.Net JIT骚操逆向最新版Dngurad HVM

最新推荐文章于 2024-09-06 23:17:54 发布
最新推荐文章于 2024-09-06 23:17:54 发布
阅读量637 收藏
点赞数
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654097711&idx=3&sn=7abec7ad1fc67adf0ca8ca9d77ca6e5d&chksm=80d8757ab7affc6c003d64c0a793de55be7db53ca8b8a798dbf268ee33478475d0b6d2e0ffe7&scene=126&sessionid=0
版权

前言

Dnguard HVM(以下简称DHVM),它通过对虚拟机(CLR)和JIT加密,号称.Net最强加密软件。截至10月27日目前官网最新版4.60版,它的试用版可以下载试用,本篇看下它这个最新版的强度。

2.概述

两月前,研究JIT的时候,曾经研究过DHVM.原文:.Net JIT二进制骚操DHVM破解篇,本篇在此基础上看下它的新版改动了哪些东西,加固了加密程度。

调用托管Main:

threadStart.Call(&stackVar);

之后JIT编译函数invokeCompileMethod的methodInfo参数的成员变量ILCode处的情况。

000000018047407E 41 D2 E3             shl         r11b,cl
0000000180474081 41 D3 F3             sal         r11d,cl
0000000180474084 45 0F C1 DB          xadd        r11d,r11d
0000000180474088 4C 8B 5E 10          mov         r11,qword ptr [rsi+10h]
000000018047408C 4C 89 5F 10          mov         qword ptr [rdi+10h],r11

老板的情况:

0000000180497AB2: E9 A1 73 00 00 jmp  0000000180497AB8
0000000180497AB7: F8             clc
0000000180497AB8: 4C 89 5F 10    mov  qword ptr [rdi+10h],r11

r11寄存器做了一些位移和相加的动作,应该是解密ILCode的地址和确保r11不能修改,可见它确实做了加固加密处理。此外,在经过试验,在Jmp指令跳转到指定的位置时,会出现与HVMRun64.dll二进制不符合的数据。这应该也是它的一个反破解机制。

这两个东西,加上去似乎增加了难度。这种方式加上之前的防御策略,确实能阻挡大部分人。然二进制无不可做之事。我们顺着这个地址(000000018047408C)往下看:

000000018047409D 0F 84 DD 00 00 00 je 0000000180474180

这个地方其实可以hook下,但是DHVM似乎进行了相应的反hook机制,所以无法做到,继续往下看。

00000001804741C7 E9 00 00 00 00          jmp         00000001804741CC
00000001804741CC C6 84 24 81 00 00 00 2A  mov         byte ptr [rsp+81h],2Ah
00000001804741D4 E9 00 00 00 00          jmp         00000001804741D9
00000001804741D9 E8 C2 82 BA FF          call        000000018001C4A0

这两个jmp都是跳转到jmp本身指令集的下一条指令集地址的特性。所以这里是hook的好地方:

以上代码可以改为:

00000001804741C7 4C 8B 6F 10          mov         r13,qword ptr [rdi+10h]
00000001804741CB 90                   nop
00000001804741CC C6 84 24 81 00 00 00 2A mov         byte ptr [rsp+81h],2Ah
00000001804741D4 49 C6 45 0D 08       mov         byte ptr [r13+0Dh],8
00000001804741D9 E8 C2 82 BA FF       call        000000018001C4A0

如此跳转实际上是废跳,原理是把利用这两个jmp的特性,对它进行了一个Hook。

把ILCode的地址也即是【rdi+0x10】的地址赋给r13,然后把r13偏移量为0XD的地方byte修改为8.

它的一个C#示例是:

static void ABC()
{
    Console.WriteLine("Call ABC");
}


static void DEF()
{
    Console.WriteLine("Call DEF");
}


static void Main(string[] args)
{
   Console.WriteLine("Call Main");
   ABC();
   DEF();
   Console.ReadLine();
}

Main里面调用了函数ABC和DEF

调用ABC和DEF的二进制MSIL分别为:

ABC:28 07 00 00 06 00
DEF:28 08 00 00 06 00

他们不同点事,07和08,调用ABC的二进制MSIL在整个ILCode里面的偏移是0xD。所以上面Hook代码

00000001804741D4 49 C6 45 0D 08  mov  byte ptr [r13+0Dh],8

本来它的调用打印的结果是:

35bbc2f6750a1989e5abe6ab7b5e540f.png

hook之后打印的结果是:

f2998f9666cc3994c3954659ebbdc9c7.png

3.结尾

DHVM新版加强了难度,但我们可以利用指令集的一些特性来对它进行学习和研究,依然非常简单。

声明:本文仅为学习用途。

dotNET跨平台
关注
DNGuard。Net数据库保护
04-25
DNGuard HVM 一款 .Net 安全产品,它为 .NET 产品 代码、版权保护提供高强度解决方案。它强大的加密功能、混淆功能以及HVM虚拟机保护功能让您的产品同时受到多重保护,更加稳固您的合法利益不受不法份子的侵害。它能在不需要对源代码进行任何调整的情况下完美的保护您的源代码不受反编译及破解的侵害。
c#加密混淆.net加密混淆工具,dnguard hvm旗舰版/企业版
lai1170137052的博客
01-26 7813
你希望自己用.net辛辛苦苦做出来的软件被人轻易破解吗?你希望自己花了大量人力物力用.net开发出来的产品被竞争对手轻易获取核心代码吗?下面推荐一款c# .net加密混淆工具给大家,本人正在使用,非做广告! DNGuard HVM是 一款 .Net 安全产品,它为 .NET 产品 代码、版权保护提供高强度解决方案。它强大的加密功能、混淆功能以及HVM虚拟机保护功能让您的产品同时受到多重保护,更加稳固您的合法利益不受不法份子的侵害。它能在不需要对源代码进行任何调整的情况下完美的保护您的源代码不受反编译及破解
解放你的分析能力:DNGuard HVM 3.71 脱壳工具推荐
最新发布
gitblog_09816的博客
09-06 948
解放你的分析能力:DNGuard HVM 3.71 脱壳工具推荐 项目地址:https://gitcode.com/open-source-toolkit/d192c 项目介绍 在软件开发和安全研究领域,保护代码的安全性和分析受保护代码的能力是两个重要的课题。DNGuard HVM 是一款广泛使用的代码保护工具,而其试用版(3.71)的保护机制对于开发者来说可能是一个挑战。为了帮助开发者绕过这一障...
.Net 代码安全保护产品DNGuard HVM使用
weixin_33785972的博客
09-08 533
前辈人物写的程序啊! 官方网站:http://www.dnguard.net/index.aspx 官方博客:http://www.cnblogs.com/rick/ (很久没更新了) 原文http://www.anqn.com/jiamijiemi/gongjujiqiao/2009-12-22/a09121848.shtml DNGuard HVM 是一款 .Net 代码安全保护产品,...
DNGuard_HVM_Unpackerfr4.zip
08-15
支持dnguard3.8试用版脱壳,注意:1、需要在netbox40下使用此工具;2、测试支持exe文件,dll文件就要靠运气了。
Dnguard Hvm V2.8
Linhanshi Blog
12-07 1449
 DNGuard HVM is a .NET obfuscator and a .NET code protection tool that offers protection against reverse engineering of your code. This tool implements a unique code protection technology that blocks
.Net最强加密工具DNGuard HVM?
dotNET跨平台
07-24 2901
前言DNGuard HVM号称.Net内核级的加壳工具,它修改虚拟机CLR和编译器JIT。号称最强保护。其实破解它还是非常简单的,本篇3分钟带大家学习一个最简单的破解方式。概括1.介绍比如说有以下代码,项目名称DnGuard_Test:static void Main(string[] args) { Console.ReadLine(); Console.WriteLine("Call ...
DNGuard HVM 2.71beta
weixin_33785972的博客
01-08 146
新版本主要对HVM核心的算法和实现模块进行了调整. 增加对64位Windows系统的支持. 主程序界面和操作性方面的改进. 增加自动检测更新模块. 目前在进行64系统方面的检测,新版预计下月初发布. ...
DNGuard HVM 专业版 v2.7 正式发布。
weixin_34235457的博客
01-08 808
DNGuard HVM 专业版 v2.7 正式发布。 专业版使用HVM保护技术,方法体IL代码始终处于保护状态。 即使是在虚拟机编译过程中,在内存中也不会出现正确完整的ILCode。而是以HVM的伪代码形式出现。 HVM虚拟机通过参与Jit的编译过程,协助Jit直接从HVM伪代码生成本地代码。 官方网站:http://www.dnguard.net/ DNGuard 标准版零...
JitExplorer:类似于编译器资源管理器,但适用于.NET JIT
05-28
类似于 ,但适用于.NET JIT。 使用将C#源代码编译为可执行文件,然后执行。 在执行过程中以及JIT完成之后,将附加并使用进行反编译。 这样做的代码是从派生的。 与使用相比,此方法的优势在于它支持反汇编通用...
DNGuard_HVM_Unpacker(.net2.0-4.0)
04-24
本文将深入探讨HVM的工作原理,以及如何使用DNGuard HVM Unpacker在Windows XP环境下对受保护的.NET程序进行逆向工程。 首先,我们需要理解.NET框架的基本工作流程。.NET程序在运行时依赖于CLR(Common Language ...
DNGuard_HVM_Unpackerfr4
09-19
DNGuard_HVM_Unpackerfr4 By CodeCracker Support 3.8_Trial 3.74_Trial How to use 1.If your system is XP and install .NetFramework4, you can use it right away. If your system is Windows 7,8,10, you can use the NetBox PS: NetBox: run framework assemblies without installing .NET framework. 2.Copy the unpacker in same directory with the file to be unpacked. 3.Run the Unpacker in NetBox or Run directly 4.Unpack
DNGuard_HVM_Unpacker 双版本2.0-4.0最新版
05-02
Full Dnguard 3.68 support. Dnguard trial should be all supported! Dnguard 3.69/3.70 are not yet supported. Recommended OS: Windows XP DNGuard_HVM_Unpacker.exe should be loaded by Framework 2.0 DNGuard_HVM_Unpackerfr4.exe should be loaded by Framework 4.0
DNGuard_HVM_脱壳工具.zip
12-31
不会用不要乱弄 专去HVM壳10和11运行不了 打开没反应记得换xp系统或在VM下操作
DNGuard.HVM 3.6 Net企业级加密
10-09
DNGuard HVM采用的是纯虚拟机处理层的内核.兼容目前所有的32位.Net 框架版本,Net 1.1,2.0,3.0,3.5 以及其所有子版本(如beta x,CTP,RC,sp x等).支持泛型方法的加密.加密保护过程不依赖 ildasm 和 ilasm.支持 C++/CLI含本地代码的混合程序集的加密保护.完全兼容其它纯混淆保护工具,不必担心其它混淆工具对ildasm设限导致无法加密.加密后的程序集完全兼容其它整体加密或者打包、xbundler等保护方式.
DNGuard.HVM 3.6】Net企业级加密
01-21
DNGuard.HVM 3.6】Net企业级加密
Jit防火墙 试用版 C#.Net加密保护
04-01
支持:x86模式的.NET加密 使用方法: 只能加密你自己写的函数,不能加密系统生成的,加了无法在正确时机解密。 如果是dll文件同时没exe一起加密 需要自己给dll写个 void Main(){int i=0;}不需要勾选 会自动识别 这个...
C#系列学习笔记1:.NetJIT
weixin_41677058的博客
08-24 2220
C#系列学习笔记1:.NetJIT.NetJIT .Net .NET是跨语言的一个平台,核心就是.NET Framwork,是.NET程序开发和运行的环境。语言可以是C#,f#,j#,VB.net等等。c#是运行在.Net平台下的一种面向对象的高级编程语言。 .Net框架的组成分为两部分: CLR:公共语言运行时(Common Language Runtime),提供内在管理,代码安全性检测等功能。 FCL:.NET框架类库(.NET Framework Class Library),提供大量应用类
微软官网下载pdf版本2023《.net C#》开发指南中文版
09-20
.NET C#》开发指南中文版是微软官方发布的一份详尽的资源,适合C#初学者和进阶者,共包含3000多页的内容。这份指南旨在帮助开发者掌握C#编程语言,充分利用.NET平台进行软件开发。下面我们将深入探讨C#语言的关键...
.NET框架与C#的关系及JIT编译原理
C#通过.NET Framework提供了丰富的编程功能,而.NET Framework通过CLR和JIT编译机制确保了代码的高效执行和跨平台能力。开发者使用C#可以轻松创建各种类型的应用程序,并受益于.NET Framework的强大支持和服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值