这里的虚拟机加密实际上是修改JIT即时编译器入口函数,让其跳转到加密软件库内部,修正被加密之后更改了的托管DLL的ILCode,以让其恢复正常编译。从而屏蔽修改MSIL带来的软件程序修改。.Net7里面JIT,GC等等都已经实现了分离和解耦。也就是可以把CLR和JIT以及GC(关于GC分离)分隔开来,对它们进行定制和更改。
.Net7里面JIT的路径如下:
C:/Program Files/dotnet/shared/Microsoft.NETCore.App/7.0.10/clrjit.dll这里的这个cltjit.dll就是模块化的JIT库。
那么它具体是如何运作的呢?这里先看下它在CLR里面调用它方式,然后用C++描述下
//CoreClrFolderHolder.GetUnicode()就是clrjit.dll的路径,这里是获取clrjit.dll的模块句柄*phJit = CLRLoadLibrary(CoreClrFolderHolder.GetUnicode())//通过上面获取的句柄,获取到clrjit里面的getJIT函数地址pGetJitFn getJitFn = (pGetJitFn) GetProcAddress(*phJit, "getJit");//运行getJIT函数的结果,赋给pICorJitCompilerICorJitCompiler* pICorJitCompiler = (*getJitFn)();//这里的ICorJitCompiler是一个C++类m_jit= pICorJitCompiler上面的代码用C++描述下就是:HMODULE h=LoadLibraryExA("clrjit.dll");void* getJitFn=(void*)GetProcAddress(h,"getJit");ICorJitCompiler* pICorJitCompiler = (*getJitFn)();m_jit= pICorJitCompiler以DHVM(DNGuard HMVM)为例,这里的这个m_jit里面的第一个成员变量就是JIT即时编译器的起点,CLR在加载托管DLL的时候,加载了DHVM模块,更改了这个JIT即时编译的起点。跳转到DHVM内部。对ILCode进行修改,然后再跳转回来,进行即时编译。这个过程如下图所示:
图片
首先看下这个DHVM修正JIT入口。当进行了DHVM加密之后,CLR启动,加载被加密后的托管DLL开始。
1.每个被加密的托管DLL都会被注入以下代码:
图片
你可以通过ILdasm来查看上图。这里面的Startup和RunHVM这些注入到托管DLL之后,会被CLR先于托管Main加载。后于JIT加载。原有托管DLL的ILCode被保存到DHVM里面,原有的托管DLL的MSIL被修改为各种其它异常错误。
2.托管Main加载之前,通过DHVM函数修改JIT入口。如下代码:
//rbx即是m_jit的第一个成员变量,也就是JIT入口被修改被r11.//也即是00000001800421000000000180472847 4C 89 1B mov qword ptr [rbx],r113.当CLR正常加载运行JIT的时候,因为JIT入口已经被替换。所以会跳转到DHVM里面去。
//当运行的时候会跳转到0000000180042100地址处执行。0000000180042100 40 53 push rbx4.DHVM里面修正当前需要编译的函数的ILCode为DHVM里面保存的正常MSIL.然后进行正常编译。
//rdi+10h即是需要编译的ILCode,被赋值为r11,也即是保存在DHVM里面的正常MSIL000000018047408C 4C 89 5F 10 mov qword ptr [rdi+10h],r11虚拟机加密,这种保护度基本上也可以了。如果需要Hook它,则需要了解虚拟机的原理,或者是二进制层面机器码的含义。
本文链接:http://www.28at.com/showinfo-26-16144-0.html.Net虚拟机(CLR/JIT)加密原理(版权保护)
声明:本网页内容旨在传播知识,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。邮件:2376512515@qq.com
上一篇: 告别硬编码,SpringBoot实现动态增删启停定时任务
下一篇: 大家的平原,阿里云的播种机
Copyright © 2016-2023 天津谷骐科技有限公司 版权所有 sitemap.xml
违法及侵权请联系:2376512515@qq.com 津ICP备18001702号
津公网安备 12010102000574号