171215 逆向-.Net的保护和对抗(1)

最新推荐文章于 2021-01-20 20:25:08 发布
最新推荐文章于 2021-01-20 20:25:08 发布
阅读量339 收藏
点赞数
分类专栏: 杂七杂八
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/78821378
版权

1625-5 王子昂 总结《2017年12月15日》 【连续第441天总结】
A. .Net的保护和对抗(1)
B.

强名称

这是一种框架提供的验证机制,主要功能是标识版本和原作者
在编译生成可执行文件后可以通过密钥对程序签署强名称,签署后如果直接修改源程序则会报校验错误

对抗方法:

  • 直接移除
    • CLR头的flag位
    • CLR头的StrongNameSignature偏移
    • Assembly表中的flags项
    • Assembly表中的PublicKey项
  • 重新签署强名称
  • 给系统打补丁

名称混淆

从最早的DotFuscator免费版,到更多强大的混淆软件都是用来混淆名称的

最简单的名称混淆原理是改变PE文件中#Strings流的数据,使得类、方法、属性等名称被替换
但是有一个很关键的问题,对应Dll及其中的方法名称也需要被改变
这就引入了一个破绽:系统Dll的方法名是无法被改变的,因此调用的库函数无法被混淆

流程混淆

  • 方法级的流程混淆
    一般为建立新类和方法,包装系统库函数或是其他的内部函数来隐藏

  • IL代码级别的流程混淆
    将原方法的IL代码次序打乱,比较类似asm汇编的花指令。但由于本身特点,所以效果相对而言要次很多。不过能干扰Reflector一类的反汇编器直接得到高级语言代码

压缩壳

基于.Net平台编写

原理为将源程序压缩,运行的时候动态解压到内存中进行运行

不过为了防止dump,有的壳会做一些手脚,例如分方法解密,执行完后清除等等

基于Win32平台编写

与传统壳相同,加密以外壳程序来调用。特点为外壳程序为Win32

对抗方法还是多种多样的Dump,对于动态地、部分地解密需要进行多次Dump

奈沙夜影
关注
专栏目录
[系统安全] 逆向工程进阶篇之对抗逆向分析
H4ppyD0g的博客
10-14 2334
线性反汇编策略是遍历每一个代码段,根据二进制码进行反汇编,缺点是不会区分某个二进制码是数据还是指令,全部按照指令来反汇编。如果在一个函数开头加上这个字节码,则反汇编器会认为是一个call指令,这条call指令占用了函数开头的4个字节,从而破坏掉要这个完整的函数。通过使用windwos提供的api可以判断自己是否正在被调试,比如下面的一些函数,如果在分析的代码中看到这些函数,就说明这个代码样本在检测自身是否被调试。当恶意代码意识到自己被调试时,可以改变正常的执行路径或者修改自身程序导致崩溃而对抗调试。
猿人学2022APP逆向--第四题 grpc
qq_38759383的博客
06-07 603
安卓逆向,grpc,那么grpc是什么呢?
171216 逆向-.Net保护对抗(2)
whklhhhh的博客
12-16 354
1625-5 王子昂 总结《2017年12月16日》 【连续第442天总结】 A. .Net保护对抗(2) B.加密这种会通过加密元数据、Hook引擎等手段来保护程序。 因此要熟悉.Net内核,包括JIT的编译过程,执行引擎EE的原理等.Net程序通过Windows的loader加载后,调用.Net框架的dll,随后程序便运行在EE的监管中,Windows本身不再负责该程序内存
.NET程序有什么好的保护方法?
陈刚编程心得与知识集
02-04 576
.NET程序用Reflector都可以直接看到源码,感觉有点太不安全了,有什么办法保护吗?怎么给它加?大家有什么建议?
漫谈几种反编译对抗技术
weixin_33804990的博客
11-23 117
【转】http://bobao.360.cn/learning/detail/4732.html good 转载于:https://blog.51cto.com/duallay/2043371
过驱动保护第一套视频(63课)
M-先生
03-28 4467
63.白名单与校验的对抗.7z 62.过DebugProt.7z 61.过梦幻西游NECHECK保护.7z 60.过龙之谷GPK游戏保护.7z 59.真正过TP让CE可以附扫描.7z 58.DNF驱动保护思路代码.7z 55.IDT中断描述符表.7z 54.驱动InLine_HOOK实例.7z 53.绕过所有用户层HOOK.7z 52.真正勾住Shadow_SSDT.7z 51
过游戏驱动保护
02-25
过各大游戏驱动保护 实现是在驱动层hook关键函数 附PG3补丁方法
CTF--信息技术对抗赛ISCC之安卓逆向分析
关注互联网安全的小虾米一枚
05-19 5111
0x01 题目介绍    本题目是一道信息安全大赛上的安卓逆向题目,主要考察选手,逆向分析能力,反汇编能力,安卓程序结构分析能力,以及常见的安全加密编码算法得能力。题目下载 http://download.csdn.net/detail/bjtbjt/9846682可能部分步骤过于啰嗦,大佬略过。方便入门者学习。这个题目拿到手是个安卓apk程序。下载下来,我们先不着急进行分析。先对其程序apk安装...
利用Obfuscator.NET保护.NET程序
混淆技术的主要目的是增加逆向工程者/黑客分析代码的难度,以增加软件的安全性和保护知识产权。 一般来说,Obfuscation可以通过重命名变量和方法、删除调试信息、插入无用代码等方式来实现。这种混淆技术在保护.NET...
.net机(Dotnet Dumper)
06-13
1. 开发者:为了调试和优化自己的.NET程序,他们需要查看编译后的代码结构。 2. 安全研究员:查找潜在的安全漏洞,评估代码的安全性,或者对抗恶意软件。 3. 教育和学习:通过反编译,学生和自学者可以了解.NET编程...
模拟技术中的分析低噪声系统的设计窍门
10-22
低噪声系统设计的第一个窍门是在前级应用中尽可能多的增益,下图显示的是一个放大器前端的两个例子,增益为10.可以看出,将所有增益应用于第一级,比将增益分布于两级要好得多。有时最佳带宽性能的要求可能与最佳噪声性能的要求相冲突。对于带宽,我们希望每个增益级具有近似的增益,而对于噪声,我们则希望第一级具有全部的增益。   第二个窍门是注意源阻抗。这样做有两个原因:第一,源阻抗越大,则系统噪声越大;第二,放大器必须与源阻抗匹配良好,如果源阻抗较高,电流噪声噪声特性可能比电压噪声特性更重要。TD-SCDMA和TD-LTE基站收发台(BTS)前端接收器设计的高功率开关低噪声放大器(LNA)模块。这款最新的
对抗反汇编
bj5716的博客
04-20 1068
前言恶意代码编写者会使用对抗反汇编技术来延缓或者阻止分析人员分析恶意代码。所以反汇编技术的目的是为了掩盖程序的真实意图。比如jmp   short near ptr loc_2+1这个指令看起来没什么,不过结合下文的汇编代码就发现问题了loc_2:           call      near ptr 15FF2A71h           or        [ecx],dl        ...
恶意代码对抗技术入门
kelxLZ的博客
01-20 1028
Author:ZERO-A-ONE Date:2021-01-20 来自视频《漏洞银行|浅谈恶意代码对抗技术》,主要从两个方面进行入手: 对抗反汇编 反调试 一、对抗反汇编(静态) 1.1 基本概念 汇编语言:CPU执行的是机器码,为了方便记忆,在汇编语言中用助记符代替机器指令的操作码 反汇编:把目标代码转为汇编代码的过程 对抗反汇编技术:就是在程序中使用一些特殊构造的代码或数据,让反汇编工具产生不正确的汇编代码 1.2 反汇编算法 1.2.1 线性反汇编算法 线性扫描是一种基础的反汇编算法,.
第一套四
u013116579的专栏
08-16 502
#include #include #include void fun(int *a,int *n) { int i,j=0; for(i=0;i<1000;i++) if((i%7==0||i%11==0)&&i%77!=0) a[j++]=i; *n=j; } void main() { int aa[1000],n,k; system("CLS"); fun(aa,&n);
[版本构造]ASProtect初探---软件防护系列学习笔记
苏生-苏米沿的专栏
08-04 4366
开始学习版本构造了,那么构造一个版本的话,就不得不考虑软件保护机制了。所以呢,就来学习软件注册保护了,首先 ,就选择了ASProtect,软件加。虽然破工具泛滥,但是学习加还是有必要的,对于认识软件加密的发展来说,这个过程应该是不过时的。 今天学习了一下基本知识,嘛是ASProtect.看笔记吧: 1.什么是 ASprtect? ASProtec
.NET产品源码保护.NET防止反编译,c#/vb.net 防反编译
weixin_30802273的博客
04-20 861
.NET产品源码保护产生的背景: .NET源码加密方案支持C#及VB.NET等语言开发的ASP.NET及WINFORM应用。利用.NET支持托管代码与非托管代码共存的特性,将C#代码经过处理放于非托管代码中,防止通过常规方式反编译DLL,能有效保护.NET产品版权,防止反编译破解。 市面上的混淆加密工具对.NET源码保护的效果天差地别,很多网上下到的混淆工具破解...
android apk 防止反编译技术第四篇-对抗JD-GUI
yist的博客
04-20 230
又到周末一个人侘在家里无事可干,这就是程序员的悲哀啊。好了我们利用周末的时间继续介绍android apk防止反编译技术的另一种方法。前三篇我们讲了加技术(http://my.oschina.net/u/2323218/blog/393372)、运行时修改字节码(http://my.oschina.net/u/2323218/blog/396203)和伪加密(http://my.oschina...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值