1.前言
測試下VMP加密.NET的強度,選了最新的.Net8+AOT編譯,用VMP給它加殼。最後逆向下,簡單的分析,本篇看下。
2.概述
一.前奏
首先一段簡單的C#代碼:
namespace Test_{
internal class Program{
static void Main(string[] args) {
Console.WriteLine("hello, World!");
Console.ReadLine();
}
}
}
把這段代碼編譯成AOT:
1.csproj裏面添加 <PublishAot>true</PublishAot>
2.dotnet publish -r win-x64 -c Release
編譯完成之後在路徑
bin\release\net8.0\win-x64\publish
找到Test_.exe,然後對它進行VMP加密。這裏用的是VMP3.7.1。爲了最大強度加密,把它所有加密全選上,如下圖:
最後得到一個獨立的Exe文件Test_.vmp.exe。把這個Exe運行之後,拍攝一個內存快照,它的堆棧如下
00 00000000`0014fad8 00007fff`00cc65cb ntdll!NtReadFile+0x14
01 00000000`0014fae0 00000001`40140e2b KERNELBASE!ReadFile+0x7b
02 00000000`0014fb50 00000001`401419d9 Test__vmp+0x140e2b
03 00000000`0014fc10 00000001`401418d1 Test__vmp+0x1419d9
04 00000000`0014fc60 00000001`40143bed Test__vmp+0x1418d1
05 00000000`0014fca0 00000001`400e0796 Test__vmp+0x143bed
06 00000000`0014fd00 00000001`400e0857 Test__vmp+0xe0796
07 00000000`0014fd50 00000001`401440ce Test__vmp+0xe0857
08 00000000`0014fda0 00000001`401413d2 Test__vmp+0x1440ce
09 00000000`0014fde0 00000001`4007b455 Test__vmp+0x1413d2
0a 00000000`0014fe10 00000001`4016bc0b Test__vmp+0x7b455
0b 00000000`0014fe40 00000001`4006e15e Test__vmp+0x16bc0b
0c 00000000`0014fea0 00000001`400694b4 Test__vmp+0x6e15e
0d 00000000`0014fef0 00007fff`029426ad Test__vmp+0x694b4
0e 00000000`0014ff30 00007fff`0370aa68 kernel32!BaseThreadInitThunk+0x1d
0f 00000000`0014ff60 00000000`00000000 ntdll!RtlUserThreadStart+0x28
因爲它停在了ReadLine()這個託管函數上面,又因爲託管代碼進行了AOT,所以它這裏的堆棧其實就是非託管棧。
注意這個堆棧裏面的第10行,也即編號09哪一行
09 00000000`0014fde0 00000001`4007b455 Test__vmp+0x1413d2
這裏就是.Net8預編代碼AOT的託管Main入口的非託管表現。
Test__Test__Program__Main
看下它的內容:
00000001`4007b440 4883ec28 sub rsp,28h
00000001`4007b444 488d0d6dc52200 lea rcx,[Test__vmp+0x2a79b8 (00000001`402a79b8)]
00000001`4007b44b e8905f0c00 call Test__vmp+0x1413e0 (00000001`401413e0)
00000001`4007b450 e86b5f0c00 call Test__vmp+0x1413c0 (00000001`401413c0)
00000001`4007b455 90 nop
00000001`4007b456 4883c428 add rsp,28h
00000001`4007b45a c3 ret
這裏剛好的是託管示例的機器碼調用,注意它只是內存裏面的表現
二:虛擬機原理
這裏需要簡單瞭解下虛擬機的原理,虛擬機會根據傳遞進來的代碼,對這些代碼進行,解析,組合,變形等等之後,組合成新的機器碼在機器上運行。這裏的VMP本身就是個虛擬機,它把AOT的彙編代碼,進行解析,組合,變形之後形成彙編代碼運行。瞭解了這一點,我們就知道上面的內存快照只不過是它運行時候的表現,而實際上Exe裏面的代碼未必會是這種表現。
這裏看下,hello World字符串
00000001`4007b444 488d0d6dc52200 lea rcx,[Test__vmp+0x2a79b8 (00000001`402a79b8)]
它指向的就是字符串實例的MethodTable,hello world字符串清晰可見:
00000001`402a79b8 88 41 20 40 01 00 00 00-0d 00 00 00 48 00 68 00 .A @........h.e.
00000001`402a79c8 6c 00 6c 00 6f 00 2c 00-20 00 57 00 6f 00 72 00 l.l.o.,. .W.o.r.
00000001`402a79d8 6c 00 64 00 21 00 00 00-00 00 00 00 00 00 00 00 l.d.!...........
但是這些代碼只是內存的表現,而實際上存儲在Exe裏面可能是加密過的字符串,這裏是解析之後,最後運行的結果。如果想要修改掉這串字符,那麼得找到這串字符ASCII單個byte加密的地方。
三:特徵碼
我們可以看到字符串的操作取地址lea指令後面是立即數:
00000001`4007b444 488d0d6dc52200 lea rcx,[Test__vmp+0x2a79b8 (00000001`402a79b8)]
一般來說,這種取地址不會混淆,所以這裏在Test_.vmp.exe的整個彙編裏面搜索一下特徵
lea rcx 後面跟立即數的
結果如下:
000000014067AA6D: 48 8D 0C 06 lea rcx,[000000014067B101]
地址:000000014067AAE4如下:
000000014067B101: 93 xchg eax,ebx
000000014067B102: 32 C0 xor al,al
000000014067B104: CB retf
000000014067B105: 02 68 B0 add ch,byte ptr [rax-50h]
可以看到地址:000000014067B106有個0x68,還記得上面的hello World字符串嘛,首字母h的ASCII就是0x68。
OK,要找的就是這個地方了,在十六進制編輯器裏面把它改成0x67,然後保存運行下Test_.vmp.exe。字符串hello World變成了gello World,如下圖。
結尾
非常簡單的一個例子,如果你對以上感興趣,可以掃描下面卡片關注我。帶你玩好玩的技術。