在之前介绍Jit层脱壳原理时曾提到两个难点,
1。方法体的局部变量签名。
2。方法体的SEH 异常处理表。
本文主要就第一个问题进行简单探讨,随带也涉及到一些第二个问题。
前面提到过投机的方式获取,不在本文讨论范围,投机总是过于侥幸。
进入到Jit层后,局部变量签名已经由token值转变为了结构体 CORINFO_SIG_INFO ,可以推测,该转变应该是在 ee 层调用 jit的预处理过程中完成了。
参考sscli的源代码,很容易可以定位到一个关键函数 unsigned long __stdcall UnsafeJitFunction(class MethodDesc *, class COR_ILMETHOD_DECODER *, unsigned long) 在 .net 1.1 中好像名字叫 JitFunction 。
只要Hook这个函数,就可以获取到需要的东西了。
第一个参数,前面提到过了,可以转换为dotNet中的方法对象。第二个参数,是本文要提到的关键东西。关于它的定义可以参考sscli或者dotNet的sdk。
从名字就能看出它是干什么用的。如果你好彩,得到它就得到了整个方法体(如:.Net reactor, maxtocode 2007之前版本以及2007个人版,dnguard v1.0)。
如果壳在Jit层有挂钩,那么基本上可以判断这里无法取得IL字节码(如果壳采用分段解密,在这里不会解密IL字节码,它会把IL字节码的解密放到Jit层中)。
基本上可以确定这里能够获取到LocalVarSig 的 token值。
同时顺带一般也能获取到SEH Table。
这里需要注意,如果壳在附近也有挂钩,需要判断它是否挂了这个函数,然后需要调整一下hook位置。
还有一个不错的hook位置是 getMethodInfoHelper(MethodDesc *,CORINFO_METHOD_STRUCT_ *,COR_ILMETHOD_DECODER *,CORINFO_METHOD_INFO *)。
这个方法再配合 jit层的hook,加在一起基本上就完成了一个方法体的完整还原。
使用这个方法对 CliProtector,DNGuard HVM 加密保护的程序集无效。
这两个是纯Jit层的壳,在ee层没有挂钩服务提供解密,所以在这个方法hook不到所需的东西。
它们实际上是把预处理的工作全部放到了壳里面。
也许有人会有疑惑,既然这样加密壳为什么还要在ee层挂钩提供解密服务呢?这是几个技术问题,
加密壳需要在ee层挂接解密服务,一般是没有解决如何在壳中实现全部预处理的工作。
在Jit层实现预处理工作与在Jit层中直接实现脱壳是一个互逆的操作。
前面介绍Jit层脱壳时提到过两个难点,在jit层实现预处理同样也是这两个难点。