.net软件保护方式大观
最近调试一个运行于.net 2.0下的软件,发现该软件使用的保护方式很具有代表性,基本囊括了现在.net下的所有保护措施。实践证明,这些保护措施就像全真七子,单打独斗功力差了点儿,但结合起来应用还是有一定强度的。下面做以说明,供.net开发者参考。
1.加壳
该软件使用MaxtoCode加壳,该壳会生成本地dll文件,在运行时通过动态挂钩.net内核解密,并且是each method解密,所以不会在内存中出现完整的assembly,使得传统的内存dump方法失效。类似的壳还有国外的Remotesoft Protector、XHEO CodeVeil、.Net Reactor。这类壳本身就提供了反调试功能,再加上壳的本地dll也被加壳,因此这一步便可以挡住80%的逆向分析者。
但是rick(http://rick.cnblogs.com)已经做出了脱壳机,所以对于这种保护的程序第一步仍是dump。脱壳后,便可利用ildasm将程序集反编译,将所有的引用本地dll的代码删除,再次编译后便可正常运行:
.method private specialname rtspecialname static
void .cctor() cil managed
{
// Code size 6 (0x6)
.maxstack 8
IL_0000: //call void InFaceMaxtoCode::Startup()
IL_0005: ret
} // end of method xebd220b94e14b2d7::.cctor
为了减肥,也可将InFaceMaxtoCode的代码删除,这些代码还是占据了一些体积的。
2.混淆
该软件使用了Xenocode Postbuild进行混淆,xenocode的保护包括了名称混淆和流程混淆。其中名称通常被改为如下形式:x485ea7930f0abd9a xdc0a6303c9bfe8dd。这样,代码的名称就无法代表原来的意义。
除了名称混淆,该软件还使用了流程混淆,加入了许多垃圾代码,比如:
(1)永远为“true”或“false”的跳转判断
IL_0086: ldc.i4.0
IL_0087: brtrue.s IL_0032
IL_0089: ldc.i4.0
IL_008a: brfalse.s IL_00e6
(2)将代码分块并添加多个跳转,所以在每个方法尾部会看到如下类似跳转表的代码
IL_0296: br.s IL_029d
IL_0298: br IL_022c
IL_029d: ldc.i4.0
IL_029e: brfalse.s IL_026f
IL_02a0: ldc.i4 0x3
IL_02a5: brtrue IL_0227
IL_02aa: br IL_0204
IL_02af: br IL_0032
混淆过的方法在反编译为高级语言时已经非常难以分析,如下:
if (Field34_4.Columns.Count != 0)
goto label_11;
bool flag2 = (flag1 - i) > 0xFFFFFFFF;
if (!flag2)
goto label_10;
while (true)
{
if (!0)
goto label_4;
Field34_1.Fill(Field34_4, Field34_2);
return true;
label_1:
flag2 = (flag1 + flag1) > 0xFFFFFFFF;
if (!flag2 && true)
goto label_7;
label_2:
Field34_4.Clear();
}
3.字符串加密
在win32下用wdasm查找字符串参考可能是逆向分析的第一步,.net中也是这样,一些敏感字符串会暴露程序作者的意图。不过现在的混淆程序都提供了源代码加密,比如:
IL_0086: ldstr "bppkcahlaaolhafmbllmhpcnopjnikaogohoapoopjfpbpmpho"
+ "daiokainbbhnibgnpbnngclnncjmeddnlddmcepljeihafilhfbmofplfgfmmghhdh"
IL_008b: ldc.i4 0x3c9baf9d
IL_0090: call string xb9d8bb5e6df032aa.x7841ead83ad1c299::_bc25ec13a5229081(string,int32)
这段代码解密出的字符是“This is an unregistered copy”,这样便有效地防止了程序在第一时间被定位至关键代码。开发者也可以在自己的程序中自行加入解码方法。
4.anti-deubg
反调试就是当检测到有解密软件运行时,让程序自动退出。见如下代码:
.method private static pinvokeimpl("user32" lasterr winapi)
bool EnumWindows(class CodeLib.x41a6f5dc72fea230/xdd2ea1989d3fc452 xa479061352f99870,
native int x7a5eebe5d933ebbc) cil managed preservesig
{
}
IL_0114: ldloc.2
IL_0115: ldstr "agnhoheigglificjphjjbiakpghkkgokihflahmlahdm"//DeProtector
IL_011a: ldc.i4 0x50e67d1c
IL_011f: call string xb9d8bb5e6df032aa.x7841ead83ad1c299::_bc25ec13a5229081(string,
int32)
IL_0124: call string [mscorlib]System.String::Intern(string)
IL_0129: callvirt instance int32 [mscorlib]System.String::IndexOf(string)
IL_012e: ldc.i4.m1
IL_012f: bgt IL_009f
IL_0134: br IL_0010
IL_0139: br IL_01e4
IL_013e: ldloc.2
IL_013f: ldstr "mkbbemibanpbljgcimnceledjlldllcenljehgafikhfalofclfgpimgkkdhgjkhfjbiejii"//JetBrains dotTrace
IL_0144: ldc.i4 0x43ee1162
IL_0149: call string xb9d8bb5e6df032aa.x7841ead83ad1c299::_bc25ec13a5229081(string,
int32)
IL_014e: call string [mscorlib]System.String::Intern(string)
IL_0153: callvirt instance int32 [mscorlib]System.String::IndexOf(string)
IL_0158: ldc.i4.m1
IL_0159: bgt IL_009f
IL_015e: ldloc.2
IL_015f: ldstr "iofohpmojpdpmmkphobajoia"//WinDbg
IL_0164: ldc.i4 0xdd4e591
IL_0169: call string xb9d8bb5e6df032aa.x7841ead83ad1c299::_bc25ec13a5229081(string,
int32)
IL_016e: call string [mscorlib]System.String::Intern(string)
IL_0173: callvirt instance int32 [mscorlib]System.String::IndexOf(string)
IL_0178: ldc.i4.m1
IL_0179: bgt IL_009f
程序从user32.dll中调用EnumWindows枚举当前所有窗口并取得名称,和解码过的敏感字符串进行对比。虽然这种方法“层次较高”,但仍不失为一种自我保护的手段。再就是当软件要进行敏感操作,比如在注册表中保存信息,从某个文件中读取信息时,也可以使用这些手段。
IL_0000: ldnull
IL_0001: ldstr "Registry Monitor - Sysinternals: www.sysinternals.com"
IL_0006: call native int [CodeLibWin]CodeLib.Win32.WindowsAPI::FindWindow(string, string)
IL_0101: ldnull
IL_0102: ldstr "File Monitor - Sysinternals: www.sysinternals.com"
IL_0107: call native int [CodeLibWin]CodeLib.Win32.WindowsAPI::FindWindow(string,string)
利用系统方法也可以进行检测是否有调试器:
IL_002d: call bool [mscorlib]System.Diagnostics.Debugger::get_IsAttached()
IL_0032: ldc.i4.0
IL_0033: ceq
5.时间验证
在关键代码处,如果进行单步跟踪调试,则从一句代码到另一句代码会运行较长时间。因此可以预估计一下正常的执行时间,然后进行对比,若超过这个时间界限,则认为被调试。代码如下:
IL_22df: ldloca.s V_51
IL_22e1: ldloc.s V_14
IL_22e3: call instance valuetype [mscorlib]System.TimeSpan [mscorlib]System.DateTime::Subtract(valuetype [mscorlib]System.DateTime)
IL_22e8: stloc.s V_52
IL_22ea: ldloca.s V_52
IL_22ec: call instance int32 [mscorlib]System.TimeSpan::get_Seconds()
IL_22f1: ldc.i4.3
IL_22f2: cgt
分别取两次系统时间,算出秒数差,和3秒进行对比,若大于3秒则跳转。
6.程序员自身的安全意识
无论什么保护手段,都需要程序作者会熟练运用,并且加强自身的安全意识。不过个人觉得该软件的作者有点过了,后期基本没更新软件本身的什么功能,全用于加强保护了。汗!(另:好像还有网络验证,还没看到)