.Net JIT骚操逆向最新版Dngurad HVM

开发 前端
r11寄存器做了一些位移和相加的动作,应该是解密ILCode的地址和确保r11不能修改,可见它确实做了加固加密处理。此外,在经过试验,在Jmp指令跳转到指定的位置时,会出现与HVMRun64.dll二进制不符合的数据。这应该也是它的一个反破解机制。

前言

Dnguard HVM(以下简称DHVM),它通过对虚拟机(CLR)和JIT加密,号称.Net最强加密软件。截至10月27日目前官网最新版4.60版,它的试用版可以下载试用,本篇看下它这个最新版的强度。

2.概述

本篇看下它的新版改动了哪些东西,加固了加密程度。

调用托管Main:

threadStart.Call(&stackVar);

之后JIT编译函数invokeCompileMethod的methodInfo参数的成员变量ILCode处的情况。

000000018047407E 41 D2 E3             shl         r11b,cl
0000000180474081 41 D3 F3             sal         r11d,cl
0000000180474084 45 0F C1 DB          xadd        r11d,r11d
0000000180474088 4C 8B 5E 10          mov         r11,qword ptr [rsi+10h]
000000018047408C 4C 89 5F 10          mov         qword ptr [rdi+10h],r11

老板的情况:

0000000180497AB2: E9 A1 73 00 00 jmp  0000000180497AB8
0000000180497AB7: F8             clc
0000000180497AB8: 4C 89 5F 10    mov  qword ptr [rdi+10h],r11

r11寄存器做了一些位移和相加的动作,应该是解密ILCode的地址和确保r11不能修改,可见它确实做了加固加密处理。此外,在经过试验,在Jmp指令跳转到指定的位置时,会出现与HVMRun64.dll二进制不符合的数据。这应该也是它的一个反破解机制。

这两个东西,加上去似乎增加了难度。这种方式加上之前的防御策略,确实能阻挡大部分人。然二进制无不可做之事。我们顺着这个地址(000000018047408C)往下看:

000000018047409D 0F 84 DD 00 00 00 je 0000000180474180

这个地方其实可以hook下,但是DHVM似乎进行了相应的反hook机制,所以无法做到,继续往下看。

00000001804741C7 E9 00 00 00 00          jmp         00000001804741CC
00000001804741CC C6 84 24 81 00 00 00 2A  mov         byte ptr [rsp+81h],2Ah
00000001804741D4 E9 00 00 00 00          jmp         00000001804741D9
00000001804741D9 E8 C2 82 BA FF          call        000000018001C4A0

这两个jmp都是跳转到jmp本身指令集的下一条指令集地址的特性。所以这里是hook的好地方:

以上代码可以改为:

00000001804741C7 4C 8B 6F 10          mov         r13,qword ptr [rdi+10h]
00000001804741CB 90                   nop
00000001804741CC C6 84 24 81 00 00 00 2A mov         byte ptr [rsp+81h],2Ah
00000001804741D4 49 C6 45 0D 08       mov         byte ptr [r13+0Dh],8
00000001804741D9 E8 C2 82 BA FF       call        000000018001C4A0

如此跳转实际上是废跳,原理是把利用这两个jmp的特性,对它进行了一个Hook。

把ILCode的地址也即是【rdi+0x10】的地址赋给r13,然后把r13偏移量为0XD的地方byte修改为8.

它的一个C#示例是:

static void ABC()
{
    Console.WriteLine("Call ABC");
}


static void DEF()
{
    Console.WriteLine("Call DEF");
}


static void Main(string[] args)
{
   Console.WriteLine("Call Main");
   ABC();
   DEF();
   Console.ReadLine();
}

Main里面调用了函数ABC和DEF

调用ABC和DEF的二进制MSIL分别为:

ABC:28 07 00 00 06 00
DEF:28 08 00 00 06 00

他们不同点事,07和08,调用ABC的二进制MSIL在整个ILCode里面的偏移是0xD。所以上面Hook代码

00000001804741D4 49 C6 45 0D 08  mov  byte ptr [r13+0Dh],8

本来它的调用打印的结果是:

图片图片

hook之后打印的结果是:

图片图片

3.结尾

DHVM新版加强了难度,但我们可以利用指令集的一些特性来对它进行学习和研究,依然非常简单。

责任编辑:武晓燕 来源: 江湖评谈
相关推荐

2023-07-26 07:41:27

2010-06-08 10:15:45

opensuse 11

2013-08-26 17:17:37

Ubuntu 12.0

2009-04-03 08:43:57

2009-09-10 09:06:06

思科CCNP认证教材思科CCNP认证

2009-04-06 08:22:57

2009-12-31 11:09:36

Ubuntu wine

2011-03-23 10:23:56

IE9尝鲜体验浏览器

2011-05-04 13:16:49

甲骨文数据库

2020-04-03 13:24:38

Spring Boot面试题Java

2017-11-07 16:48:58

数字体验管理DEMRiverbed

2023-11-19 19:01:53

UbuntuCalibre

2011-09-02 11:14:43

思杰

2012-10-16 09:46:23

OpenStackFolsomSwift

2009-12-16 10:04:51

Chrome浏览器漏洞

2009-12-16 08:49:12

2010-01-28 09:22:24

浏览器速度测试

2013-02-28 11:28:30

2013-10-10 10:03:22

VMware

2012-02-15 09:37:38

Firefox
点赞
收藏

51CTO技术栈公众号