.NET软件保护与破解浅析

    网上很少看到有关.NET软件保护与破解的文章，刚好分析了几款有一定代表性的.NET软件，于是便将他们的保护措施和如何破解方法记录下来，以便和大家交流。在开始之前，首先申明：本文中反编译和破解的软件只是为学习和研究的目的，请勿非法使用。

    .NET平台下的软件(exe,dll文件)叫做程序集。它使用一种扩展的PE格式文件来保存。.NET程序集与以往的应用程序不同，它保存的是Microsoft中间语言指令(MSIL)和元数据(Metadata)，而不是机器指令和数据。.NET程序集在运行的时候才会动态将Microsoft中间语言编译成机器指令执行。所以我们不能简单的使用反汇编来解读程序逻辑。初学者明白这点很重要。不过幸运的是，.NET程序集是一种自描述的组件，可以用它自描述的特性反编译出高级程序代码(如c#,vb.net)，这比汇编代码更容易读懂得多。即使不反编译成高级程序代码，Microsoft中间语言本身也是一种抽象、基于堆栈的面向对象伪汇编语言。它本身也比汇编代码更容易读懂。在代码易阅读这点上，.NET程序更容易遭到破解。不过，有矛必有盾，现在有很多产品都可以混淆.NET代码，使得反编译出来后的结果也同样没有可读性。

    .NET程序集与以往的应用程序另一个不同点在于它可以使用强名称签名来防止自身被篡改。使用强名称签名的程序集包含公钥和数字签名信息。.NET在执行具有强名称的程序集前会对它进行安全检查，以防止它被非法篡改。这一点很厉害，它限制了我们通过修改程序代码（爆破）来破解程序的方法。

    .NET平台还提供了很多安全相关的类库，利用这些类库可以写成很强壮的注册算法（如使用RSA对注册文件签名，只有使用私钥才能产生正确的注册码）。这些算法破解者很难破解。

    另外，现在还出现了很多其他的保护措施，如流程混淆，元数据加密，加密壳，虚拟机技术，编译为本地代码等保护手段。综合使用这些保护手段，会使破解难道大幅度提高。

    软件破解一般有两种方式。一种方式为不对软件做出修改，只是分析软件注册算法，根据注册算法写出生成正确注册码的注册机程序完成注册过程。第二种方式需要对软件逻辑作出修改，使软件正常判断注册逻辑失效，总是认为软件已经注册成功。这种方式就是通常说的“爆破”。由于第二种方法需要修改软件逻辑，不能保证软件修改后的行为和原来一样，故一般只有在第一种方式尝试失败后才使用第二种方式。

    下面，我将通过对两款软件的分析来讲解.NET平台下软件的保护措施和破解方法。

准备的工具：
1，Reflector http://www.aisto.com/roeder/dotnet/
.NET平台下极好的反编译工具。
2，ManagedSpy
可以查看.NET代码写的程序窗口。 

实例一，GatherBird Copy Large Files 2.4

    这是个拷贝大文件的工具，它的注册算法不强，可以很容易写出注册机。我们可以通过破解这个软件来了解破解.NET软件的一般流程。

    首先运行Copy Large Files 2.4 (Windows .Net 2.0 version) 。发现界面有个“Register”的按钮。查看功能说明书，知道这是没有注册的标志，注册了界面上就不会多这个按钮。点击这个按钮，就弹出注册框，窗口标题为“Register”。然后运行ManagedSpy，可以看出DotNetCopyLargeFiles程序有两个窗体，一个“Form1_class”，另一个“RFLib_Forms_Registration_class”。很显然，第二个就是我们弹出的注册框。

    运行Reflactor，将DotNetCopyLargeFiles.exe拖进Reflactor，查找“RFLib_Forms_Registration_class”就是反编译好的注册框C#或VB源代码。读懂代码。发现在点击“Register”按钮后会触发“button3_Click”函数，在这个函数中将文本框中输入的注册码保存到了registerstring属性中。使用Reflactor查找哪些地方在调用registerstring属性。发现在Form1_class中点击“Register”按钮后将这个registerstring属性保持在Form1_class中的RegistryString字段中。用Reflactor查找谁在使用RegistryString，发现在Form1_class的OnTimerTick方法中将RegistryString传给RSF1_class.SF40Helper方法检查。

    读懂RSF1_class，这就注册算法所在的类。读代码的时候，可以借助Reflactor反编译成源文件，然后使用VS2005或VS2008编译后动态调试。这样，可以分析SF4就是注册码产出的方法，根据这个方法，我们不难写出注册机算法。下面就是我写的一个注册机算法。当然，你也可以自己写，方法中用到的其他方法和类都可以从Reflector反编译的源代码中得到。

GenerateKey
public static string GenerateKey(byte[] exename) 
{ 
    byte[] buffer = new byte[0x5f]; 
    byte[] row = new byte[0x800]; 
    DotNetRandom_class random = new DotNetRandom_class(); 
    StringBuilder key = new StringBuilder(); 
    if (!SF20()) 
    { 
        random.RRandomSeed2(exename); 

        for (int i = 0; i < 0x5f; i++) 
        { 
            buffer[i] = (byte)(i + 0x20); 
        }            

        SF2(row, ref random); 
        Random r = new Random(); 
        int numberIndex = GetNumberIndex(buffer,(byte)r.Next(50,57)); 

        for (int i = 0; i < 6; i ++) 
        { 
            key.Append( Convert.ToChar(row[numberIndex * 2])); 
            key.Append(Convert.ToChar( row[numberIndex * 2+1]));                    
            for (int j = 0; j < buffer[numberIndex]; j++) 
            { 
                random.RRandomUnsignedLong(); 
            } 
            SF2b(row, ref random); 

            numberIndex = GetNumberIndex(buffer, (byte)r.Next(48, 57));                    
        } 
    } 

    return key.ToString(); 
} 

public static int GetNumberIndex(byte[] buffer, byte number) 
{ 
    for (int i = 0; i < buffer.Length; i++) 
    { 
        if (buffer[i] == number) 
        { 
            return i; 
        } 
    } 

    return 20; 
}

 

实例二，ANTS Profiler

    ANTS Profiler是一个检测基于.Net Framework的任何语言开发出的应用程序的代码性能的工具。它使用激活码和网络激活的方式进行双重验证。代码经过了混淆器混淆，程序集也经过强名称签名，注册算法也用的是成熟的RSA算法。所以整体安全性不错，是.NET平台下比较成熟的做法，很有借鉴意义。

    在安装完ANTS Profiler后，运行ANTS Profiler ，会弹出Trial界面，提示还有14天试用期。另外，有一个激活按钮。点击激活按钮，第一步会弹出提示输入激活码的窗口。这里需要先得到正确的激活码，才能进行下面的验证步骤。那么怎么才能得到正确的激活码呢？像分析第一款软件一样，我们先打开ManagedSpy。在ManagedSpy中我们发现Trial界面的窗体类叫_53，输入激活码的窗体类叫_3。很显然，都是经过代码混淆的，这是ANTS Profiler安全保护的第一关-“代码混淆关”。这一关只是增加过其他关的难度，不需要特别处理。

    在找到注册信息相关的类名_53后，打开Reflactor，搜索_53类，顺藤摸瓜，再找到_3类，这个类在RedGate.Licensing.Client.dll中(RedGate.Licensing.Client.dll是注册相关的程序集，需要重点关注)。读_3类的代码，发现输入的激活码被设置到_2类中SerialNumber属性中，_2类中_2(string text1)方法就是校验激活码的方法。代码如下：

Code
private static bool _2(string text1)
{
    text1 = text1.ToUpper().Trim();
    Regex regex = new Regex(@"[A-Z]{2}-[0-9A-Z]{1}-[0-9A-Z]{1}-\d{5}-[0-9A-F]{4}");
    Regex regex2 = new Regex(@"\d{3}-\d{3}-\d{6}-[0-9A-F]{4}");
    if (regex.IsMatch(text1))
    {
        string str = text1.Substring(0, 12);
        string str2 = string.Format("{0:X4}", _7._1(str));
        if (!text1.EndsWith(str2))
        {
            return false;
        }
    }
    else if (regex2.IsMatch(text1))
    {
        string str3 = text1.Substring(0, 14);
        string str4 = string.Format("{0:X4}", _7._1(str3));
        if (!text1.EndsWith(str4))
        {
            return false;
        }
    }
    else
    {
        return false;
    }
    return true;
}

    这段代码表明，激活码是符合regex和regex2这两种正则表达式的形式。同时，满足激活码使用_7._1(string text1)方法返回值结尾。很显然，前12为是激活码信息，后四位是激活码校验位。_7._1(string text1)就是计算校验位的方法，代码如下：

Code
internal static uint _1(string text1)
{
    long num = 0L;
    for (int i = 0; i < text1.Length; i++)
    {
        int num4 = text1[i];
        for (int j = 7; j >= 0; j--)
        {
            bool flag = ((num & 0x8000L) == 0x8000L) ^ ((num4 & (((int) 1) << j)) != 0);
            num = (num & 0x7fffL) << 1;
            if (flag)
            {
                num ^= 0x1021L;
            }
        }
    }
    return (uint) num;
}

    知道了激活码的合法形式和校验位的计算方法，我们就可以构建一个合法的激活码。以regex表示的合法激活码形式为例，选择前12位为最小值“AA-0-0-00000”的一个合法激活码，然后使用_7._1(string text1)方法计算校验码为：“DE33”。那么一个合法的激活码就这样得到了“AA-0-0-00000-DE33”。复制激活码到激活窗口，成功通过验证。至此，ANTS Profiler安全保护的第二关-“激活码验证关”通过了。在激活码验证通过后，点击下一步会进入到网络激活或Email激活界面。选择Email激活，我们可以看见ANTS Profiler收集了版本信息，激活码，session，和机器硬件等信息。这可以保障一个注册码只能用在一台电脑上，值得学习。激活请求信息如下：

activationrequest
<activationrequest> 
<version>2</version> 
<machinehash>F6FB-285E-CD12-667D</machinehash> 
<productcode>5</productcode> 
<majorversion>3</majorversion> 
<minorversion>0</minorversion> 
<serialnumber>AA-0-0-00000-DE33</serialnumber> 
<session>689fae08-2fdb-485e-9df7-28e2888cfbff</session> 
<locale>zh-CN</locale> 
</activationrequest>

    接下来，就是输入激活响应信息，验证激活响应信息的界面了。这是激活界面的第四步，同样代码在_3类中。跟踪代码，发现验证逻辑在RedGate.Licensing.Client.Licence类中的_2(XmlDocument document1, ref _2 _Ref1)方法中，代码如下：

Code
  1private bool _2(XmlDocument document1, ref _2 _Ref1)
  2{
  3    XmlNodeList elementsByTagName = document1.GetElementsByTagName("data");
  4    XmlNodeList list2 = document1.GetElementsByTagName("signature");
  5    if ((elementsByTagName.Count != 1) || (list2.Count != 1))
  6    {
  7        _Ref1._3 = _6._1(_6._16);
  8        return false;
  9    }
    string outerXml = elementsByTagName[0].OuterXml;
    string innerXml = list2[0].InnerXml;
    if (innerXml.Length == 0)
    {
        _Ref1._3 = _6._1(_6._17);
        return false;
    }
    RSACryptoServiceProvider provider = new RSACryptoServiceProvider();
    string xmlString = "<RSAKeyValue><Modulus>zLizNmLUd4VlIWee1GXgn/KxEwcghPASQ+NUzZhbY2fTGzpW64T6yEOdHlIbhX1DX6yAz2gMZKfnpQL2aFqxh5ACFV9dONSTzuQzkqeXwFEARsMxGP3eTQSWMpwVhEcraSn1zOqMb3CRDeQpgasq0lv4HRFhbwalOifKarjEL/8=</Modulus><Exponent>AQAB</Exponent></RSAKeyValue>";
    provider.FromXmlString(xmlString);
    byte[] signature = Convert.FromBase64String(innerXml);
    byte[] bytes = Encoding.UTF8.GetBytes(outerXml);
    if (!provider.VerifyData(bytes, new SHA1Managed(), signature))
    {
        _Ref1._3 = _6._1(_6._18);
        return false;
    }
    _Ref1._1 = false;
    foreach (XmlNode node in elementsByTagName[0].ChildNodes)
    {
        string name = node.Name;
        if (name == null)
        {
            continue;
        }
        name = string.IsInterned(name);
        if (name != "productcodes")
        {
            if (name == "serialnumber")
            {
                goto Label_0294;
            }
            if (name == "productcode")
            {
                goto Label_02A7;
            }
            if (name == "majorversion")
            {
                goto Label_02BF;
            }
            if (name == "minorversion")
            {
                goto Label_02D7;
            }
            if (name == "edition")
            {
                goto Label_02EF;
            }
            if (name == "machinehash")
            {
                goto Label_02FF;
            }
            if (name == "extension")
            {
                goto Label_030F;
            }
            if (name == "session")
            {
                goto Label_0319;
            }
            continue;
        }
        foreach (XmlNode node2 in node.SelectNodes("product"))
        {
            _1 _ = new _1();
            try
            {
                _._1 = node2.SelectSingleNode("productname").InnerText;
                _._1 = Convert.ToInt32(node2.SelectSingleNode("productcode").InnerText);
                _._2 = Convert.ToInt32(node2.SelectSingleNode("majorversion").InnerText);
                _._3 = Convert.ToInt32(node2.SelectSingleNode("minorversion").InnerText);
                _._2 = node2.SelectSingleNode("edition").InnerText;
                _Ref1._1.Add(_);
                continue;
            }
            catch (Exception)
            {
                continue;
            }
        }
        continue;
    Label_0294:
        _Ref1._2 = node.InnerText;
        continue;
    Label_02A7:
        try
        {
            _Ref1._1 = Convert.ToInt32(node.InnerText);
        }
        catch
        {
        }
        continue;
    Label_02BF:
        try
        {
            _Ref1._2 = Convert.ToInt32(node.InnerText);
        }
        catch
        {
        }
        continue;
    Label_02D7:
        try
        {
            _Ref1._3 = Convert.ToInt32(node.InnerText);
        }
        catch
        {
        }
        continue;
    Label_02EF:
        _Ref1._5 = node.InnerText;
        continue;
    Label_02FF:
        _Ref1._1 = node.InnerText;
        continue;
    Label_030F:
        _Ref1._1 = true;
        continue;
    Label_0319:
        _Ref1._4 = node.InnerText;
    }
    return true;
}

    细读这段代码可以发现，激活响应信息已经使用RSA算法进行过数字签名，这样可以防止激活响应信息被篡改。要篡改或伪造激活响应信息，必需破解RSA私钥公钥对。公钥已经在方法体中给出，所以需要破解私钥。从公钥可以看出，它使用的1024位密钥长度，理论攻破时间10¹¹MIPS年。虽然破解的可能性存在，但破解几率很小。这就是ANTS Profiler安全保护的第三关-“RSA数字签名关”。这使得我们不得不放弃伪造激活响应信息的办法。通常碰到RSA等成熟算法，我们只能选择“爆破”这款软件了。

通过前面的分析，我们发现程序中判断软件是否注册的逻辑放在RedGate.Licensing.Client.dll程序集中的Licence类里面。我们需要做的就是打开Reflactor软件，加载RedGate.Licensing.Client.dll文件，将RedGate.Licensing.Client.dll文件Export成C#工程源文件。然后将源文件中Licence类中所有公共方法都返回注册成功的信息，再重新编译生成新的修改后的RedGate.Licensing.Client.dll文件，用新生成的文件替换原RedGate.Licensing.Client.dll文件。这样，注册判断逻辑就被非法篡改了，使软件误认为已经注册。修改后的Licence类就像下面这样：

Code
namespace RedGate.Licensing.Client 
{ 
    using System; 

    public class Licence 
    { 
        public bool DisplayUI() 
        { 
            return true; 
        } 

        public static Licence GetLicence(int productCode, string productName, int majorVersion, int minorVersion) 
        { 
            return new Licence(); 
        } 

        public static Licence GetLicence(int productCode, string productName, int majorVersion, int minorVersion, string path) 
        { 
            return new Licence(); 
        } 

        public static void InitializeAtInstall(string productName, int productCode, int majorVersion, int minorVersion, string guid) 
        { 
        } 

        public bool Activated 
        { 
            get 
            { 
                return true; 
            } 
        } 

        public int DaysLeftInTrial 
        { 
            get 
            { 
                return 0x7fffffff; 
            } 
        } 

        public string Edition 
        { 
            get 
            { 
                return "professional"; 
            } 
        } 

        public string LicenceFilePath 
        { 
            get 
            { 
                return string.Empty; 
            } 
        } 

        public string SerialNumber 
        { 
            get 
            { 
                return "AA-0-0-00000-DE33"; 
            } 
            set 
            { 
            } 
        } 

        public RedGate.Licensing.Client.TrialStatus TrialStatus 
        { 
            get 
            { 
                return RedGate.Licensing.Client.TrialStatus.InTrial; 
            } 
        } 
    } 
} 

    爆破虽然是一种好方法，不过.NET中有专门对付这种方法的杀手锏-“强名称签名”。不幸的是，ANTS Profiler使用了强名称签名机制，是我们在爆破软件这条路上受阻。这就是ANTS Profiler软件保护的第四关-“强名称签名”。强名称签名会在软件被加入GAC时验证。如果软件没在GAC中，那么运行软件的时候也会验证。如果软件被篡改，在运行软件的时候软件会直接抛出异常，使得软件无法正常运行。

    那么如何破解这种强名称签名验证机制呢？

    有几种办法可以解除强名称的验证机制。第一种方法适合单个文件的软件，对单个文件的软件我们可以移除强名称签名信息，使软件变成弱名称的程序，这样在软件运行的时候就不会验证是否被篡改了。对于引用关系复杂的多文件软件，我们可以采取第二种方法。这种方法需要理由.NET平台上设计的“后门”才能完成。这个“后门”是什么呢？原来，为了使软件开发后能够使用混淆工具混淆，微软允许延迟签名程序集，被延迟签名的程序集可以在混淆之后再重新签名。而为了测试方便，只需要在注册表中加入一条记录就可以使混淆修改后的程序在没有被重新签名前也能运行，即不进行强名称验证。

    利用这个“后门”，我们只需要将修改后的修改完Licence类编译成新的RedGate.Licensing.Client.dll文件，编译选项中使用任意一对公钥私钥对强名称签名，并选择延迟签名，然后篡改编译后的public key为原始RedGate.Licensing.Client.dll文件的public key。再在注册表中加入一条记录就可以是强名称签名验证机制失效，达到破解的目的。具体做法如下：

1，我们用sn命令生成一个新的公钥私钥对，用于签名

sn -k my.key

2，将反编译的RedGate.Licensing.Client.dll工程文件中Licence类修改成上面的代码，并在编译选项中使用第一步得到的my.key签名程序集。注意，一定要选择延迟签名选项。编译生成新的RedGate.Licensing.Client.dll文件。

3，使用sn命令得到原始RedGate.Licensing.Client.dll文件的public key和新RedGate.Licensing.Client.dll文件的public key。

sn -Tp RedGate.Licensing.Client.dll

4，使用二进制编辑软件，如WinHex打开新的RedGate.Licensing.Client.dll文件，替换掉它的public key为老文件中的public key。

5，在注册表“Software\Microsoft\StrongName\Verification\”下加一条子健“RedGate.Licensing.Client,7F465A1C156D4D57”即可完成破解。这步也可以使用sn命令代替。

sn -Vr RedGate.Licensing.Client.dll

    当然，你可以将修改后的RedGate.Licensing.Client.dll文件打包到一个Patch文件中，并在Patch文件中自动完成替换文件和修改注册表的操作。至此，ANTS Profiler就被破解了。

    通过对以上两款软件的分析，我们可以看出，ANTS Profiler的保护手段还是比较成熟的，值得借鉴。它使用了名称混淆，激活码+网络验证，RSA数字签名，强名称签名等保护手段，整体安全系数较高。而GatherBird Copy Large Files则没有充分运用上.NET平台提供的保护措施，还处于比较低的保护级别。如果我们综合运用流程混淆，元数据加密，加密壳，虚拟机技术，编译为本地代码等保护手段，软件保护强度将更高。

    最后提供一个高人写的.NET版本的CrackMe。有兴趣的朋友可以试一试。