计算后得出的Tiny Method头应该是CA,因此我们将RAV 14006处修改为CA,(限于篇幅,具体计算方法可以Google之)然后我们再将按钮点击出的Button_click1的RVA修改为14006
将上图红色方框处修改为14006
存盘后,我们再用ILSPY打开看看,神奇的一幕出现了:
我们成功的还原了Reactor4.4加密后的源代码!!!激动啊~~~~曾经难倒了多少菜鸟~~~
程序试着跑一下,没有报错!!!剩下的破解工作太简单就不说了。
今天我们利用纯手工完成了对Reactor4.4加密后的程序的简单破解。大家还满意吗?如果写一个工具完成上述手工操作的全过程,那么整个Reactor壳就可以轻松脱去!!本文也仅仅是起到一个抛砖引玉的作用,虽然某人已经自己写出自动脱壳机了,可惜他没给我……。不能分享给大家了,实在抱歉……。
最后希望大家能写出来一个出来分享。
附件提供了文中提到的CrackMe,欢迎大家尝试,欢迎留帖或者发邮件给我一起讨论chenxiaolu2012@gmail.com
http://up.2cto.com/2012/0215/20120215102518946.rar
现在.Net 壳真是越来越强了,目前的主流保护思想都是基于“方法”层面的了,在内存中我们已经无法获得完整的Assembly了,即使Dump下来,也看不全IL代码。比较有代表性的壳就是Reactor, MaxToCode, DNGuard HVM等等。
可是不知道为什么,大牛们总是把技术藏着掖着,害得我们这些小菜们破解无路,经过细读rick大牛的文章和在某人的细心指点下,略有心得,特来和大家分享。
俗话说:“柿子要找软的捏”,在上面提到的三款强壳中,最弱的可就是要算Reactor了。虽然是最弱的,但是我相信几乎可以难倒90%的DOTNET初学者。虽然大牛们不屑一顾,甚至秒杀,但是作为小菜的我们还是需要研究很久的。
为了便于研究,我们自己先创建一个小小的CrackMe,代码非常简单如下:
代码:
if (textBox1.Text == "123456")
{
MessageBox.Show("CODE IS OK");
}
else
{
MessageBox.Show("ERROR");
}
只要注册码为123456就可以注册成功,我们根据RVA地址可以顺利找到其二进制代码如下:
我们再使用Reactor4.4对这个CrackMe进行加密,同样为了起到研究的目的,我们仅仅勾选NecroBit选项
加密后,我们再也看不到IL代码了。
这便是Reactor的独门秘籍了,基于方法体加密。
那么我们就真的没有办法了吗?方法当然是有的,其一是研究Reactor的自我解密函数,那么我们甚至就可以静态脱壳了,但这是属于牛人研究的范畴,我们暂且不研究。其二就是利用Hook JIT来截获IL代码。看雪论坛上已经有高手详细的解释了怎么编写一个HOOK JIT的代码,所以我就不展开讲了,我们甚至可以直接使用OllyDBG的ILLY插件来直接获取IL代码。
http://bbs.pediy.com/showthread.php?t=116218
http://bbs.pediy.com/showthread.php?t=63940
在使用这个插件之前,请先搭建一个Pure DOTNET环境,所谓的Pure DOTNET环境是指一台裸机安装了原版Windows XP操作系统后,仅仅安装了.NET Framework v2.0.50727 版本的框架。
http://www.microsoft.com/downloads/z...d-aab15c5e04f5
任何其他软件都没有安装。这个环境是非常利于HOOK JIT的,可以让我们今天使用的ILLY插件很稳定的截获IL代码。建议大家在虚拟机中建立这样的环境。
将ILLY插件拷贝到OllyDBG的plugin目录中去。然后将加密后的CrackMe拖进OllyDBG中,
OllyDBG很快就会中断到compileMethod方法处,并弹出了IL代码对话框,当然这里仅仅只CrackMe的入口点,为了测试,我们先暂停ILLY的监控,让程序跑飞。
可以通过上面的菜单进行暂停或执行ILLY的监控。当程序跑飞后,我们再次启用ILLY,点击按钮后,ILLY插件就真正截获到我们需要的IL代码了。
上图便是获得的核心IL代码,我们先不急着处理,看一个小小的意外收获。请看OllyDBG的反汇编代码:
这岂不就是那段IL代码编译后的Native代码么??而红色标出的部分就是判断注册是否成功的关键跳,将74修改为75后,果然显示注册成功了!看样子如果我们只做一个内存补丁也是可以的,但不是今天研究的主题,我们暂不讨论。
在弹出的ILLY对话框中,我们可以点击Save *.BIN到文件,这样我们就真正通过HOOK JIT获得了Reactor加密后的数据了。我们只需要将这些二进制代码还原到原程序中就行了,可是新的问题出现了:加密后的程序存储IL代码的字节数太少了,而我们获得的IL字节太多了,根本放不下去啊…..
对于这个问题我纠结了很久,最后不得不向某人求助。某人是这样做的:他先用CFF在加密后的程序中新建一个Section 将Dump到的Bin文件添加进去。如下图所示
下图就是增加了Section后的截图,新的Section取名为.text2
我们只需要将button_click1方法的RAV重新指向到这个新的解密后的方法就行了(.text2的RAV是14000)。但是这里我们一定要注意一个很大的问题,就是Tiny Method 和Fat Method,由于计算Fat Method的数据有点多,我们还是当作Tiny Method来处理,经过IL代码的大小计算后得出的Tiny Method头应该是CA,因此我们将RAV 14006处修改为CA,(限于篇幅,具体计算方法可以Google之)然后我们再将按钮点击出的Button_click1的RVA修改为14006
将上图红色方框处修改为14006
存盘后,我们再用ILSPY打开看看,神奇的一幕出现了:
我们成功的还原了Reactor4.4加密后的源代码!!!激动啊~~~~曾经难倒了多少菜鸟~~~
程序试着跑一下,没有报错!!!剩下的破解工作太简单就不说了。
今天我们利用纯手工完成了对Reactor4.4加密后的程序的简单破解。大家还满意吗?如果写一个工具完成上述手工操作的全过程,那么整个Reactor壳就可以轻松脱去!!本文也仅仅是起到一个抛砖引玉的作用,虽然某人已经自己写出自动脱壳机了,可惜他没给我……。不能分享给大家了,实在抱歉……。
最后希望大家能写出来一个出来分享。
附件提供了文中提到的CrackMe,欢迎大家尝试,欢迎留帖或者发邮件给我一起讨论chenxiaolu2012@gmail.com
http://up.2cto.com/2012/0215/20120215102518946.rar