Phoenix RDK的妙用

最新推荐文章于 2025-06-09 19:22:27 发布
原创 最新推荐文章于 2025-06-09 19:22:27 发布
· 1.6k 阅读 · 0 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#cil #编译器 #object #优化 #.net #c#

Phoenix RDK的妙用

 

         什么是RDKRDKResearch Development Kit的缩写,可以理解成未正式发布的SDKPhoenix RDK是微软的一个有关编译器的项目,官方网址http://research.microsoft.com/phoenix/。由于文档很少,也没有什么tutorial,一直没有深入进去。不过今天一不小心发现了phx rdk有自动优化的功能,可以运用于部分.net程序流程混淆的自动反混淆。

         下面来看实例。一个.net可执行文件,用reflector打开后,当解码显示为C#时,出错:

 

         将解码换成il,可以看到报错的原因是前4行语句:

.method family hidebysig virtual instance bg69HSMjsC.BAwiRPXqUI3RVh GenerateSearchBase(int32, object) cil managed

{

      .maxstack 7

      .locals init (

            [0] bg69HSMjsC.BAwiRPXqUI3RVh vh1,

            [1] bg69HSMjsC.BAwiRPXqUI3RVh vh2,

            [2] bool flag1)

      L_0000: br L_0007

      L_0005: pop

      L_0006: ldc.i4.0

      L_0007: nop

      L_0008: ldarg.2

      L_0009: ldnull

      L_000a: ceq

      L_000c: ldc.i4.0

         dreaman分析,reflector之类的反编译软件以堆栈作为解码依据,大意是每句指令开始与结束必须椎栈为空,且语句执行过程中不能出现椎栈的underflow。(overflow一般不大可能出现。)所以,L_0005处的pop在椎栈为空时进行出栈操作,尽管这两句不会运行,但reflector仍然报错。

         这种流程混淆是最原始的了,更高级的混淆及相应分析见dreaman的文章。

         Phx rdx有自动优化功能,运用这个功能,参照phxsample源代码,写了个最简单的工具replace.exe。(源码请参考phx rdk中的addnoptoolsample源码)。

         运行后输入:replace input.exe output.exe

再用reflector打开output.exe,反编译同一个方法:

 

         已经成功解码成C#了。切换成il可以看到,前4行语句已经被编译器的优化去除了:

.method family hidebysig virtual instance bg69HSMjsC.BAwiRPXqUI3RVh GenerateSearchBase(int32, object) cil managed

{

      .maxstack 2

      .locals init (

            [0] bg69HSMjsC.BAwiRPXqUI3RVh vh1,

            [1] bg69HSMjsC.BAwiRPXqUI3RVh vh2,

            [2] bool flag1)

      L_0000: nop

      L_0001: ldarg.2

      L_0002: ldnull

      L_0003: ceq   

 

         Phoenix RDK的功能太强大了,已经有人利用phx写出了混淆器等。有兴趣的研究的一起来学习下。(附件传不上来,去这里下载:http://bbs.pediy.com/showthread.php?s=&threadid=37572

 

 

 

 

ildasm for .net2.0的一处修正
coding 4 FUN (tankaiha的布洛格)
01-14 1269
ildasm2.0在检测System.Runtime.CompilerServices.SuppressIldasmAttribute时会拒绝反编译。于是把这处检测给patch了。顺便说一下,sscli的多么的爽,下面的代码分别是ida反汇编出的和sscli中的,对比下看看。.text:0042FB93                 call    HasSuppressingA
PCI9052RDK-LITE.rar_9052 RDK_PCI 9056RDK-LITE_PLX PCI9052_plx 9
09-21
标题中的"PCI9052RDK-LITE.rar"指的是一个关于PLX 9052 RDK-Lite开发套件的压缩文件,这通常是一个包含软件开发工具、驱动程序、文档和技术支持资源的集合。"PCI 9056RDK-LITE"可能是指9052相关的另一种开发套件,...
DM8127 IPNC RDK TI WIKI
08-22
DM8127 IPNC RDK TI WIKI
rdk-emulator:用于测试您的电视应用程序的 RDK 模拟器
06-02
RDK模拟器 RDK 模拟器使您能够运行计量 SDK 应用程序。 入门 要求 下载并安装它(如果您的主机系统中没有它)。 下载并安装它(如果您的主机系统中没有它)。 下载并安装它(如果您的主机系统中没有它)。 根据您...
Luminary Micro推出Stellaris参考设计工具包RDK-BLDC
11-24
Luminary Micro推出的Stellaris参考设计工具包RDK-BLDC是一款专为无刷直流电机控制设计的创新工具,基于高性能的ARM Cortex-M3架构。这个工具包旨在简化复杂电源、控制和连接功能,加速从研发到生产的过程,特别适合...
RDK-Web-Performance-Node
03-19
3. **Node.js**:Node.js是JavaScript的一个服务器端运行环境,它使得开发者可以用JavaScript编写服务器端代码。Node.js的V8引擎使得其执行速度快,同时其非阻塞I/O和事件驱动的特性使其在处理大量并发连接时表现...
CLR内核随记(1)
coding 4 FUN (tankaiha的布洛格)
01-16 1804
CLR内核随记(1) 把平时看到的一些东西记下来,没准以后用的上。 本文利用调试跟踪CLR中接口virtual方法的定位。为什么呢?好玩儿而已。 这是在某壳挂钩JIT的代码,有些东西还是很有意思(总是觉得这些壳作者知道很多CLR的内部结构,估计微软对他们部分开源了):.text:10002A4C                 mov     eax, [ebp+ICo
Protections and Reverse Engineering under .Net (CodeBreakers Journal投稿文章)
coding 4 FUN (tankaiha的布洛格)
01-14 946
很欣慰的发现,偶的英文老外还能看得懂。原文链接为http://www.secure-software-engineering.com/index.php?option=com_content&task=view&id=123&Itemid=27但排版不好,因此我做了pdf,请去我的网络硬盘下载
.net2.0之杂七杂八(1)
coding 4 FUN (tankaiha的布洛格)
01-04 926
.net 2.0相对.net1.0和1.1有些新东西,这里大致罗列一下,也算备份。3.0暂时没装,等明年吧。 1.       PE文件结构1.1                    COFF头中的Characteristics项,对于常用托管代码编译器,生成的值通常为0x010E,既IMAGE_FILE_EXECUTABLE_IMAGE | IMAGE_FILE_LINE_NUMS
.net2.0之杂七杂八(3)
coding 4 FUN (tankaiha的布洛格)
01-08 898
.net2.0之杂七杂八(3) 先来看泛型,总体上说,.net中的泛形的实现,从高级语言看不出有什么复杂,但是从msil级别则可以看出原来编译器替我们做了很多工作。具体不想说了,内容太多。但记住一个原则:任何对于泛型类(Generic Type)和泛型方法(Generic Method)的操作,都是在其实例化(instantiation)的基础上进行了,直接对泛型的操作没有意义。 
.net2.0之杂七杂八(4)
coding 4 FUN (tankaiha的布洛格)
01-08 867
Managed Exception HandlingEH块紧跟在IL代码后(还记得方法体的结构吗),首先是一个EH头,EH头中包括Kind和DataSize两项。同样,EH头分small和fat,不同的是DataSize的大小,fat为3字节,而small为1字节。Kind的可选值如下:0x00:Reserved0x01:EHTable(必须置位)0x02:OptILTable
.Net Framework 4/C# System.IO 命名空间(文件的输入输出)
qq_67853786的博客
06-05 1131
基于 .Net Framework 4 的 C# 编程,本章主要内容包含System.IO 命名空间(文件的输入输出)
.Net Framework 4/C# 关键字(非常用,持续更新...
qq_67853786的博客
06-06 586
基于 .Net Framework 4 的 C# 编程,本章主要内容包含非常用的关键字,将持续补充
.NET AOT 详解
tangPHP的博客
06-06 906
AOT(Ahead-Of-Time Compilation)是一种将代码直接编译为机器码的技术,传统的 JIT(Just-In-Time Compilation)编译方式形成对比。在.NET 中,AOT 编译可以在应用发布时将 IL(中间语言)代码转换为平台特定的机器码,而不是在运行时进行 JIT 编译。
.NET 8集成阿里云短信服务完全指南【短信接口】
李赛赛的专栏
06-05 1669
在当今的互联网应用中,短信验证码、通知等功能已成为必不可少的部分。阿里云短信服务(SMS)作为国内领先的短信平台,提供了稳定可靠的短信发送能力。本文将详细介绍如何在.NET 8应用中集成阿里云短信服务,实现短信发送功能。
.net Span类型和Memory类型
博客
06-05 1299
Span<T>代表一块连续的、不可变长度的内存区域,可直接读写其中的元素。它可以在栈上声明,也能指向堆上分配的数据或其他内存位置。这种设计使得在不复制数据的情况下,能高效处理内存区域,尤其适用于处理大型数据结构、高性能计算以及操作系统交互的场景。Span<T>和Memory<T>类型为 .NET 开发者提供了强大的内存处理能力。Span<T>适用于需要直接、高效访问内存的场景,而Memory<T>则更适合处理复杂的内存所有权和跨线程、异步操作。合理运用这些类型,可以显著提升程序的性能和资源利用率。
【开发技术】.Net使用FFmpeg视频特定帧上绘制内容
勿芮介的博客
06-09 373
本文介绍了使用FFmpeg和Xabe.FFmpeg库在医疗AI识别视频中绘制ROI区域的方法。通过drawbox滤镜,可在指定帧上绘制检测框,展示算法识别效果。文中详细说明了Xabe.FFmpeg的安装配置、获取视频帧和绘制ROI的具体实现,包括参数设置、滤镜构建和视频编码优化。该方法支持在多种应用场景下处理视频数据,为展示AI识别结果提供了有效解决方案。FFmpeg强大的多媒体处理能力结合Xabe.FFmpeg的便捷调用,实现了高效灵活的视频标注功能。
10分钟学会使用.Net技术开发一个Ai智能体应用
最新发布
码事漫谈
06-09 873
CozeSharp(扣子 Coze Chat SDK)是使用 C# 语言编写的开发工具包,它为开发者提供了便捷的方式来集成 AI 智能体功能到自己的应用中。该 SDK 不仅提供了丰富的 API,还附带了一个 ConsoleApp 示例,方便开发者快速上手。通过本文的介绍,你已经学会了如何使用 .NET 技术开发一个基于扣子 Coze 的 AI 智能体应用。扣子 Coze Chat SDK 提供了丰富的功能和便捷的 API,让开发者可以轻松集成 AI 智能体功能到自己的应用中。
PCI9054RDK开发原理图详细解析
"9054RDK官方原理图提供了PCI9054RDK-860的系统框图和多次更新的历史记录,是针对PCI接口开发的重要参考资料。" 9054RDK是一个基于PCI9054芯片的开发套件,主要用于PCI(Peripheral Component Interconnect)接口的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值