.net core dll 套壳加密_[.Net]详解ConfuserEx的Anti Tamper与Anti Dump

最新推荐文章于 2024-09-13 21:45:06 发布
最新推荐文章于 2024-09-13 21:45:06 发布
阅读量1.6k 收藏
点赞数
文章标签: .net core dll 套壳加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_27744023/article/details/113038885
版权
本文详细介绍了ConfuserEx的Anti Tamper和Anti Dump保护机制。Anti Dump通过清除元数据和阻止搜索关键标志防止Dump,而Anti Tamper采用原地解密模式,修改RVA指向加密数据并在运行时解密。分析了这两个保护的实现原理,并提供了AntiTamper Killer的静态脱壳机下载链接。
摘要由CSDN通过智能技术生成

请把优秀的文章分享出去,让更多人学习。

关注本公众号,精彩多多!

(点击上面“飘云阁”即可关注)

详解ConfuserEx的Anti Tamper与Anti Dump

许多人都知道利用dnSpy单步调试+Dump+CodeCracker的一系列工具可以脱去ConfuserEx壳,这些在网上都有教程,但是并没有文章说明过背后的原理。本文讲尽可能详细解说ConfuserEx的Anti Tamper与Anti Dump(有耐心并且了解一点点的PE结构完全可以看懂)

1.1 ConfuserEx整个项目结构

在开始讲解之前,我们大概了解一下ConfuserEx项目的结构。
我们用Visual Studio打开ConfuserEx,项目大概是这样的:

4062b63fabf205457dbd1e03387ab9b1.png

Confuser.CLI的是命令行版本,类似de4dot的操作方式
Confuser.Core是核心,把所有部分Protection组合到一起
Confuser.DynCipher可以动态生成加密算法
Confuser.Protections里面包含了所有Protection,这是需要研究的部分
Confuser.Renamer可以对类名、方法名等重命名,包括多种重命名方式,比如可逆的重命名,这些没有在ConfuserEx的GUI里面显示就是了
Confuser.Runtime是运行时,比如Anti Dump的实现,其实就在这个项目里面。上面提到的Confuser.Protections会把Confuser.Runtime中的Anti Dump的实现注入到目标程序集。
ConfuserEx是GUI,没必要多说。整个项目几乎没什么注释,下面的中文注释均为我添加的。

1.2 Anti Dump

Anti Dump比起Anti Tamper简单不少,所以我们先来了解一下Anti Dump。
Anti Dump的实现只有一个方法,非常简洁。
我们找到Confuser.Protections项目的AntiDumpProtection.cs。

0b2c69da182d295fe2e8c52e0edf7450.png

protected override void Execute(ConfuserContext context, ProtectionParameters parameters) {
    
    TypeDef rtType = context.Registry.GetService().GetRuntimeType("Confuser.Runtime.AntiDump");
    // 获取Confuser.Runtime项目中的AntiDump类
    var marker = context.Registry.GetService();
    var name = context.Registry.GetService();
    foreach (ModuleDef module in parameters.Targets.OfType()) {
    
        IEnumerable members = InjectHelper.Inject(rtType, module.GlobalType, module);
        // 将Confuser.Runtime.AntiDump类注入到目标程序集,返回目标程序集中的所有IDnlibDef
        MethodDef cctor = module.GlobalType.FindStaticConstructor();
        // 找到::.cctor
        var init = (MethodDef)members.Single(method => method.Name == "Initialize");
        cctor.Body.Instructions.Insert(0, Instruction.Create(OpCodes.Call, init));
        // 插入call void Confuser.Runtime.AntiDump::Initialize()这条IL指令
        foreach (IDnlibDef member in members)
            name.MarkHelper(member, marker, (Protection)Parent);
        // 将这些IDnlibDef标记为需要重命名的
    }
}

AntiDumpProtection做的只是注入,所以我们转到Confuser.Runtime中的AntiDump.cs

8e2e30dce216e95ba782a631e1e0f6a6.png

static unsafe void Initialize() {
    
    uint old;
    Module module = typeof(AntiDump).Module;
    var bas = (byte*)Marshal.GetHINSTANCE(module);
    byte* ptr = bas + 0x3c;
    // 存放NT头偏移的地址
    byte* ptr2;
    ptr = ptr2 = bas + *(uint*)ptr;
    // ptr指向NT头
    ptr += 0x6;
    // ptr指向文件头的NumberOfSections
    ushort sectNum = *(ushort*)ptr;
    // 获取节的数量
    ptr += 14;
    // ptr指向文件头的SizeOfOptionalHeader
    ushort optSize = *(ushort*)ptr;
    // 获取可选头的大小
    ptr = ptr2 = ptr + 0x4 + optSize;
    // ptr指向第一个节头

    byte* @new = stackalloc byte[11];
    if (module.FullyQualifiedName[0] != '    {
    
        // 这里判断是否为内存加载的模块(dnSpy里面显示InMemory的),比如Assembly.Load(byte[] rawAssembly)
        // 如果是内存加载的模块,module.FullyQualifiedName[0]会返回""
        //VirtualProtect(ptr - 16, 8, 0x40, out old);
        //*(uint*)(ptr - 12) = 0;
        byte* mdDir = bas + *(uint*)(ptr - 16);
        // ptr指向IMAGE_COR
最低0.47元/天 解锁文章
吟澜
关注
python 调用dll_Python 调用C#的DLL文件
weixin_39537049的博客
12-07 968
一个项目遇到了一个可能需要使用Python调用C#的DLL文件的需求,就查找了一下资料。自己尝试了一下。我的Experts.dll文件中,有个Security类,类中有个AESEncrypt方法,可以对字符串进行加密。现在就来调用这个方法进行测试。首先在Pycharm中,一开始安装clr,结果不行,接着根据第二篇文章中所述,安装pythonnet库。安装过程如下:在Pycharm的Fil...
C# dll加密技术分析
05-24 3263
c# dll 加密最快的方法使用加壳工具Virbox Protector,直接加密,Virbox Protector可以对dll进行性能分析,分析每个函数的调用次数,对每个函数选择保护方式如:混淆/虚拟化/碎片化/代码加密等;每种加密方法的特点是什么呢? 代码加密(X86): 针对X86汇编代码:一种代码自修改技术(SMC)保护代码。把当前代码加密存储为密文,存储起来,当程序运行到被保护函...
三款免费的.NET混淆工具推荐
专注于C#/.NET/.NET Core学习、工作、面试干货和实战教程分享。这里聚焦了大量的C#/.NET/.NET Core优质文章、开源项目、实用工具和学习、工作、面试心得。
10-12 1434
它具有灵活的配置选项,可以根据不同的需求进行定制(不足的是目前只支持.NET Framework 2.0/3.0/3.5/4.0/4.5/4.6/4.7/4.8,不支持.NET Core代码混淆)。该项目已收录到C#/.NET/.NET Core优秀项目和框架精选中,关注优秀项目和框架精选能让你及时了解C#、.NET.NET Core领域的最新动态和最佳实践,提高开发效率和质量。JIEJIE.NET是一个开源的.NET程序集混淆工具,旨在帮助保护.NET应用程序的版权和知识产权。
ConfuserEx 常见问题解决方案
最新发布
gitblog_09183的博客
09-13 402
ConfuserEx 常见问题解决方案 ConfuserEx An open-source, free protector for .NET applications 项目地址: https://gitcode.com/gh_mi...
BCVP开发者说第4期:Remember.Core
dotNET跨平台
11-27 238
沉静岁月,淡忘流年1项目简介Remember.Core一个轻量的 Web 应用框架, 具有优雅、高效、简洁、富于表达力等优点。采用 前后端分离 设计,是崇尚开发效率的全栈框架简洁友...
.net core dll 套壳加密_.NET Asp.net中Application、Session、Cookie、ViewState、Cache、Hidden区别...
weixin_27722377的博客
01-15 194
这些对象都是用来保存信息的,包括用户信息,传递值的信息,全局信息等等。下面主要说一下他们之间的区别:1.Application对象Application用于保存所有用户的公共的数据信息,如果使用Application对象,一个需要考虑的问题是任何写操作都要在Application_OnStart事件(global.asax)中完成.尽管使用Application.Lock和Applica...
.NET DLL 加密工具
weixin_34329187的博客
11-17 1463
最近发现了一个软件叫 DotfuscatorPro 混淆加密工具 设置方式如下 1. Settings->Global Options   Disable String Encryption 设为 NO Disable Control flow、Dsiable Renaming 也为 NO 2.设置输出目录,一定要指定文件夹,否则会出现-1错误   3.Input 选项...
neo-ConfuserEx:更新了ConfuserEX,这是一个用于.NET应用程序的开源,免费混淆器
02-05
Neo ConfuserEx Neo ConfuserEx是项目的后继者,项目是一个开放源代码C#模糊处理程序,它使用自己的进行汇编操作。 Neo ConfuserEx处理大多数dotnet应用程序,支持所有可简化的.NET Framework并在文件上提供不错的模糊处理。 如果您有任何疑问或问题,请让我知道。 您可以下载最新的官方版本和最新版本。 文献资料 请查看我们的页面,其中我们的每种保护都对其功能进行了清晰的介绍和解释。 混淆功能 支持.NET Framework 2.0 / 3.0 / 3.5 / 4.0 / 4.5以及最高4.7.2 符号重命名(支持WPF / BAML) 防
CFA.zip_matlab CFA插值_tamper in matlab_图像篡改_图像篡改检测_检测 图像 篡改 程序
07-14
基于CFA(颜色滤波阵列)插值检测的图像篡改检测程序
Tampermonkey_4.10_chrome.zzzmh.cn.rar
11-03
3. **安全与隐私**:虽然 Tampermonkey 提供便利,但安装非官方来源的脚本可能存在安全风险,可能导致数据泄露或恶意行为。因此,用户应谨慎选择并只从可信任的源下载脚本。 4. **开发与调试**:对于开发者来说,...
Tampermonkey_4.10_chrome.crx.zip
06-17
U2FsdGVkX1/okQ0twOeYFz4laV9vlKmrAspHdzdtsjANT/XggYhbq5elBcyC2lMw(密码前三个数字https://www.sojson.com/encrypt_des.html)
最好用的.net代码混淆工具LogicNP_Crypto_Obfuscator
07-05
解压密码: irdevelopers.com LogicNP_Crypto_Obfuscator_For_.Net_Version_201,强大的代码混淆,及合并成一个可执行文件工具
ConfuserEx
12-08
一个开源的代码加密工具,可以防止DE4OT的反编译,附上源码地址:https://github.com/yck1509/ConfuserEx
开源代码混淆器
01-13
Confuser,是codeplex上的一个开源项目,C#代码混淆。经过我测试后发现,混淆的dll,reflector也反编译不了,效果很好。
C#代码混淆工具ConfuserEx_bin
07-22
C#代码混淆工具,ConfuserEx_bin,防止.net被反编译,免费开源易用,
【C#混淆工具】ConfuserEx
04-25
该工具主要应用于C#代码编译出来的 dll类库 和 可执行程序exe,可将其加壳,有效防止反编译看源码。
BKP.rar_hse_tamper_yes
09-19
Once a low level is applied on PC.13 pin (ANTI_TAMP) the Backup data registers are reset and the Tamper interrupt is generated. In the corresponding ISR we check if the Backup data registers are ...
测试开源.net 混淆器ConfuserEx
Unknowncheats的博客
04-27 407
由于公司业务需要简单的把代码加密混淆,于是了解了一下相关的工具然后打算用ConfuserEx试试。 开源地址:https://github.com/yck1509/ConfuserEx/ 下载地址:https://github.com/yck1509/ConfuserEx/releases 开始工作 1.简单编写一个产生随机数的Winform窗口程序 代码如下 using ...
Anti-dump的原理
whatday的专栏
02-16 2288
第三章.Anti-dump的原理 "我们踏进又踏不进同一条河,我们存在又不存在。"                                                      ----赫拉克利特     事物往往就是这样,它在发展中需要正面的也需要反面的,他们是对立统一在一起的。在前面我们的dump已经基本和一个LordPE的功能差不多了,现在我们要分析一下,一个程序是如何an
http://tampermonkey.net/
03-17
http://tampermonkey.net/ 是一个浏览器扩展程序,可以在浏览器中运行用户自定义的脚本,以实现对网页的个性化定制和功能增强。Tampermonkey 支持多种浏览器,包括 Chrome、Firefox、Safari、Edge 等。用户可以通过 Tampermonkey 安装和管理自己编写或下载的脚本,以实现对网页的自定义修改和功能增强。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值