.Net加密保护工具分析介绍

最新推荐文章于 2023-04-26 08:02:27 发布
最新推荐文章于 2023-04-26 08:02:27 发布
阅读量78 收藏
点赞数
原文链接:http://www.cnblogs.com/lhws/p/3533431.html
版权

本文主要介绍一些dotNet加密保护工具的原理以及就其脱壳进行简单探讨。

remotesoft protector、maxtocode、.Net Reactor、Cliprotector、themida .Net、xenocode native compiler、DNGuard。

remotesoft protector

应该是一款比较老的。net加密保护工具了,看其官方网站似乎还是06年更新过。该软件没有提供试用版下载,相关资料比较少。去年接触过一

个该软件保护的.Net程序。加密后的程序发布时需要附带native 的 dll。

这款壳可以算是jit层的壳,是jit wrap 模式,通过hook getJit函数,拦截 jit 请求。在每次发生jit请求时其运行库会将加密的程序集完全

“原地” 解密还原。

特点:整体解密

脱壳:拦截地层jit请求,然后中断。这时程序集已经完全解密,直接pe dump就行了。

 

maxtocode

这个大家应该比较熟悉了,和 remotesoft protector 应该时前后脚起步的关系吧。其1.x,2.x,3.1x和3.2内核有很大差别。

特点:单方法体解密

maxtocode 1.x 版本没有用过,不过DST组的菩提曾经写过 maxtocode 1.x 的脱壳机。

maxtocdoe 2.x 其内核是EE层,单方法体“原地”解密。编译之后再擦除解密的代码。

脱壳:因为是“原地”解密,所以方法体代码逃不过profile的。可以在profile里面记录每个方法体,然后填充到文件中。

方法二:nop 调 其内核 的擦除代码。这个不用修改其内核文件,只要还原 mscorwks。dll 中其hook的第二处地方即可。这样方法体解密后就

在内存中了。所有方法invoke一面,直接pe dump即可。

maxtocode 3.1x,这个版本接触得比较多,我接触的第一个maxtocode版本就是3.10。这一版其内核相对2.x变动比较大。方法体已经不是原地

解密的了,也就是说profile已经不能监视到其il代码了,这算是一个巨大的进步吧。3.1x的内核基本上是一样的,只是后续的版本针对反射做

了一些小动作。

脱壳:直接反射、修复后反射。

方法二:直接调用其内核的解密函数进行脱壳,简单快速。

maxtocode 2007 企业版,Jit层内核 ,其在 ee 层和 jit层均安装了多处 hook。其内核在前面的文章里面有详细介绍。

脱壳:因其jit层内核的漏洞,可以用简单的方式还原方法体。Hook Jit 后可以简单的进行方法体还原完成单个方法的脱壳。

把每个方法都脱一面,填回文件即可。

.Net Reactor

一款很特别的。net加密壳。它有两种模式, application 和 library。

第一种模式 是把 。net程序整体加密,然后创建一个 native的loader。整体加密的脱壳很简单,dump 内存即可。

第二种模式 加密后的程序集也要带一个native的dll。和maxtocode一样,加了很多静态构造函数,一个startup函数。

但是在 startup函数调用后,即完成了程序集的全部“原地”解密。所以运行后直接dump内存就可以了。

脱壳:直接pe dump。

CliProtector

一款jit层的加密壳,大概是去年年底发现的。当时我在进行DNGuard2.0的开发,经分析后发现其内核模式和当时DNGuard 2.0的jit层内核很相似。分析后不久就发现了其jit层内核处理的一个漏洞,可以用简单的方式还原方法体。也就是最近在maxtocode 2007 企业版中发现的那个。在我的DNGuard 2.0 中对这个漏洞进行了预防处理。

个人感觉其模式兼容性比maxtocode 2007企业版要好。只是可惜,它除了有jit层漏洞,还偷了赖,IL代码没有加密,和我出的dnguard 1.0 demo一样,只是把 il搬了一下位置,没有加密。不过对于jit层脱壳来说加不加密倒无所谓了。但这样可能导致破解者从另一个角度去脱壳了。

特点:单方法体解密

脱壳:Jit hook,简单方法体还原, 同maxtocode2007企业版的脱壳方式。

方法二:分析其加密文件结构,直接还原(因其il代码没有加密,可以不用考虑解密算法的研究)。

themida .Net

themida 是win32的一个强壳,它支持 。Net的加密,其加密方式是整体加密,但是凭借其win32 anti的优势,相比其它整体加密的加密工具来说强度要高一点,不过也就仅仅那么一点。

脱壳:过anti,pe dump。

xenocode native compiler

xenocode 的专长是混淆保护,不过它也提供了一个所谓的生成本地代码的功能。其生成本地代码其实就是把 程序集打包,创建一个native loader。但是它的打包把framework都包进去了,也就是说打包后的程序可以在没有安装framework的机器上直接运行,代价是生成的文件体积非常大,因为它把十几兆的framework包进去了。

脱壳:直接pe dump。

方法二:分析其打包的文件格式直接解包(已有工具)。

DNGuard 1.0 内核模式同 maxtocode 3.1x。脱壳方式也雷同。

DNGuard 2.0 Jit层内核,同maxtocode 2007企业版和CLIProtector。相比少了一个漏洞,不能用简单方式还原方法体。

如果破解者对jit内核工作非常熟悉,也能从jit层的结构体中重构出方法体。

脱壳:Jit hook 结构体重构模式。

总结:

以上除了 maxtocode 3.x, DNGuard, CLiProtector 外,其它工具加密的程序都存在profile漏洞,可以通过profile获取代码。

综合兼容性和强度 CLiProtector 和 maxtocode 2007 企业版 要好一些。

DNGuard 2.0的强度好一些,兼容性比较差,就只支持 v2.0.50727.42 的framework。

DNGuard新版已经开始采用兼容全部framework的模式了。

上面的所有工具加密的程序集,都可以直接在jit层中截获 IL字节码。 IL字节码不是方法体,它是方法体的一部分。

只取得il字节码无法完成脱壳工作,但是已可反为MSIL汇编代码,进行算法分析了。

DNGuard HVM的目标就是不让jit层截获可分析的IL字节码。

转载于:https://www.cnblogs.com/lhws/p/3533431.html

weixin_30507481
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
.NET项目混淆加密
weixin_30824277的博客
02-18 218
1. VS2015开发环境会默认安装Dotfuscator社区版。 2. 找到安装路径,我的是:D:\Program Files (x86)\Microsoft Visual Studio 14.0\PreEmptive Solutions\Dotfuscator and Analytics Community Edition 3. 点击dotfuscator.exe,填写信息,等待注册通过。...
javaScript 压缩混淆反混淆
SuperLin的博客
09-03 4045
javaScript 压缩混淆反混淆压缩混淆的意义1. 压缩2. 混淆如何压缩混淆案例Unicode转义序列(Unicode Escape Sequence)压缩代码(Compact code)转换对象的键(Transform Object Keys)死代码注入(Dead Code Injection)标识符生成(Identifier Names Generator)前缀(Indentifiers...
浅谈.Net脱壳中方法体的局部变量签名还原
weixin_34217711的博客
01-08 380
在之前介绍Jit层脱壳原理时曾提到两个难点,1。方法体的局部变量签名。2。方法体的SEH 异常处理表。 本文主要就第一个问题进行简单探讨,随带也涉及到一些第二个问题。 前面提到过投机的方式获取,不在本文讨论范围,投机总是过于侥幸。 进入到Jit层后,局部变量签名已经由token值转变为了结构体 CORINFO_SIG_INFO ,可以推测,该转变应该是在 ee 层调用 jit的预处理过程中完...
JIEJIE.NET - 强大的 .NET 代码混淆工具
dotNET跨平台
04-26 470
JIEJIE.NETJIEJIE.NET 是一个使用 C# 开发的开源 .NET 代码加密工具。很多 .NET 开发人员担心他们的软件被破解,版权受到侵犯,所以他们使用一些工具来混淆 IL 代码。比如 PreEmptive dotfuscator, 但有些场景的需求,是这些工具不能满足的。所以作者写了 JieJie.NET,它可以深度加密.NET程序集,帮助大家保护版权。重要的是,这个工具是开源的...
Virbox 开发者工具盒-软件加密工具
08-09
dll、exe的加密保护 防止软件被反向工程、反向汇编、反向编译 软件的授权控制:限时、限次、限功能,限制设备绑定等 资源文件的加密:PDF、PPT、视频等,防止复制拷贝 优势 Virbox 加密方案配合使用深思新一代...
.net反编译工具(配合Reflector)
04-06
大多时候为了研究学习,可以通过Reflector反编译分析代码,但是有些程序进行了一定的混淆或者加密(壳保护),就需要进行反混淆和脱壳,这些小工具就可以节省你不少时间。从网上收集的,花了不少时间,而且经过试用...
Dotfuscator Pro V6 .NET混淆器
07-26
代码混淆:Dotfuscator Pro 使用先进的代码混淆技术来修改和隐藏 .NET 程序集中的代码,使其更难以被理解和逆向工程。通过混淆代码,开发人员可以有效地保护其知识产权和应用程序的逻辑。 重命名:Dotfuscator Pro ...
ASP.NET企业投资价值分析系统(源代码+thesis).zip
08-31
安全性保护:我们将使用ASP.NET提供的身份验证和授权功能,确保只有经过授权的用户可以访问敏感数据和功能。我们还将使用加密技术来保护用户的敏感信息,如密码和支付信息。 缓存管理:为了提高应用程序的性能,我们...
asp.net知识库
06-18
Asp.net地址转义(分析)加强版 Web的桌面提醒(Popup) Using the Popup Object Click button only once in asp.net 2.0 Coalesys PanelBar + R.a.d Treeview +Xml 构建的Asp.net 菜单和权限管理模块 突破屏蔽限制...
Themida(强大的软件加密程序) v2.2.9.0中文破解版
04-23
在国内软件行业环境混乱,基本上有点优秀的商业软件大部份都会被破解,有许多开发者为了保护自已的软件不被破解,使用很多复杂的加密算法,这样花费了很多精力。今天我为大家推荐一款软件Themida ,它是一个非常强大的软件加密保护系统,专门是为了那些想保护自己的软件不被先进的反向工程和黑客软件破解的开发者而设计的。开发者不需要更改任何的源代码就可以使用Themida轻松的将自已的软件进行加密,防止被黑客轻易破解。Themida使用SecureEngine的保护技术。它能够以最高的优先等级运行,这些保护技巧是从来都没在电脑防御技术领域出现过,Themida能在最大程度地保护你的软件产品。特别适合保护.net程序。 Themida的一些最重要的注册保护措施特点 1、可以创建用来延长试用版本的有效期的特别码。 2、一个用来储藏试用 状态的 强劲的引擎,以避免任何软件破解者尝试重置有效期。可以13、为个别开发者的需要创建不同的注册码。 4、针对特定国家的试用锁定和注册码。 5、机器锁定,使程式只运行在特定的电脑上。 6、自定的试用计算器来控制你试用版本的有效资源。 7、为试用版本和完全版本制定独立的密码。 8、可以使用外部 Themida DLL 来创建你自己的自动化系统。 9、超过 50 种不同函数的完整 SDK 。 10、为试用版和完全版提供 .NET SDK 支援。 11、使用数据库来安全地储存你所有的软件,客户和注册资料。 13、自定义所有的试用 / 注册讯息,也控制是否要展示特定的试用 / 注册讯息 重要提示(设置中文方法): Advanced Options--->localization--->选择simple_chinese.lng
混淆器dotNetProtectorX86
11-04
dotNet Protector是一个功能强大的.NET代码保护系统,它可以防止程序集被反编译。dotNet Protector使用的是一个新的主体混淆技术保护应用程序和组件。程序集不再需要合并到一个win32可执行文件中,但是会保留其.net特性。 dotNet Protector 采用一个命名混淆器结合一个主体混淆器来保护您的代码。
dll 混淆加密工具 NETReactor
12-20
dll 混淆加密工具 NETReactor 亲测好用,下载了很多, 混淆后程序都会出错,这个不会出错。
C#怎样防止反编译
chuanhaoyuan6496的博客
06-04 3409
当前C# .net语言的应用范围越来越广泛,IIS 的服务器架构后台代码、桌面应用程序的 winform 、Unity3d 的逻辑脚本都在使用。C# .net 具备强大的便捷特性,使得开发成本极低。而作为一款.net 语言,也有它让开发者头疼的弊病——非常容易被反编译。市面上的 Dnspy, ...
软件加密系统Themida应用程序保护指南(七):外挂插件
励志做最业余的专业博主,控件产品可以私我~
11-09 576
插件基本上是经过编译的本机DLL(不支持.NET DLL),可导出与特定名称模式匹配的特定功能名称。从攻击者的角度来看,Themida与传统的软件保护器完全不同,这是因为其复杂的保护引擎和高优先级的代码,可以针对可能的攻击者对整个系统进行监督。是先进的Windows软件保护系统,它被用于满足软件开发人员对于所开发应用程序安全保护的需求,使其远离被先进的逆向工程和软件破解的危险。嵌入式插件可以实现在发生特定保护事件时将调用的特定已定义回调,因此您可以对保护进行更多控制,添加自己的自定义保护等。
MaxtoCode对.Net程序加密的原理及解密探讨二
weixin_30539835的博客
07-19 134
原地址:http://www.cnblogs.com/rick/archive/2006/09/14/504525.html 自上次写第一篇文章到现在不知不觉两个月过去了,这篇文章我们将介绍怎么获取解密后的IL字节代码。 我们先回顾一下前文,在上一回我们提到“InFaceMaxtoCode.Startup 正常启动后,在整个程序集中只会运行一次。”。 当时这种说法是很武断的,如...
各种主流.net混淆加密软件对比:
mituan1234567的专栏
04-29 9660
http://blog.sina.com.cn/s/blog_13ace711f0102xuxj.html 各种主流.net混淆加密软件对比: 一:Dotfuscator 首先是使用Dotfuscator对.net程序加密码混淆。VS自带了PreEmptive Dotfuscator and Analytic5.22混淆工具,默认的安装路径是C:\Program Files (x86)...
软件保护器:Themida 3.1.14 Crack
控件与插件之大全
04-25 996
Themida软件保护器的主要问题是它们使用破解者熟知的保护技术,因此可以使用传统的破解工具轻松绕过它们。软件保护器的另一个重要问题是它们限制了操作系统的执行,也就是说,它们以正常的应用程序权限运行。因此,攻击者可以使用以与操作系统相同的优先级运行的破解工具,从而允许他们完全监督软件保护程序在特定时间正在做什么,并在特定位置对其进行攻击。
深入Jit,实现dotNet代码的加解密
weixin_33975951的博客
01-08 385
这段时间在测试.Net Jit的容错性,为了方便,就直接将代码插入到Jit中进行测试了。这个种方式就是我前面介绍DNGuard时提到的第一种增加内核强度防反射脱壳的方法。这种技术即可用在dotnet代码的保护上,也可以用在dotnet加密壳的解密上。目前的加密壳都是将内核插入到ee中提供解密服务。而dotNet的反射功能也是在ee层实现的,所以才暴露了加密壳之前的反射漏洞。如果加密壳将内核插入到j...
.net 后台管理系统
最新发布
03-28
.NET后台管理系统是一种基于.NET技术开发的用于管理和控制网站后台功能的系统。它提供了一系列的功能和工具,用于管理用户、权限、数据等后台操作。下面是.NET后台管理系统的一些特点和常见功能: 1. 特点: - 基于.NET技术:使用.NET框架进行开发,具有良好的可扩展性和稳定性。 - 高度可定制化:可以根据具体需求进行定制和扩展,满足不同业务场景的需求。 - 安全性:提供了用户权限管理、数据加密等安全机制,保护系统和数据的安全性。 - 响应式设计:支持不同设备上的自适应布局,适应不同屏幕尺寸的显示需求。 2. 常见功能: - 用户管理:包括用户注册、登录、权限管理等功能,可以对用户进行身份验证和授权。 - 数据管理:提供对数据库中数据的增删改查操作,可以对数据进行管理和维护。 - 内容管理:用于管理网站的文章、图片、视频等内容,包括发布、编辑、删除等功能。 - 统计分析:提供数据统计和分析功能,可以生成报表、图表等形式展示数据分析结果。 - 日志记录:记录用户操作日志和系统日志,方便追踪和排查问题。 - 系统设置:包括系统参数配置、邮件发送设置、备份恢复等功能,用于对系统进行设置和管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值