.Net虛擬機(jī)(CLR/JIT)加密原理(版權(quán)保護(hù))
1.前言
這里的虛擬機(jī)加密實(shí)際上是修改JIT即時(shí)編譯器入口函數(shù),讓其跳轉(zhuǎn)到加密軟件庫內(nèi)部,修正被加密之后更改了的托管DLL的ILCode,以讓其恢復(fù)正常編譯。從而屏蔽修改MSIL帶來的軟件程序修改。.Net7里面JIT,GC等等都已經(jīng)實(shí)現(xiàn)了分離和解耦。也就是可以把CLR和JIT以及GC(關(guān)于GC分離)分隔開來,對(duì)它們進(jìn)行定制和更改。
2.JIT
.Net7里面JIT的路徑如下:
C:\Program Files\dotnet\shared\Microsoft.NETCore.App\7.0.10\clrjit.dll這里的這個(gè)cltjit.dll就是模塊化的JIT庫。
那么它具體是如何運(yùn)作的呢?這里先看下它在CLR里面調(diào)用它方式,然后用C++描述下
//CoreClrFolderHolder.GetUnicode()就是clrjit.dll的路徑,這里是獲取clrjit.dll的模塊句柄
*phJit = CLRLoadLibrary(CoreClrFolderHolder.GetUnicode())
//通過上面獲取的句柄,獲取到clrjit里面的getJIT函數(shù)地址
pGetJitFn getJitFn = (pGetJitFn) GetProcAddress(*phJit, "getJit");
//運(yùn)行g(shù)etJIT函數(shù)的結(jié)果,賦給pICorJitCompiler
ICorJitCompiler* pICorJitCompiler = (*getJitFn)();
//這里的ICorJitCompiler是一個(gè)C++類
m_jit= pICorJitCompiler
上面的代碼用C++描述下就是:
HMODULE h=LoadLibraryExA("clrjit.dll");
void* getJitFn=(void*)GetProcAddress(h,"getJit");
ICorJitCompiler* pICorJitCompiler = (*getJitFn)();
m_jit= pICorJitCompiler以DHVM(DNGuard HMVM)為例,這里的這個(gè)m_jit里面的第一個(gè)成員變量就是JIT即時(shí)編譯器的起點(diǎn),CLR在加載托管DLL的時(shí)候,加載了DHVM模塊,更改了這個(gè)JIT即時(shí)編譯的起點(diǎn)。跳轉(zhuǎn)到DHVM內(nèi)部。對(duì)ILCode進(jìn)行修改,然后再跳轉(zhuǎn)回來,進(jìn)行即時(shí)編譯。這個(gè)過程如下圖所示:
圖片
3.保護(hù)的秘密
首先看下這個(gè)DHVM修正JIT入口。當(dāng)進(jìn)行了DHVM加密之后,CLR啟動(dòng),加載被加密后的托管DLL開始。
1.每個(gè)被加密的托管DLL都會(huì)被注入以下代碼:
圖片
你可以通過ILdasm來查看上圖。這里面的Startup和RunHVM這些注入到托管DLL之后,會(huì)被CLR先于托管Main加載。后于JIT加載。原有托管DLL的ILCode被保存到DHVM里面,原有的托管DLL的MSIL被修改為各種其它異常錯(cuò)誤。
2.托管Main加載之前,通過DHVM函數(shù)修改JIT入口。如下代碼:
//rbx即是m_jit的第一個(gè)成員變量,也就是JIT入口被修改被r11.
//也即是0000000180042100
0000000180472847 4C 89 1B mov qword ptr [rbx],r113.當(dāng)CLR正常加載運(yùn)行JIT的時(shí)候,因?yàn)镴IT入口已經(jīng)被替換。所以會(huì)跳轉(zhuǎn)到DHVM里面去。
//當(dāng)運(yùn)行的時(shí)候會(huì)跳轉(zhuǎn)到0000000180042100地址處執(zhí)行。
0000000180042100 40 53 push rbx4.DHVM里面修正當(dāng)前需要編譯的函數(shù)的ILCode為DHVM里面保存的正常MSIL.然后進(jìn)行正常編譯。
//rdi+10h即是需要編譯的ILCode,被賦值為r11,也即是保存在DHVM里面的正常MSIL
000000018047408C 4C 89 5F 10 mov qword ptr [rdi+10h],r114.結(jié)尾
虛擬機(jī)加密,這種保護(hù)度基本上也可以了。如果需要Hook它,則需要了解虛擬機(jī)的原理,或者是二進(jìn)制層面機(jī)器碼的含義。
