.net程序保护方式大观
.net软件保护方式大观
最近调试一个运行于.net 2.0下的软件,发现该软件使用的保护方式很具有代表性,基本囊括了现在.net下的所有保护措施。实践证明,这些保护措施就像全真七子,单打独斗功力差了点儿,但结合起来应用还是有一定强度的。下面做以说明,供.net开发者参考。
1.加壳
该软件使用MaxtoCode加壳,该壳会生成本地dll文件,在运行时通过动态挂钩.net内核解密,并且是each method解密,所以不会在内存中出现完整的assembly,使得传统的内存dump方法失效。类似的壳还有国外的Remotesoft Protector、XHEO CodeVeil、.Net Reactor。这类壳本身就提供了反调试功能,再加上壳的本地dll也被加壳,因此这一步便可以挡住80%的逆向分析者。
但是rick(http://rick.cnblogs.com)已经做出了脱壳机,所以对于这种保护的程序第一步仍是dump。脱壳后,便可利用ildasm将程序集反编译,将所有的引用本地dll的代码删除,再次编译后便可正常运行:
.method private specialname rtspecialname static
void .cctor() cil managed
{
// Code size 6 (0x6)
.maxstack 8
IL_0000: //call void InFaceMaxtoCode::Startup()
IL_0005: ret
} // end of method xebd220b94e14b2d7::.cctor
为了减肥,也可将InFaceMaxtoCode的代码删除,这些代码还是占据了一些体积的。
2.混淆
该软件使用了Xenocode Postbuild进行混淆,xenocode的保护包括了名称混淆和流程混淆。其中名称通常被改为如下形式:x485ea7930f0abd9a xdc0a6303c9bfe8dd。这样,代码的名称就无法代表原来的意义。
除了名称混淆,该软件还使用了流程混淆,加入了许多垃圾代码,比如:
(1)永远为“true”或“false”的跳转判断
IL_0086: ldc.i4.0
IL_0087: brtrue.s IL_0032
IL_0089: ldc.i4.0
IL_008a: brfalse.s IL_00e6
(2)将代码分块并添加多个跳转,所以在每个方法尾部会看到如下类似跳转表的代码
IL_0296: br.s IL_029d
IL_0298: br IL_022c
IL_029d: ldc.i4.0
IL_029e: brfalse.s IL_026f
IL_02a0: ldc.i4 0x3
IL_02a5: brtrue IL_0227
IL_02aa: br IL_0204
IL_02af: br IL_0032
混淆过的方法在反编译为高级语言时已经非常难以分析,如下:
if (Field34_4.Columns.Count != 0)
goto label_11;
bool flag2 = (flag1 - i) > 0xFFFFFFFF;
if (!flag2)
goto label_10;
while (true)
{
if (!0)
goto label_4;
Field34_1.Fill(Field34_4, Field34_2);
return true;
label_1:
flag2 = (flag1 + flag1) > 0xFFFFFFFF;
if (!flag2 && true)
goto label_7;
label_2:
Field34_4.Clear();
}
3.字符串加密
在win32下用wdasm查找字符串参考可能是逆向分析的第一步,.net中也是这样,一些敏感字符串会暴露程序作者的意图。不过现在的混淆程序都提供了源代码加密,比如:
IL_0086: ldstr "bppkcahlaaolhafmbllmhpcnopjnikaogohoapoopjfpbpmpho"
+ "daiokainbbhnibgnpbnngclnncjmeddnlddmcepljeihafilhfbmofplfgfmmghhdh"
IL_008b: ldc.i4 0x3c9baf9d
IL_0090: call string xb9d8bb5e6df032aa.x7841ead83ad1c299::_bc25ec13a5229081(string,int32)
这段代码解密出的字符是“This is an unregistered copy”,这样便有效地防止了程序在第一时间被定位至关键代码。开发者也可以在自己的程序中自行加入解码方法。
4.anti-deubg
反调试就是当检测到有解密软件运行时,让程序自动退出。见如下代码:
.method private static pinvokeimpl("user32" lasterr winapi)
bool EnumWindows(class CodeLib.x41a6f5dc72fea230/xdd2ea1989d3fc452 xa479061352f99870,
native int x7a5eebe5d933ebbc) cil managed preservesig
{
}
IL_0114: ldloc.2
IL_0115: ldstr "agnhoheigglificjphjjbiakpghkkgokihflahmlahdm"//DeProtector
IL_011a: ldc.i4 0x50e67d1c
IL_011f: call string xb9d8bb5e6df032aa.x7841ead83ad1c299::_bc25ec13a5229081(string,
int32)
IL_0124: call string [mscorlib]System.String::Intern(string)
IL_0129: callvirt instance int32 [mscorlib]System.String::IndexOf(string)
IL_012e: ldc.i4.m1
IL_012f: bgt IL_009f
IL_0134: br IL_0010
IL_0139: br IL_01e4
IL_013e: ldloc.2
IL_013f: ldstr "mkbbemibanpbljgcimnceledjlldllcenljehgafikhfalofclfgpimgkkdhgjkhfjbiejii"//JetBrains dotTrace
IL_0144: ldc.i4 0x43ee1162
IL_0149: call string xb9d8bb5e6df032aa.x7841ead83ad1c299::_bc25ec13a5229081(string,
int32)
IL_014e: call string [mscorlib]System.String::Intern(string)
IL_0153: callvirt instance int32 [mscorlib]System.String::IndexOf(string)
IL_0158: ldc.i4.m1
IL_0159: bgt IL_009f
IL_015e: ldloc.2
IL_015f: ldstr "iofohpmojpdpmmkphobajoia"//WinDbg
IL_0164: ldc.i4 0xdd4e591
IL_0169: call string xb9d8bb5e6df032aa.x7841ead83ad1c299::_bc25ec13a5229081(string,
int32)
IL_016e: call string [mscorlib]System.String::Intern(string)
IL_0173: callvirt instance int32 [mscorlib]System.String::IndexOf(string)
IL_0178: ldc.i4.m1
IL_0179: bgt IL_009f
程序从user32.dll中调用EnumWindows枚举当前所有窗口并取得名称,和解码过的敏感字符串进行对比。虽然这种方法“层次较高”,但仍不失为一种自我保护的手段。再就是当软件要进行敏感操作,比如在注册表中保存信息,从某个文件中读取信息时,也可以使用这些手段。
IL_0000: ldnull
IL_0001: ldstr "Registry Monitor - Sysinternals: www.sysinternals.com"
IL_0006: call native int [CodeLibWin]CodeLib.Win32.WindowsAPI::FindWindow(string, string)
IL_0101: ldnull
IL_0102: ldstr "File Monitor - Sysinternals: www.sysinternals.com"
IL_0107: call native int [CodeLibWin]CodeLib.Win32.WindowsAPI::FindWindow(string,string)
利用系统方法也可以进行检测是否有调试器:
IL_002d: call bool [mscorlib]System.Diagnostics.Debugger::get_IsAttached()
IL_0032: ldc.i4.0
IL_0033: ceq
5.时间验证
在关键代码处,如果进行单步跟踪调试,则从一句代码到另一句代码会运行较长时间。因此可以预估计一下正常的执行时间,然后进行对比,若超过这个时间界限,则认为被调试。代码如下:
IL_22df: ldloca.s V_51
IL_22e1: ldloc.s V_14
IL_22e3: call instance valuetype [mscorlib]System.TimeSpan [mscorlib]System.DateTime::Subtract(valuetype [mscorlib]System.DateTime)
IL_22e8: stloc.s V_52
IL_22ea: ldloca.s V_52
IL_22ec: call instance int32 [mscorlib]System.TimeSpan::get_Seconds()
IL_22f1: ldc.i4.3
IL_22f2: cgt
分别取两次系统时间,算出秒数差,和3秒进行对比,若大于3秒则跳转。
6.程序员自身的安全意识
无论什么保护手段,都需要程序作者会熟练运用,并且加强自身的安全意识。不过个人觉得该软件的作者有点过了,后期基本没更新软件本身的什么功能,全用于加强保护了。汗!(另:好像还有网络验证,还没看到)
.net程序保护方式大观的更多相关文章
- 【.net 深呼吸】细说CodeDom(1):结构大观
CodeDom 是啥东东?Html Dom听过吧,XML Dom听过吧.DOM一般可翻译为 文档对象模型,那 Code + DOM呢,自然是指代码文档模型了.如果你从来没接触过 CodeDom,你大概 ...
- PHP程序的常见漏洞攻击分析
综述:PHP程序也不是固若金汤,随着PHP的广泛运用,一些黑客们也在无时不想找PHP的麻烦,通过PHP程序漏洞进行攻击就是其中一种.在节,我们将从全局变量,远程文件,文件上载,库文件,Session文 ...
- 如何保护java程序不被反编译
Java是一种 跨平台的.解释型语言 Java 源代码编译中间“字节码”存储于class文件中.Class文件是一种字节码形式的中间代码,该字节码中包括了很多源代码的信息,例如变量名.方法名 等.因此 ...
- Java程序版权保护解决方案
通常C.C++等编程语言开发的程序都被编译成目标代码,这些目标代码都是本机器的二进制可执行代码.通常所有的源文件被编译.链接成一个可执行文件.在这些可执行文件中,编译器删除了程序中的变量名称.方法名称 ...
- .net 程序加密
.net 程序加密,一般是对生成的exe文件或者dll直接进行加壳,配合加密锁或者许可进行授权控制,既能保证安全性,又控制软件的使用. 加壳工具的选择 一般要考虑几点,第一是加壳的安全性,不能被轻易脱 ...
- 微信小程序省市区选择器对接数据库
前言,小程序本身是带有地区选着器的(网站:https://mp.weixin.qq.com/debug/wxadoc/dev/component/picker.html),由于自己开发的程序的数据是很 ...
- DOS程序员手册(五)
第8章磁 盘 学习编程语言,常常是从基本的输入和输出入手的(正如第5.6和第7章曾介绍的一 样).到目前为止,我们不仅学习了怎样输入和输出数据,还学习了如何进行数据操作 ...
- x86 保护方式 简介 一
80386 三种工作方式 实模式 保护模式和虚拟86模式 只有在保护方式下 全部32条地址线才有效 可以寻址高达4g字节的物理地址空间 超过1m的内存空间 被成为扩展的内存空 ...
- 反混淆:恢复被OLLVM保护的程序
译者序: OLLVM作为代码混淆的优秀开源项目,在国内主流app加固应用中也经常能看到它的身影,但是公开的分析研究资料寥寥.本文是Quarkslab团队技术博客中一篇关于反混淆的文章,对OLLVM项目 ...
随机推荐
- 转载:Logistic回归原理及公式推导
转载自:AriesSurfer 原文见 http://blog.csdn.NET/acdreamers/article/details/27365941 Logistic回归为概率型非线性回归模型,是 ...
- Ceph 时钟偏移问题 clock skew detected 解决方案--- 部署内网NTP服务
告警:HEALTH_WARN clock skew detected on mon.ip-10-25-195-6; 8 requests are blocked > 32 sec; Monito ...
- LeetCode679. 24 Game
You have 4 cards each containing a number from 1 to 9. You need to judge whether they could operated ...
- csu 1801(合数分解+排列组合)
1801: Mr. S’s Romance Time Limit: 1 Sec Memory Limit: 128 MBSubmit: 15 Solved: 5[Submit][Status][W ...
- nodeJs 常用模块(一)
url url.parse() querystring querystring.parse( [string] , [分隔符] ) ,解析为js字面量 querystring.stringify() ...
- wordpress技术-禁止订阅用户访问后台
begin主题虽然有个功能,但是只是少了入口,实际上测试还是可以进入后台的,那么怎么彻底解决呢?一时半会没思路,百度了下,果然有人贴出了代码. 把下面代码黏贴到主题的模板函数文件里即可: if ( i ...
- 【PAT】1001. A+B Format (20)
1001. A+B Format (20) Calculate a + b and output the sum in standard format -- that is, the digits m ...
- [实战]MVC5+EF6+MySql企业网盘实战(22)——图片列表
写在前面 实现逻辑是:单击图片节点,加载所有的当前用户之前上传的图片,分页,按时间倒序加载. 系列文章 [EF]vs15+ef6+mysql code first方式 [实战]MVC5+EF6+MyS ...
- cordova编译crosswalk-webview插件报错的处理办法
一直用得好好的.今天编译cordova失败了.报错如下: :processArmv7DebugManifest :processArmv7DebugResourcesERROR: In FontFam ...
- 【转】Vue v-bind与v-model的区别
v-model 指令在表单控件元素上创建双向数据绑定,所谓双向绑定,指的就是我们在js中的vue实例中 的data与其渲染的dom元素上的内容保持一致,两者无论谁被改变,另一方也会相应的更新为相同的数 ...