Aplo大大的两篇文章,很屌
我一直很关注瑞克的博客,自从他已开始发布dotnet保护文章开始,因为我也很关注这方面的技术。毕竟是BCG的成员嘛,哈哈哈,看到瑞克终于把 DNGuard HVM 推出,于是就小试一把。看看他把自己的软件说的很棒,到底做到什么保护程度。
不过由于时间有限,我只研究了一个开头,不过我会继续向下深入的分析的。
废话少说,言归正传:
拿到 DNGuard HVM 2007 (可能是使用版,具体给问瑞克了,我是从他bbs上下载的,他说标准版和专业版不提供下载,我也没有办法了)
首先,dotnet实现即时编译是通过mscorjit.dll实现的。其提供一个导出函数getJit,就可以得到FJitCompiler对象的地 址,该对象是Singleton模式。无论你调用多少回只会返回一个对象实例。该对象实现了ICorJitCompiler接口,可以进行对dotnet 程序即时编译。
DNGuard HVM 的做法是将 mscorjit.dll 中导出函数 getJit 修改,直接跳转他的运行环境 HVMRuntm.dll 0x600085D0 地址,
0x600085D0 mov eax,0x6001FEE4
ret
这样在执行完 getJit 就会返回 0x6001FEE4 地址,这个地址是 DNGuard HVM 实现的一个即时编译对象的地址,当然他也是继承了ICorJitCompiler接口,并实现了compileMethod 虚函数。这样我们就可以通过虚函数表找到这个函数地址。
这里是虚函数表:
0x600188B4 ==> 0x60008AD0
0x60008AE0
0x60008AF0
其中0x60008AD0 就是 compileMethod 虚函数的函数地址。具体内容如下:
0x60008AD0 mov eax, [0x60021934]
mov ecx, [eax]
mov [esp+04], eax
mov eax, [ecx]
jmp eax
这里是什么意思呢?
哈哈哈,我来解释一下:
mov eax, [0x60021934] [0x60021934]内存的内容就是 0x790AF70
0x790AF70这个就是微软实现即时编译对象的地址。它将原来 getJit 本该返回的对象地址传给eax,然后
mov ec