紫雨轩 .Net, DNGuard HVM , .Net VMProtect

#1楼  2007-07-15 21:29 fannee [未注册用户]

运行后并没有出现进程列表，而且两种dll注入方式都不行，第一种方式提示：call dll start failed.第二中方式提示：加载shell.dll出错。   回复  引用    

#2楼  2007-07-15 21:58 fannee [未注册用户]

profile注入方式是怎么实现的，是在运行时修改il，由main函数自动加载程序集吗？   回复  引用    

#3楼 [楼主] 2007-07-15 22:30 瑞克      

只支持 。net 2.0.
另外注意这个
“程序使用的是 VS2005 C++/CLI 需要相关运行库 mfc80u.dll msvcr80.dll msvcm80.dll...
”
  回复  引用  查看    

#4楼  2007-07-16 11:29 fannee [未注册用户]

请教一个问题，比较一个dll代码是否在运行时改动过的最好的方法是什么？   回复  引用    

#5楼 [楼主] 2007-07-16 21:23 瑞克      

效验，crc,md5啥的，数字签名啥的   回复  引用  查看    

#6楼  2007-07-22 08:35 fannee [未注册用户]

我的意思是比较dll的代码哪些被改变，比如hook api修改的代码，比如ultraedit可以比较，但代码太大时很慢。有没有更好的方法和工具。   回复  引用    

#7楼  2007-07-22 08:40 fannee [未注册用户]

profile注入方式是不是在方法体jit之前新增一内存快，将il字节码加上加载自己程序集的代码后copy到新的内存块，然后将新的内存块的地址传给jit。我将profile注入方式的进程dump后并没有发现任何改变，可见在运行时动态开辟内存实现的。   回复  引用    

#8楼 [楼主] 2007-07-23 20:40 瑞克      

网上有三篇 modify il on the fly 的介绍文章，就是讲这个的   回复  引用  查看    

#9楼  2007-07-24 17:26 fannee [未注册用户]

文章应该叫“用 _NET Framework Profiling API 迅速重写 MSIL 代码”，为什么说成modify il on the fly，中文意思是“迅速修改il”，未免让人不太好懂吧。   回复  引用    

#10楼 [楼主] 2007-07-26 09:16 瑞克      

汗，名字记错了，完整名字是：
.NET Internals: Rewrite MSIL Code on the Fly with the .NET   回复  引用  查看