.Net 加密原理，加密殼運行庫的載入方式(九)

.Net加密殼的運行庫載入方式目前主要分兩種。
用得比較多的一種是
向程式集中注入Loader代碼，然後給程式集中的每個類型添加靜態建構函式。在靜態建構函式中調用Loader代碼。

目前的加密殼大部分都是這種模式。這種模式，利用了靜態建構函式的特性。

應該注意到靜態建構函式和Loader代碼執行時 運行庫是還沒有載入的，所以這部分代碼是卻對不能加密的。
程式集執行起來後，運行庫才會被載入。

另外一種，是直接利用windows pe載入器來自動載入加密殼的運行庫。

這個熟悉win32的，應該知道修改匯入表插入dll方法，這個基本上也就是這個原理。

.Net程式集至少都會有一條匯入記錄
exe的是 mscoree.dll _CorExeMain
dll的是 mscoree.dll _CorDllMain

可以在運行庫中匯入這樣兩個函數，然後直接修改程式集的匯入記錄。

remotesoft 的 新版 protector好像就是這麼做的，它以前的版本也是用的第一種方式。
remtesoft protector  也是屬於jit層的加密殼，原理幾乎和 CliProtector 一樣，
也存在Jit層的漏洞。

這個方式的優點就是程式集載入時，運行庫就載入進去了。所以程式集的所有方法都可以加密。

當然這種方法的實現並不像說的這麼簡單，啟動時的運行庫安裝問題。
需要在架構dll載入的第一時間，安裝運行庫，
比較保險的方案是在dll的load裡面就hook loadlibrary相關函數。

這種方式有一點不好
就是無法實現32位，64位運行庫的自適應，需要部署時就明確。雖然在xp以上的系統上可以通過manifest來做，但老的系統就不行了。

所以我在最新的 DNGuard HVM 2.8 中依然採用了第一種方式。

再說說第一種方式，.Net 的靜態建構函式中有一個特許的，就是全域靜態建構函式（模組靜態建構函式）。
這個正常開發使用 C#，VB.Net是做不出來的，用IL或者C++/CLI可以做出來。

這個靜態函數是在模組第一次被訪問事觸發的。
所以有了它可以不用再給所有類型添加靜態建構函式了。
相容性怎麼樣就不知道了。會不會有例外情況？