51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

.Net JIT骚操逆向最新版Dngurad HVM

作者:江湖
开发 前端
r11寄存器做了一些位移和相加的动作,应该是解密ILCode的地址和确保r11不能修改,可见它确实做了加固加密处理。此外,在经过试验,在Jmp指令跳转到指定的位置时,会出现与HVMRun64.dll二进制不符合的数据。这应该也是它的一个反破解机制。

前言

Dnguard HVM(以下简称DHVM),它通过对虚拟机(CLR)和JIT加密,号称.Net最强加密软件。截至10月27日目前官网最新版4.60版,它的试用版可以下载试用,本篇看下它这个最新版的强度。

2.概述

本篇看下它的新版改动了哪些东西,加固了加密程度。

调用托管Main:

threadStart.Call(&stackVar);

之后JIT编译函数invokeCompileMethod的methodInfo参数的成员变量ILCode处的情况。

000000018047407E 41 D2 E3             shl         r11b,cl
0000000180474081 41 D3 F3             sal         r11d,cl
0000000180474084 45 0F C1 DB          xadd        r11d,r11d
0000000180474088 4C 8B 5E 10          mov         r11,qword ptr [rsi+10h]
000000018047408C 4C 89 5F 10          mov         qword ptr [rdi+10h],r11

老板的情况:

0000000180497AB2: E9 A1 73 00 00 jmp  0000000180497AB8
0000000180497AB7: F8             clc
0000000180497AB8: 4C 89 5F 10    mov  qword ptr [rdi+10h],r11

r11寄存器做了一些位移和相加的动作,应该是解密ILCode的地址和确保r11不能修改,可见它确实做了加固加密处理。此外,在经过试验,在Jmp指令跳转到指定的位置时,会出现与HVMRun64.dll二进制不符合的数据。这应该也是它的一个反破解机制。

这两个东西,加上去似乎增加了难度。这种方式加上之前的防御策略,确实能阻挡大部分人。然二进制无不可做之事。我们顺着这个地址(000000018047408C)往下看:

000000018047409D 0F 84 DD 00 00 00 je 0000000180474180

这个地方其实可以hook下,但是DHVM似乎进行了相应的反hook机制,所以无法做到,继续往下看。

00000001804741C7 E9 00 00 00 00          jmp         00000001804741CC
00000001804741CC C6 84 24 81 00 00 00 2A  mov         byte ptr [rsp+81h],2Ah
00000001804741D4 E9 00 00 00 00          jmp         00000001804741D9
00000001804741D9 E8 C2 82 BA FF          call        000000018001C4A0

这两个jmp都是跳转到jmp本身指令集的下一条指令集地址的特性。所以这里是hook的好地方:

以上代码可以改为:

00000001804741C7 4C 8B 6F 10          mov         r13,qword ptr [rdi+10h]
00000001804741CB 90                   nop
00000001804741CC C6 84 24 81 00 00 00 2A mov         byte ptr [rsp+81h],2Ah
00000001804741D4 49 C6 45 0D 08       mov         byte ptr [r13+0Dh],8
00000001804741D9 E8 C2 82 BA FF       call        000000018001C4A0

如此跳转实际上是废跳,原理是把利用这两个jmp的特性,对它进行了一个Hook。

把ILCode的地址也即是【rdi+0x10】的地址赋给r13,然后把r13偏移量为0XD的地方byte修改为8.

它的一个C#示例是:

static void ABC()
{
    Console.WriteLine("Call ABC");
}


static void DEF()
{
    Console.WriteLine("Call DEF");
}


static void Main(string[] args)
{
   Console.WriteLine("Call Main");
   ABC();
   DEF();
   Console.ReadLine();
}

Main里面调用了函数ABC和DEF

调用ABC和DEF的二进制MSIL分别为:

ABC:28 07 00 00 06 00
DEF:28 08 00 00 06 00

他们不同点事,07和08,调用ABC的二进制MSIL在整个ILCode里面的偏移是0xD。所以上面Hook代码

00000001804741D4 49 C6 45 0D 08  mov  byte ptr [r13+0Dh],8

本来它的调用打印的结果是:

图片图片

hook之后打印的结果是:

图片图片

3.结尾

DHVM新版加强了难度,但我们可以利用指令集的一些特性来对它进行学习和研究,依然非常简单。

责任编辑:武晓燕 来源: 江湖评谈
DHVM破解数据
相关推荐
.Net JIT操作DNGuard HVM原理简析
r11里面就是存储是HVMRun64.dll里面的MSIL二进制代码,rdi寄存器是JIT函数invokeCompileMethod参数methodInfo的地址,加上0x10为methodInfo.ILCode也即是混淆的MSIL二进制代码的起始地址,把从HVMRun64.dll里面取出来的MSIL二进制代码起始地址替换掉这个被混淆的MSIL二进制代码的地址,然后运行完整流程。

2023-07-26 07:41:27

opensuse 11.1最新版特点
由Novell公司赞助的社区开源项目openSUSE,近日宣布推出最新版本的免费开源Linux发行版openSUSE11.1。新版本可提供给用户带来更丰富的体验,桌面生产力、娱乐应用、以及软件和系统管理功能也显着增强

2010-06-08 10:15:45

opensuse 11
Ubuntu 12.04最新版图赏
Ubuntu12.04.3长期支持版本(LTS)日前正式发布,Ubuntu12.04.3带来了一系列重大改进,例如Unity启动器中添加了对Nautilus快捷列表的支持,系统设置新增了多个“选项”,可以用来自定义Unity的外观和操作,Canonical建议大家尽快升级至最新版。

2013-08-26 17:17:37

Ubuntu 12.0
苹果iPhone OS最新版遭破解
据国外媒体报道,在苹果发布最新版iPhoneOS3beta2更新刚过一天,黑客组织表示已经破解了该版。

2009-04-06 08:22:57

苹果iPhone OS最新版遭破解
北京时间4月3日消息,据国外媒体报道,在苹果发布最新版iPhoneOS3beta2更新刚过一天,黑客组织表示已经破解了该版。

2009-04-03 08:43:57

最新版思科CCNP认证教材介绍
下面的内容为最新版思科CCNP认证教材介绍。

2009-09-10 09:06:06

思科CCNP认证教材思科CCNP认证
最新版本Ubuntu wine安装
[编辑]加快Ubuntuwine速度由于Xlocale的问题,默认wine会轮询xcorefonts,使得Ubuntuwine很慢.

2009-12-31 11:09:36

Ubuntu wine
最新版Riverbed SteelCentral性能监测平台发布
Riverbed科技公司日前宣布,最新版RiverbedSteelCentral对其数字体验管理(DEM)平台进行了大幅提升,可帮助企业确保数字化服务性能并优化用户体验。无论服务组件是在本地,云端还是混和环境,Riverbed都能扩展整个DEM的功能和服务,从而提高客户管理和排除整个数字体验链故障的能力。

2017-11-07 16:48:58

数字体验管理DEMRiverbed
Spring Boot面试题(2020最新版
SpringBoot是Spring开源组织下的子项目,是Spring组件一站式解决方案,主要是简化了使用Spring的难度,简省了繁重的配置,提供了各种启动器,开发者能快速上手。

2020-04-03 13:24:38

Spring Boot面试题Java
甲骨文推出最新版Oracle Coherence
作为业界领先的分布式内存数据网格产品,最新版OracleCoherence3.7日前上市。OracleCoherence3.7简化了大型部署的配置和管理,为客户提供大幅增长的数据存储功能,而且可以智能、动态地实现客户端连接的负载均衡。

2011-05-04 13:16:49

甲骨文数据库
尝鲜体验微软最新版IE9
当老资格的网民们纷纷转向速度更快、更时尚的谷歌Chrome和Mozilla火狐时,微软浏览器的市场基础逐渐萎缩就不是什么秘密了。但是微软再一次用最新的浏览器IE9又拥有了竞争的资本。在周一午夜发布的这款最新浏览器更关注速度、隐私和简单易用,此外还有简洁的界面、禁止跟踪功能、网站固定、跳转列表和对HTML5的增强支持等。

2011-03-23 10:23:56

IE9尝鲜体验浏览器
在 Ubuntu 上安装最新版的 Calibre
Calibre是一款自由开源的电子书软件。下面介绍如何在UbuntuLinux上安装它。

2023-11-19 19:01:53

UbuntuCalibre
最新版Chrome浏览器存在漏洞
据国外媒体报道,一些开发者警告,最新版谷歌Chrome浏览器存在一个可以泄露用户身份信息的安全漏洞。

2009-12-16 10:04:51

Chrome浏览器漏洞
最新版火狐/Chrome/Opera速度对比测试
据国外媒体报道,近日,科技博客网站Lifehacker对国外三款非IE浏览器:火狐Firefox、谷歌Chrome和Opera的速度性能进行了测试。

2010-01-28 09:22:24

浏览器速度测试
思杰发布最新版Citrix XenDesktop 5.5
思杰系统公司近日发布了市场领先桌面虚拟化产品的最新版本CitrixXenDesktop5.5,

2011-09-02 11:14:43

思杰
最新版Firefox中增加的新特性
最新测试版版的Firefox13在界面发生了很多的变化,按照Firefox2012开发进程,可以13将会是即火狐10后又一个重要版本。优化了的垃圾回收的效率和效果;以及JavaScript并且针对Windows做了一些性能上的优化;

2012-02-15 09:37:38

Firefox
Java最新版本又现漏洞
近日,波兰安全公司SecurityExplorations发表报告称,他们在Java中发现了两个新的漏洞”issue54″和”issue55″,两个漏洞结合起来,可以完美绕过Java的沙盒防御机制。

2013-02-28 11:28:30

OpenStack最新版本Folsom架构解析
OpenStack的第6版,版本代号为Folsom的最新版于今年九月底正式发布,Folsom将支持下一代软件定义网络(SDN)作为其核心组成部分。Folsom改进了现有代码的可用性和稳定性,包括185个新功能,最主要是虚拟网络方面的功能,而且这也是新成立的OpenStack基金会推出的第一个软件版本。

2012-10-16 09:46:23

OpenStackFolsomSwift
最新版本BackupExec System Recovery 2010
全球第四大独立软件公司赛门铁克,最近推出新版BackupExecSystemRecovery2010(BERS2010),支持Linux系统数据备份还原功能,并提供免费BERSManagementSolution2010管理工具。

2009-12-16 08:49:12

vSphere最新版VMware vCloud Suite 5.5上市
VMware今天宣布VMwarevCloudSuite5.5和VMwarevSpherewithOperationsManagement5.5现已全面上市,具有更高的可用性与性能,从而为客户的关键应用程序及新增工作量提供支持。此外,VMware还宣布VMwareVirtualSAN现可通过公测程序供用户下载试用

2013-10-10 10:03:22

VMware
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服