2010年7月4日

.Net程序集基于方法的保护原理(HookJIT篇)

摘要: DOTNET程序集的保护由混淆、整体加密、基于方法保护到参与伪IL指令本地化,逐步由纯.NET领域走向传统WIN32加密领域。相应,解密的主体工作也由过去的IL代码分析走向了ASM代码分析。我们留恋过去的“开源盛世”,但不得不正视现实。基于方法的保护是这一过渡中关键的一环,可见的实例代码太少了,本文将通过手动实践学习它的基本原理。 阅读全文

posted @ 2010-07-04 22:21 northstarlight 阅读(8703) 评论(9) 推荐(10) 编辑

2010年5月25日

.Net内存程序集的DUMP(ProFile篇)

摘要: .Net内存程序集的DUMP(ProFile篇)作者:RZH 网名:看雪_grassdrago引言在DOTNET加解密过程中,我们经常会碰到从内存中转贮.NET程序集的场景。会经常使用那些神奇的DUMP工具,特别是分析整体加解密保护的程序集时,感觉很爽,当然这是因为它的保护很弱。于是我们想了解和学习如何完成类似的功能。本文将简单地介绍Profiling API的一些概念并通过它完成相同的工作。Pr... 阅读全文

posted @ 2010-05-25 09:07 northstarlight 阅读(5577) 评论(4) 推荐(1) 编辑

2010年5月15日

{samartassembly}4.1.39分析(加解密二)

摘要: 二、程序集打包功能的分析 {sa}的程序集打包功能分为两种,一种为将几个程序集合成为一个程序集,就如我们编写了一个大的程序集一样,含有不同的命名空间及其一不同的类。第二种方式是将DLL作为加密后的资源嵌入,使用时解压解密释放到内存中。 1、程序集的合并: 准备:依旧采用上面的样例程序AppCllDll.exe,用{sa}将其引用的两个DLL文件打包进来,如下图配置生成。Reflector打开效果:... 阅读全文

posted @ 2010-05-15 20:46 northstarlight 阅读(733) 评论(0) 推荐(2) 编辑

{samartassembly}4.1.39分析(加解密一)

摘要: 2009-11-21 作者:rzh网名:看雪_grassdrago目标:样例程序AppCllDll.exe (引用MyDll、TestDll),见样例程序环境:.net2.0 工具:Reflector5.1.6.0 Visual Strdio2005 CFF Explorer.exe UltraEdit32 WinDbg6.11.0001.404 x86 PeBrowseDbg9.1.3.0 I... 阅读全文

posted @ 2010-05-15 20:06 northstarlight 阅读(1566) 评论(0) 推荐(1) 编辑

2008年8月6日

Armadillo脱壳练习笔记(二)--Import Table Elimination+Strategic Code Splicing

摘要: Armadillo标准壳+Import Table Elimination+Strategic Code Splicing 阅读全文

posted @ 2008-08-06 22:48 northstarlight 阅读(1555) 评论(0) 推荐(0) 编辑

2008年8月5日

Armadillo脱壳练习笔记(一)

摘要: 这是一个学习脱Armadillo壳的笔记,用了最为简单的程序和加壳参数,图文并茂。放在博客里,当忘记时,回头看一下,希望不总是过很久后要用它时再从头学。 阅读全文

posted @ 2008-08-05 19:17 northstarlight 阅读(2544) 评论(1) 推荐(0) 编辑

导航