171216 逆向-.Net的保护和对抗(2)

最新推荐文章于 2022-01-10 11:16:27 发布
最新推荐文章于 2022-01-10 11:16:27 发布
阅读量344 收藏
点赞数
分类专栏: 杂七杂八
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/78821419
版权

1625-5 王子昂 总结《2017年12月16日》 【连续第442天总结】
A. .Net的保护和对抗(2)
B.

加密壳

这种壳会通过加密元数据、Hook引擎等手段来保护源程序。
因此要熟悉.Net内核,包括JIT的编译过程,执行引擎EE的原理等

.Net程序通过Windows的loader加载后,调用.Net框架的dll,随后程序便运行在EE的监管中,Windows本身不再负责该程序的内存分配、线程管理等工作。

运行过程中遇到没有编译的方法时,框架调用JIT引擎把代码编译成asm,然后执行它,完毕后框架再收回执行流。
因此加密软件常常HookJIT引擎和框架中负责调用JIT的dll(mscorwks),来在JIT编译前将被加密的IL代码和元数据恢复正常,并在方法结束后再将元数据和IL代码销毁。

对抗方法大体还是动态调试或是Hook JIT的编译方法来dump被解密的IL代码和元数据,再重构PE文件

其他保护手段

  • 反检测
  • 反调试跟踪
  • 网络验证
  • 虚拟机(VMP)
  • 加密锁

都是Win32下也很常见的保护手段,如法炮制即可

C. 明日计划
加密与解密

奈沙夜影
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[系统安全] 逆向工程进阶篇之对抗逆向分析
H4ppyD0g的博客
10-14 2322
线性反汇编策略是遍历每一个代码段,根据二进制码进行反汇编,缺点是不会区分某个二进制码是数据还是指令,全部按照指令来反汇编。如果在一个函数开头加上这个字节码,则反汇编器会认为是一个call指令,这条call指令占用了函数开头的4个字节,从而破坏掉要这个完整的函数。通过使用windwos提供的api可以判断自己是否正在被调试,比如下面的一些函数,如果在分析的代码中看到这些函数,就说明这个代码样本在检测自身是否被调试。当恶意代码意识到自己被调试时,可以改变正常的执行路径或者修改自身程序导致崩溃而对抗调试。
猿人学2022APP逆向--第四题 grpc
qq_38759383的博客
06-07 581
安卓逆向,grpc,那么grpc是什么呢?
.net源码保护工具
02-09
强大的.net保护工具里面有反汇编开发人员必备 C#源码保护 C#程序时间限制 C#程序验证 C#反汇编
171215 逆向-.Net保护对抗(1)
whklhhhh的博客
12-16 332
1625-5 王子昂 总结《2017年12月15日》 【连续第441天总结】 A. .Net保护对抗(1) B.强名称这是一种框架提供的验证机制,主要功能是标识版本和原作者 在编译生成可执行文件后可以通过密钥对程序签署强名称,签署后如果直接修改源程序则会报校验错误对抗方法: 直接移除 CLR头的flag位 CLR头的StrongNameSignature偏移 Assembly表中的fl
.Net之程序保护.NET Reactor)
qq_43393792的博客
01-10 678
一、背景 作为开发人员,自己辛苦在.net框架下写的dll或者exe文件,不想被别人通过反编译工具轻松查看。那么我们就需要对自己写的代码进行保护。在笔者经过大量的搜索与尝试后,发现一款不错的程序保护工具.NET Reactor。如其名字所示,这是一款针对.net程序进行保护的专门工具,因为专业,所以强大。 下载地址:https://www.jb51.net/softs/547521.html 接下来我们看下它的基本功能: 二、.NET Reactor功能介绍 主要功能如下: 源码混淆处理 字符串加密 NET
.Net 下的保护逆向工程
Tepo's space
11-17 906
.Net 下的保护逆向工程<br />这份刊物主要讨论一些微软.Net框架下流程行的保护方法,包括 强名称(StrongName), 名称混淆(name obfuscation), 流程混淆(flow obfuscation),元数据加密(metadata encryption), 加壳以及一些反分析手段。对于每一种保护,我也将会提供一些建议怎样去逆向它们。这份刊物并不是新手教程,它的目标是哪些已经有.Net编程和逆向经验的人。<br />说明<br />信不信由你, 时至今日微软的.Net框架变得越来越
.net程序保护方式大观
weixin_33717117的博客
09-17 128
.net软件保护方式大观    最近调试一个运行于.net 2.0下的软件,发现该软件使用的保护方式很具有代表性,基本囊括了现在.net下的所有保护措施。实践证明,这些保护措施就像全真七子,单打独斗功力差了点儿,但结合起来应用还是有一定强度的。下面做以说明,供.net开发者参考。1.加壳    该软件使用MaxtoCode加壳,该壳会生成本地dll文件,在运行时通过动态挂钩.net内核解密,并且是...
CTF--信息技术对抗赛ISCC之安卓逆向分析
关注互联网安全的小虾米一枚
05-19 5078
0x01 题目介绍    本题目是一道信息安全大赛上的安卓逆向题目,主要考察选手,逆向分析能力,反汇编能力,安卓程序结构分析能力,以及常见的安全加密编码算法得能力。题目下载 http://download.csdn.net/detail/bjtbjt/9846682可能部分步骤过于啰嗦,大佬略过。方便入门者学习。这个题目拿到手是个安卓apk程序。下载下来,我们先不着急进行分析。先对其程序apk安装...
利用Obfuscator.NET保护.NET程序集
混淆技术的主要目的是增加逆向工程者/黑客分析代码的难度,以增加软件的安全性和保护知识产权。 一般来说,Obfuscation可以通过重命名变量和方法、删除调试信息、插入无用代码等方式来实现。这种混淆技术在保护.NET...
.net脱壳机(Dotnet Dumper)
06-13
总的来说,Dotnet Dumper作为一款强大的.NET脱壳工具,其强大的功能和易用性使其在.NET开发和逆向工程领域具有很高的实用价值。通过深入理解并熟练运用这类工具,用户可以更好地理解和掌握.NET程序的行为,从而提升...
浅谈.NET软件保护的现状与发展趋势
10-19
浅谈.NET软件保护的现状与发展趋势 微软公司 软件安全技术沙龙聚会
[新增支持.NET保护]最新VMProtect ULTIMATE 3.4.0 Build 1155
12-11
最新VMProtect ULTIMATE 3.4.0 Build 1155, 在这个版本中新增加.NET程序的保护,让你的程序更安全!
.NET CLR Injection 运行时修改IL .NET HOOK
02-21
.NET CLR Injection 运行时修改IL .NET HOOK
揭开.NET程序保护的秘密
caobihole
09-19 152
.NET程序保护主要有如下几种形式1.混淆2.编译到本地代码3.把代码隐藏在资源中1.混淆这部分的保护软件以Dotfuscator和XenoCode为代表。Dotfuscator是比较初级的混淆器,采取的主要策略是名字混淆,通过把类名、方法名、变量名改成很短的形式,目的是破坏有意义的变量命名。WebCombo.NET2.0,采用Dotfuscator进行变量名混淆名字混淆的缺点在于a.名字长度虽短...
几个.NET 程序保护工具
bolutes
12-06 153
以下是网址,不是破解版,不是下载地址,只是这些工具的网站 LSW-IL-ObfuscatorDemeanorfor.NETSalamander.NETObfuscatorSalamander.NETProtectorIL-ObfuscatorDeploy.NETDotfuscatorXenoCodeThinstallMaxtoCodedotnet_reactor ...
推荐国内首款 .Net 代码的保护利器 -- 《代码保护专家 for .net
qazqazwww的专栏
06-22 1068
利用 .NET构建的程序集中包含了丰富的元数据,容易被人利用反编译  工具获取与原始代码非常接近的代码。假如您所开发的拥有自主知识产权的   .NET软件产品事先没有加以保护,那么您的产品可能很容易被反向工程转换成可读的源代码,您将因此蒙受巨大的损失。      针对.NET程序集的代码不安全性,上海宝荣软件有限公司设计开发了国  内首款代码模糊化的工具产品──代码保护专家 for .net。该产
.NET程序有什么好的保护方法?
陈刚编程心得与知识集
02-04 575
.NET程序用Reflector都可以直接看到源码,感觉有点太不安全了,有什么办法保护吗?怎么给它加壳?大家有什么建议?
.NET平台软件保护技术探讨
.NET平台软件保护技术研究,唐久涛,中国矿业大学计算机科学与技术学院,探讨.NET架构下的软件保护方法,包括代码混淆、虚拟机等,关注对抗逆向工程的策略。” .NET平台是微软推出的一种全新的软件开发框架,它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值