mscorjit的介绍,兼对某壳企业版的分析

简介: 在前面介绍mscorwks的时提到了,.net的程序是以函数为单位编译。而在 mscorjit中提供了一个函数 compileMethod 。mscorwks就是通过调用这个函数来编译.Net方法的。对于EE层,或者虚拟机预处理层的加密壳,只需要hook这个函数就可以dump出方法体的代码了。

在前面介绍mscorwks的时提到了,.net的程序是以函数为单位编译。而在 mscorjit中提供了一个函数
compileMethod 。mscorwks就是通过调用这个函数来编译.Net方法的。
对于EE层,或者虚拟机预处理层的加密壳,只需要hook这个函数就可以dump出方法体的代码了。
需要注意一点,这个函数是 thiscall 调用约定的。

.Net方法体进入 compileMethod  之后是怎么样的处理流程呢?

限于篇幅,这里只能简单介绍一下,具体详情可以参考 sscli 2.0的源代码。
compileMethod 实际上只是一个接口函数,它没有做实际什么工作,
只是简单的 调用另一个函数:jitNativeCode。

在jitNativeCode 函数是一个线程安全的函数,在它里面实际上只是做了一些准备工作。
安装异常处理,然后实例化一个Complier对象。初始化Complier类,再调用
这个类的一个成员函数 compCompile 。

在 compCompile 就开始了实际的编译工作。

所以hook jit来实现脱壳的话,我们有三个选项:
 hook compileMethod  (thiscall)
 hook jitNativeCode (fastcall)
 hook compCompile (thiscall)

对于这三个方案 实现脱壳是完全一样的。在这三个函数里面我们都能够获取到脱壳所需要的结构体。
实际上脱壳需要的结构体是 CORINFO_METHOD_STRUCT,CORINFO_MODULE_STRUCT,CORINFO_METHOD_INFO这三个。

我在脱某壳个人版加密的程序时是采用的方法2,hook jitNativeCode 函数。
hook方法:采用的替换方式,即直接修改 compileMethod  函数,将 call jitNativeCode 改为 call myhook。
在 myhook函数里面处理脱壳工作,然后再调用 call jitNativeCode 。

实际上有一个技巧。一般我们通过反射invoke让一个方法体进入jit处理过程的,然后在 myhook 里面截取dump方法体。
假设我们在dump一个 Exit函数时,如果让它执行了会导致进程退出,因为invoke会执行方法,而我们需要的只是让方法体进入
jit处理过程,以方法dump,而不希望这个方法被执行。所以我们可以不用回调 jitNativeCode 函数,直接返回一个nop地址。

maxtocode 2007企业版具称是虚拟机处理层的壳,那它在虚拟机处理层做了什么工作呢?
具分析 mscorjit.dll 的内存镜像,它实际上做了和 jit层脱壳 差不多的工作,
同时使用了 方案2 和 方案 3. 显然它hook jit的目的不是脱壳,而是实现 方法体的还原。

我们可以很容易确定 在程序运行到 compCompile 中后,加密壳的运行库已经完成了所有解密工作,
因此在 compCompile 函数里面,或者它下级的函数里面是脱壳的好时机。

如是我修改了一下jithook程序,只改了hook位置,即hook compCompile 的下级函数。
然后测试dump。效果如下:

可以dump出源代码。
看来企业版相对个人版来说只是hook位置的变化,对于脱壳来说,基本上没有增加任何难度,
我们也只需要更改一下hook位置,就可以dump了。

另外发现企业版运行库的一个bug,可以用简单的方法脱壳。

目录
相关文章
|
SQL Oracle 关系型数据库
MySQL · 特性分析 · 企业版特性一览
背景 MySQL 企业版由 Oracle 公司维护,当然也是收费的。其产品类别也基本和 Oracle 数据库一致,包括标准版、企业版、集群版等。标准版包括基本的特性,价格也会比企业版便宜很多。今天和小编一起来看下 MySQL Enterprise Edition 提供的一些功能,这些功能的源码当然
3486 0
|
JavaScript 安全 NoSQL
MongoDB 2.4企业版分析
MongoDB v2.4版于3月19日发布,它引入了内置的文本搜索功能,以及基于哈希的分片和众所期盼的安全特性。同时,10gen公司发布了MongoDB的企业版,它在开源版的基础上增加了安全和监控的特性,易于与其它企业软件相集成。
699 0
|
JavaScript 安全 NoSQL
MongoDB 2.4企业版分析
版权声明:本文为博主chszs的原创文章,未经博主允许不得转载。 https://blog.csdn.net/chszs/article/details/8696831 MongoDB 2.4企业版分析 作者:chszs,转载需注明。
740 0
|
30天前
|
安全 Cloud Native 网络安全
阿里云飞天企业版PaaS平台通过等保四级能力评估
近日,阿里云飞天企业版PaaS平台(专有云平台)安全防护能力获得权威机构公安部第三研究所认可。阿里云飞天企业版PaaS平台(专有云平台)参照等级保护第四级开展安全能力建设,在近日的安全评估活动中,获得优异成绩。本次评估验证了飞天企业版PaaS平台及容器安全能力,证明阿里云可以为政企客户提供更高水平的云原生安全能力。
126 1
|
2月前
|
人工智能 运维 安全
阿里云飞天企业版“智算升级”,为政企打造AI时代最开放的云
阿里云正式发布飞天智算—飞天企业版V3.18,为政企客户打造AI时代最开放的云。此次升级,飞天企业版将智算能力深度融入云平台,实现“一云多算”,满足政企客户对云平台“云+AI”协同发展需求,为AI技术大规模在政企领域应用做好准备。
116 11
|
4月前
|
人工智能 安全 专有云
阿里云飞天企业版获信通院可信云技术最佳实践奖
阿里云飞天企业版获信通院可信云技术最佳实践奖
138 11
|
4月前
|
IDE 搜索推荐 Devops
|
4月前
|
人工智能 安全 专有云
阿里云飞天企业版获信通院可信云技术最佳实践奖
在中国信息通信研究院举办的“2024可信云大会”上,阿里云飞天企业版凭借“一云多算”能力拿下“可信云技术最佳实践”奖。此外飞天企业版还通过了《“云+应用”一体化运维能力要求》、《行业云平台一体化运营平台评估L4卓越级》等多项评估。
211 1
|
5月前
|
云安全 供应链 监控
阿里云飞天企业版获最高等级安全认证!
继续努力,提供更加稳定可靠、安全易用的云基础设施
1225 3
阿里云飞天企业版获最高等级安全认证!
|
4月前
|
搜索推荐
企业CRM新选择——轻巧强大的阿里云上的Salesforce企业版正式发布!
阿里云与Salesforce合作推出的定制化CRM解决方案——阿里云上的Salesforce CRM CN企业版, 涵盖销售云、服务云及销售服务云三大核心云功能。销售云助力销售团队通过智能化工具提升效率, 如线索管理、预测分析等。服务云CN企业版提供工单管理、自助服务等功能, 改善客户服务体验。结合版则全面覆盖销售与服务需求, 实现业务增长与客户满意度提升。