在前面介紹mscorwks的時提到了,.net的程式是以函數為機關編譯。而在 mscorjit中提供了一個函數
compileMethod 。mscorwks就是通過調用這個函數來編譯.Net方法的。
對于EE層,或者虛拟機預處理層的加密殼,隻需要hook這個函數就可以dump出方法體的代碼了。
需要注意一點,這個函數是 thiscall 調用約定的。
.Net方法體進入 compileMethod 之後是怎麼樣的處理流程呢?
限于篇幅,這裡隻能簡單介紹一下,具體詳情可以參考 sscli 2.0的源代碼。
compileMethod 實際上隻是一個接口函數,它沒有做實際什麼工作,
隻是簡單的 調用另一個函數:jitNativeCode。
在jitNativeCode 函數是一個線程安全的函數,在它裡面實際上隻是做了一些準備工作。
安裝異常處理,然後執行個體化一個Complier對象。初始化Complier類,再調用
這個類的一個成員函數 compCompile 。
在 compCompile 就開始了實際的編譯工作。
是以hook jit來實作脫殼的話,我們有三個選項:
hook compileMethod (thiscall)
hook jitNativeCode (fastcall)
hook compCompile (thiscall)
對于這三個方案 實作脫殼是完全一樣的。在這三個函數裡面我們都能夠擷取到脫殼所需要的結構體。
實際上脫殼需要的結構體是 CORINFO_METHOD_STRUCT,CORINFO_MODULE_STRUCT,CORINFO_METHOD_INFO這三個。
我在脫某殼個人版加密的程式時是采用的方法2,hook jitNativeCode 函數。
hook方法:采用的替換方式,即直接修改 compileMethod 函數,将 call jitNativeCode 改為 call myhook。
在 myhook函數裡面處理脫殼工作,然後再調用 call jitNativeCode 。
實際上有一個技巧。一般我們通過反射invoke讓一個方法體進入jit處理過程的,然後在 myhook 裡面截取dump方法體。
假設我們在dump一個 Exit函數時,如果讓它執行了會導緻程序退出,因為invoke會執行方法,而我們需要的隻是讓方法體進入
jit處理過程,以方法dump,而不希望這個方法被執行。是以我們可以不用回調 jitNativeCode 函數,直接傳回一個nop位址。
maxtocode 2007企業版具稱是虛拟機處理層的殼,那它在虛拟機處理層做了什麼工作呢?
具分析 mscorjit.dll 的記憶體鏡像,它實際上做了和 jit層脫殼 差不多的工作,
同時使用了 方案2 和 方案 3. 顯然它hook jit的目的不是脫殼,而是實作 方法體的還原。
我們可以很容易确定 在程式運作到 compCompile 中後,加密殼的運作庫已經完成了所有解密工作,
是以在 compCompile 函數裡面,或者它下級的函數裡面是脫殼的好時機。
如是我修改了一下jithook程式,隻改了hook位置,即hook compCompile 的下級函數。
然後測試dump。效果如下:
![](https://img.laitimes.com/img/_0nNw4CM6IyYiwiM6ICdiwiInBnaugzM2cTNkNDOhJzNhhjZzgDMzQTNkNTNiBTZ4QzYiV2MfdWbp9CXt92Yu4GZjlGbh5SZslmZxl3Lc9CX6MHc0RHaiojIsJye.jpg)
可以dump出源代碼。
看來企業版相對個人版來說隻是hook位置的變化,對于脫殼來說,基本上沒有增加任何難度,
我們也隻需要更改一下hook位置,就可以dump了。
另外發現企業版運作庫的一個bug,可以用簡單的方法脫殼。