目前的加密殼大部分都是這種模式。這種模式,利用了靜態建構函式的特性。
應該注意到靜態建構函式和Loader代碼執行時 運行庫是還沒有載入的,所以這部分代碼是卻對不能加密的。
程式集執行起來後,運行庫才會被載入。
另外一種,是直接利用windows pe載入器來自動載入加密殼的運行庫。
這個熟悉win32的,應該知道修改匯入表插入dll方法,這個基本上也就是這個原理。
.Net程式集至少都會有一條匯入記錄
exe的是 mscoree.dll _CorExeMain
dll的是 mscoree.dll _CorDllMain
可以在運行庫中匯入這樣兩個函數,然後直接修改程式集的匯入記錄。
remotesoft 的 新版 protector好像就是這麼做的,它以前的版本也是用的第一種方式。
remtesoft protector 也是屬於jit層的加密殼,原理幾乎和 CliProtector 一樣,
也存在Jit層的漏洞。
這個方式的優點就是程式集載入時,運行庫就載入進去了。所以程式集的所有方法都可以加密。
當然這種方法的實現並不像說的這麼簡單,啟動時的運行庫安裝問題。
需要在架構dll載入的第一時間,安裝運行庫,
比較保險的方案是在dll的load裡面就hook loadlibrary相關函數。
這種方式有一點不好
就是無法實現32位,64位運行庫的自適應,需要部署時就明確。雖然在xp以上的系統上可以通過manifest來做,但老的系統就不行了。
所以我在最新的 DNGuard HVM 2.8 中依然採用了第一種方式。
再說說第一種方式,.Net 的靜態建構函式中有一個特許的,就是全域靜態建構函式(模組靜態建構函式)。
這個正常開發使用 C#,VB.Net是做不出來的,用IL或者C++/CLI可以做出來。
這個靜態函數是在模組第一次被訪問事觸發的。
所以有了它可以不用再給所有類型添加靜態建構函式了。
相容性怎麼樣就不知道了。會不會有例外情況?
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
