.Net虚拟机(CLR/JIT)加密原理(版权保护)

开发 前端
以DHVM(DNGuard HMVM)为例,这里的这个m_jit里面的第一个成员变量就是JIT即时编译器的起点,CLR在加载托管DLL的时候,加载了DHVM模块,更改了这个JIT即时编译的起点。跳转到DHVM内部。

1.前言

这里的虚拟机加密实际上是修改JIT即时编译器入口函数,让其跳转到加密软件库内部,修正被加密之后更改了的托管DLL的ILCode,以让其恢复正常编译。从而屏蔽修改MSIL带来的软件程序修改。.Net7里面JIT,GC等等都已经实现了分离和解耦。也就是可以把CLR和JIT以及GC(关于GC分离)分隔开来,对它们进行定制和更改。

2.JIT

.Net7里面JIT的路径如下:

C:\Program Files\dotnet\shared\Microsoft.NETCore.App\7.0.10\clrjit.dll

这里的这个cltjit.dll就是模块化的JIT库。

那么它具体是如何运作的呢?这里先看下它在CLR里面调用它方式,然后用C++描述下

//CoreClrFolderHolder.GetUnicode()就是clrjit.dll的路径,这里是获取clrjit.dll的模块句柄
*phJit = CLRLoadLibrary(CoreClrFolderHolder.GetUnicode())
//通过上面获取的句柄,获取到clrjit里面的getJIT函数地址
pGetJitFn getJitFn = (pGetJitFn) GetProcAddress(*phJit, "getJit");
//运行getJIT函数的结果,赋给pICorJitCompiler
ICorJitCompiler* pICorJitCompiler = (*getJitFn)();
//这里的ICorJitCompiler是一个C++类
m_jit=  pICorJitCompiler




上面的代码用C++描述下就是:
HMODULE h=LoadLibraryExA("clrjit.dll");
void* getJitFn=(void*)GetProcAddress(h,"getJit");
ICorJitCompiler* pICorJitCompiler = (*getJitFn)();
m_jit=  pICorJitCompiler

以DHVM(DNGuard HMVM)为例,这里的这个m_jit里面的第一个成员变量就是JIT即时编译器的起点,CLR在加载托管DLL的时候,加载了DHVM模块,更改了这个JIT即时编译的起点。跳转到DHVM内部。对ILCode进行修改,然后再跳转回来,进行即时编译。这个过程如下图所示:

图片图片

3.保护的秘密

首先看下这个DHVM修正JIT入口。当进行了DHVM加密之后,CLR启动,加载被加密后的托管DLL开始。
1.每个被加密的托管DLL都会被注入以下代码:

图片图片


你可以通过ILdasm来查看上图。这里面的Startup和RunHVM这些注入到托管DLL之后,会被CLR先于托管Main加载。后于JIT加载。原有托管DLL的ILCode被保存到DHVM里面,原有的托管DLL的MSIL被修改为各种其它异常错误。
2.托管Main加载之前,通过DHVM函数修改JIT入口。如下代码:

//rbx即是m_jit的第一个成员变量,也就是JIT入口被修改被r11.
//也即是0000000180042100
0000000180472847 4C 89 1B mov qword ptr [rbx],r11

3.当CLR正常加载运行JIT的时候,因为JIT入口已经被替换。所以会跳转到DHVM里面去。

//当运行的时候会跳转到0000000180042100地址处执行。
0000000180042100 40 53  push rbx

4.DHVM里面修正当前需要编译的函数的ILCode为DHVM里面保存的正常MSIL.然后进行正常编译。

//rdi+10h即是需要编译的ILCode,被赋值为r11,也即是保存在DHVM里面的正常MSIL
000000018047408C 4C 89 5F 10  mov qword ptr [rdi+10h],r11

4.结尾

虚拟机加密,这种保护度基本上也可以了。如果需要Hook它,则需要了解虚拟机的原理,或者是二进制层面机器码的含义。

责任编辑:武晓燕 来源: 江湖评谈
相关推荐

2013-01-18 14:04:58

VMwareWorkstation

2013-01-25 11:21:59

2011-02-16 14:49:17

虚拟机

2018-11-27 08:09:56

虚拟机加密数据安全

2018-11-26 14:47:06

虚拟机加密超融合

2018-04-04 14:43:27

虚拟机保护技术

2023-02-06 15:28:51

2013-03-20 15:21:56

vSphere Rep

2019-08-27 16:23:41

Docker虚拟化虚拟机

2009-10-23 09:36:25

.Net Compac

2021-01-26 09:30:32

加密虚拟机攻击

2015-07-08 14:33:23

虚拟机OpenStack

2012-05-18 10:22:23

2012-11-08 10:45:14

2009-09-03 14:26:17

Jit编译

2010-07-26 09:02:38

2013-07-17 09:32:58

2023-07-13 12:18:24

2020-04-05 11:01:03

虚拟机备份组网

2016-09-27 20:12:33

Android虚拟机Android动态调试
点赞
收藏

51CTO技术栈公众号