[原创].Net程序集基于方法的保护原理(HookJIT篇)-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创].Net程序集基于方法的保护原理(HookJIT篇)

发表于: 2010-7-4 22:54 37285

[原创].Net程序集基于方法的保护原理(HookJIT篇)

grassdrago 活跃值

2010-7-4 22:54

37285

int *__cdecl getJit()
{
int *result; // eax@1
result = (int *)dword_790B7260;
if ( !dword_790B7260 )
{
result = &dword_790B7268;
dword_790B7268 = (int)&CILJit___vftable_;
dword_790B7260 = (int)&dword_790B7268;
}
return result;
}

extern "C" 
ICorJitCompiler* __stdcall getJit()
{
    static char FJitBuff[sizeof(FJitCompiler)];
    if (ILJitter == 0)
    {
        // no need to check for out of memory, since caller checks for return value of NULL
        ILJitter = new(FJitBuff) FJitCompiler();
        _ASSERTE(ILJitter != NULL);
    }
    return(ILJitter);
}
class FJitCompiler : public ICorJitCompiler
{
public:

    /* the jitting function */
    CorJitResult __stdcall compileMethod (
            ICorJitInfo*            comp,               /* IN */
            CORINFO_METHOD_INFO*    info,               /* IN */
            unsigned                flags,              /* IN */
            BYTE **                 nativeEntry,        /* OUT */
            ULONG  *                nativeSizeOfCode    /* OUT */
            );
    
    /* notification from VM to clear caches */
    void __stdcall clearCache();
    BOOL __stdcall isCacheCleanupRequired();

    static BOOL Init();
    static void Terminate();

private:
    /* grab and remember the jitInterface helper addresses that we need at runtime */
    BOOL GetJitHelpers(ICorJitInfo* jitInfo);
};

int __stdcall CILJit::compileMethod(ULONG_PTR classthis, ICorJitInfo *comp,
               CORINFO_METHOD_INFO *info, unsigned flags,         
               BYTE **nativeEntry, ULONG  *nativeSizeOfCode)

struct CORINFO_METHOD_INFO
{
    CORINFO_METHOD_HANDLE       ftn;
    CORINFO_MODULE_HANDLE       scope;
    BYTE *                      ILCode;
    unsigned                    ILCodeSize;
    unsigned short              maxStack;
    unsigned short              EHcount;
    CorInfoOptions              options;
    CORINFO_SIG_INFO            args;
    CORINFO_SIG_INFO            locals;
};

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#.NET平台

上传的附件：

doAddFunCode1.JPG （62.01kb，1544次下载）
doAddFunCode.JPG （50.28kb，1484次下载）
end.JPG （46.10kb，1486次下载）
hookjit_rzh.rar （2.88MB，1037次下载）

收藏・67

免费・7

支持

最新回复 (30) 1 2 ▶
rufus 雪币： 259 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 20 回帖 194 粉丝 0 关注私信	rufus 2 2 楼沙发,顶一下 2010-7-4 23:20 0
leking 雪币： 291 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 158 粉丝 0 关注私信	leking 3 楼等下篇学习~ 2010-7-5 09:33 0
safeaz 雪币： 21 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	safeaz 4 楼网上遍地都是，人都说烂了。你发出来，居然加精？！！！ 2010-7-5 17:29 0
baoobao 雪币： 776 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 69 粉丝 0 关注私信	baoobao 5 楼太深奥了再学一遍啊 2010-7-5 18:37 0
grassdrago 雪币： 337 活跃值： (74) 能力值： ( LV9，RANK：140 ) 在线值：发帖 9 回帖 55 粉丝 5 关注私信	grassdrago 3 6 楼哈哈哈哈...safeaz气晕了. 其实啊,"发出来"就是关键了,高手们知道了不说,或不屑一说,泛谈多实例少,最深层的技术则藏着掩着大家难得一窥．技术本身是层窗户纸，也总会过时，无论含量多少，讲清楚，给出代码例子，让后来学习的人可以一目了然，节省时间，这方面国外的大师们做很棒．而我只是钻个空子罢了．哈哈．．．想想还是让人乐．坛里.net气氛并不浓，前时也拜读过你关于DNGuard的文章，其实把你的分析和代码细致些贴出来就是精华．祝好！ 2010-7-5 21:36 0
safeaz 雪币： 21 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	safeaz 7 楼哈哈，过去的事就算了。那是和Rick玩的。 2010-7-6 12:10 0
jasonzhou 雪币： 213 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 289 粉丝 1 关注私信	jasonzhou 8 楼特意登陆赞精神 2010-7-7 09:22 0
七夜血雪币： 248 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	七夜血 9 楼保护后的APP运行不了上传的附件：未命名.jpg （39.84kb，1296次下载） 2010-7-7 14:46 0
grassdrago 雪币： 337 活跃值： (74) 能力值： ( LV9，RANK：140 ) 在线值：发帖 9 回帖 55 粉丝 5 关注私信	grassdrago 3 10 楼楼上，您好！从给出的抓图来看，和删除掉HookJitPrj.dll的运行效果是一样的。也就是说：HookJitPrj.dll没有运行，挂勾没完成，程序跑的是换成了空的方法体，没能在解析时替换回正确的方法字节码，所以出错了。问题可能出在这里： //加入Program类 [DllImport("HookJitPrj.dll", CallingConvention = CallingConvention.Cdecl)] private static extern void HookJIT(); 在部分.net1.1和.net2.0混杂的机器环境下（更具体的环境不明），系统找不到指定的非托管DLL，导致HookJIT()方法不会被执行。你可以试一下把HookJitPrj.dll直接放入System32系统目录中，如果错误消除，说明猜测正确，这种情况的最简单解决方法为：拷入系统路径或改为固定路径 [DllImport("C:\\HookJitPrj.dll",。。。。],智能一点的办法是PInvoke kernel32.dll中的API获取指针然后用委托调用了。如果HookJitPrj.dll放入系统路径仍旧不能执行的话，猜想您写的任意[DllImport"非托管.dll",。。。。]都执行不了的。我不知道它怎么了，只好把环境搬来一起研究一下了。 2010-7-8 15:00 0
chinarenjf 雪币： 7072 活跃值： (4010) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 229 粉丝 0 关注私信	chinarenjf 11 楼期待下文的jitNativeCode... 2010-7-8 15:24 0
ssyfzy 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 69 粉丝 0 关注私信	ssyfzy 12 楼楼主看下： http://hi.baidu.com/kingcham/blog/item/28fa43951b2b2112d31b70d9.html 好像你的HookJitPrj.dll编译有问题 2010-7-20 15:37 0
ssyfzy 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 69 粉丝 0 关注私信	ssyfzy 13 楼异常:已引发:“无法加载 DLL“HookJitPrj.dll”: 应用程序无法启动，因为应用程序的并行配置不正确。有关详细信息，请参阅应用程序事件日志，或使用命令行 sxstrace.exe 工具。 (异常来自 HRESULT:0x800736B1)。”(System.DllNotFoundException) 引发了一个 System.DllNotFoundException:“无法加载 DLL“HookJitPrj.dll”: 应用程序无法启动，因为应用程序的并行配置不正确。有关详细信息，请参阅应用程序事件日志，或使用命令行 sxstrace.exe 工具。 (异常来自 HRESULT:0x800736B1)。” 2010-7-20 15:39 0
ssyfzy 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 69 粉丝 0 关注私信	ssyfzy 14 楼我的机器上，不做任何更改，重新编译一下HookJitPrj.dll就行了 2010-7-20 15:49 0
ssyfzy 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 69 粉丝 0 关注私信	ssyfzy 15 楼楼主，我有个问题，要得到一个方法的字节很简单，但是反过来，已知字节，怎么得到方法呢？ MethodInfo/MethodDefinition GetMethod(byte[]){} 想通过byte[]得到MethodInfo或者Mono.Cecil中的MethodDefinition，以便调用，该怎么做呢？ 2010-7-20 16:03 0
opensrc 雪币： 160 活跃值： (29) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	opensrc 1 16 楼 [QUOTE=ssyfzy;837965]楼主，我有个问题，要得到一个方法的字节很简单，但是反过来，已知字节，怎么得到方法呢？ MethodInfo/MethodDefinition GetMethod(byte[]){} 想通过byte[]得到MethodInfo或者Mono.Cecil中的MethodDefinition，以...[/QUOTE] 有点风、马、牛！不过万物都有联系。把字节码填回原方法体（只针对这个简单例子）然后Mono.Cecil。。 AssemblyDefinition asm = AssemblyFactory.GetAssembly(。。。; foreach (TypeDefinition type in asm.MainModule.Types)想改什么改什么了。反射则得到classtype后： MethodInfo mi = yourGettype.GetMethod("方法名");然后动态改什么是什么了。 2010-7-21 16:38 0
ssyfzy 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 69 粉丝 0 关注私信	ssyfzy 17 楼把字节码填回原方法体怎么填呢?要在程序中填,而不是手动比如我的程序中有一个 void Run() { } 函数,反编译什么也看不到,运行时我怎么把byte[]填进去并调用? 2010-7-23 11:15 0
sbjofjhh 雪币： 152 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	sbjofjhh 18 楼学习学习下。。。这好东西啊 2010-7-23 15:16 0
tdhao 雪币： 173 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	tdhao 19 楼 lz共享精神可嘉，学习中 2010-7-25 02:35 0
fitmaster 雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 0 关注私信	fitmaster 20 楼　我是写.NET程序的，希望保护好劳动成果！ 2010-11-18 15:08 0
误伤友军雪币： 90 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	误伤友军 21 楼一般只看贴不回贴，今天必须得回！绝大多数.NET破解的文章毫无疑义,能看到源码了还破解个屁,楼主的文章很有建设意义!赞! 2010-12-20 04:20 0
littlewisp 雪币： 5292 活跃值： (3684) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 559 粉丝 13 关注私信	littlewisp 2 22 楼学习了，正好用上 2011-1-22 18:06 0
wxhanshan 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 226 粉丝 0 关注私信	wxhanshan 23 楼支持凤姐顶一下 2011-1-22 18:35 0
误伤友军雪币： 90 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	误伤友军 24 楼请在静态库中使用 MFC,但我在执行到加载mscorjit.dll仍不成功,貌似找不到,把mscorjit.dllCOPY到当前目录下可以了,跟了下,没有发现执行my_compileMethod方法,怀疑楼主的例子真的与挂勾没有半毛钱关系 2011-1-24 16:47 0
听雨前缘雪币： 244 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 71 粉丝 0 关注私信	听雨前缘 25 楼收藏了，！~ 2011-5-31 11:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

grassdrago

发帖

回帖

140

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
rufus 雪币： 259 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 20 回帖 194 粉丝 0 关注私信	rufus 2 2 楼沙发,顶一下 2010-7-4 23:20 0
leking 雪币： 291 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 158 粉丝 0 关注私信	leking 3 楼等下篇学习~ 2010-7-5 09:33 0
safeaz 雪币： 21 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	safeaz 4 楼网上遍地都是，人都说烂了。你发出来，居然加精？！！！ 2010-7-5 17:29 0
baoobao 雪币： 776 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 69 粉丝 0 关注私信	baoobao 5 楼太深奥了再学一遍啊 2010-7-5 18:37 0
grassdrago 雪币： 337 活跃值： (74) 能力值： ( LV9，RANK：140 ) 在线值：发帖 9 回帖 55 粉丝 5 关注私信	grassdrago 3 6 楼哈哈哈哈...safeaz气晕了. 其实啊,"发出来"就是关键了,高手们知道了不说,或不屑一说,泛谈多实例少,最深层的技术则藏着掩着大家难得一窥．技术本身是层窗户纸，也总会过时，无论含量多少，讲清楚，给出代码例子，让后来学习的人可以一目了然，节省时间，这方面国外的大师们做很棒．而我只是钻个空子罢了．哈哈．．．想想还是让人乐．坛里.net气氛并不浓，前时也拜读过你关于DNGuard的文章，其实把你的分析和代码细致些贴出来就是精华．祝好！ 2010-7-5 21:36 0
safeaz 雪币： 21 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	safeaz 7 楼哈哈，过去的事就算了。那是和Rick玩的。 2010-7-6 12:10 0
jasonzhou 雪币： 213 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 289 粉丝 1 关注私信	jasonzhou 8 楼特意登陆赞精神 2010-7-7 09:22 0
七夜血雪币： 248 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	七夜血 9 楼保护后的APP运行不了上传的附件：未命名.jpg （39.84kb，1296次下载） 2010-7-7 14:46 0
grassdrago 雪币： 337 活跃值： (74) 能力值： ( LV9，RANK：140 ) 在线值：发帖 9 回帖 55 粉丝 5 关注私信	grassdrago 3 10 楼楼上，您好！从给出的抓图来看，和删除掉HookJitPrj.dll的运行效果是一样的。也就是说：HookJitPrj.dll没有运行，挂勾没完成，程序跑的是换成了空的方法体，没能在解析时替换回正确的方法字节码，所以出错了。问题可能出在这里： //加入Program类 [DllImport("HookJitPrj.dll", CallingConvention = CallingConvention.Cdecl)] private static extern void HookJIT(); 在部分.net1.1和.net2.0混杂的机器环境下（更具体的环境不明），系统找不到指定的非托管DLL，导致HookJIT()方法不会被执行。你可以试一下把HookJitPrj.dll直接放入System32系统目录中，如果错误消除，说明猜测正确，这种情况的最简单解决方法为：拷入系统路径或改为固定路径 [DllImport("C:\\HookJitPrj.dll",。。。。],智能一点的办法是PInvoke kernel32.dll中的API获取指针然后用委托调用了。如果HookJitPrj.dll放入系统路径仍旧不能执行的话，猜想您写的任意[DllImport"非托管.dll",。。。。]都执行不了的。我不知道它怎么了，只好把环境搬来一起研究一下了。 2010-7-8 15:00 0
chinarenjf 雪币： 7072 活跃值： (4010) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 229 粉丝 0 关注私信	chinarenjf 11 楼期待下文的jitNativeCode... 2010-7-8 15:24 0
ssyfzy 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 69 粉丝 0 关注私信	ssyfzy 12 楼楼主看下： http://hi.baidu.com/kingcham/blog/item/28fa43951b2b2112d31b70d9.html 好像你的HookJitPrj.dll编译有问题 2010-7-20 15:37 0
ssyfzy 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 69 粉丝 0 关注私信	ssyfzy 13 楼异常:已引发:“无法加载 DLL“HookJitPrj.dll”: 应用程序无法启动，因为应用程序的并行配置不正确。有关详细信息，请参阅应用程序事件日志，或使用命令行 sxstrace.exe 工具。 (异常来自 HRESULT:0x800736B1)。”(System.DllNotFoundException) 引发了一个 System.DllNotFoundException:“无法加载 DLL“HookJitPrj.dll”: 应用程序无法启动，因为应用程序的并行配置不正确。有关详细信息，请参阅应用程序事件日志，或使用命令行 sxstrace.exe 工具。 (异常来自 HRESULT:0x800736B1)。” 2010-7-20 15:39 0
ssyfzy 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 69 粉丝 0 关注私信	ssyfzy 14 楼我的机器上，不做任何更改，重新编译一下HookJitPrj.dll就行了 2010-7-20 15:49 0
ssyfzy 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 69 粉丝 0 关注私信	ssyfzy 15 楼楼主，我有个问题，要得到一个方法的字节很简单，但是反过来，已知字节，怎么得到方法呢？ MethodInfo/MethodDefinition GetMethod(byte[]){} 想通过byte[]得到MethodInfo或者Mono.Cecil中的MethodDefinition，以便调用，该怎么做呢？ 2010-7-20 16:03 0
opensrc 雪币： 160 活跃值： (29) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	opensrc 1 16 楼 [QUOTE=ssyfzy;837965]楼主，我有个问题，要得到一个方法的字节很简单，但是反过来，已知字节，怎么得到方法呢？ MethodInfo/MethodDefinition GetMethod(byte[]){} 想通过byte[]得到MethodInfo或者Mono.Cecil中的MethodDefinition，以...[/QUOTE] 有点风、马、牛！不过万物都有联系。把字节码填回原方法体（只针对这个简单例子）然后Mono.Cecil。。 AssemblyDefinition asm = AssemblyFactory.GetAssembly(。。。; foreach (TypeDefinition type in asm.MainModule.Types)想改什么改什么了。反射则得到classtype后： MethodInfo mi = yourGettype.GetMethod("方法名");然后动态改什么是什么了。 2010-7-21 16:38 0
ssyfzy 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 69 粉丝 0 关注私信	ssyfzy 17 楼把字节码填回原方法体怎么填呢?要在程序中填,而不是手动比如我的程序中有一个 void Run() { } 函数,反编译什么也看不到,运行时我怎么把byte[]填进去并调用? 2010-7-23 11:15 0
sbjofjhh 雪币： 152 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	sbjofjhh 18 楼学习学习下。。。这好东西啊 2010-7-23 15:16 0
tdhao 雪币： 173 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	tdhao 19 楼 lz共享精神可嘉，学习中 2010-7-25 02:35 0
fitmaster 雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 0 关注私信	fitmaster 20 楼　我是写.NET程序的，希望保护好劳动成果！ 2010-11-18 15:08 0
误伤友军雪币： 90 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	误伤友军 21 楼一般只看贴不回贴，今天必须得回！绝大多数.NET破解的文章毫无疑义,能看到源码了还破解个屁,楼主的文章很有建设意义!赞! 2010-12-20 04:20 0
littlewisp 雪币： 5292 活跃值： (3684) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 559 粉丝 13 关注私信	littlewisp 2 22 楼学习了，正好用上 2011-1-22 18:06 0
wxhanshan 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 226 粉丝 0 关注私信	wxhanshan 23 楼支持凤姐顶一下 2011-1-22 18:35 0
误伤友军雪币： 90 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	误伤友军 24 楼请在静态库中使用 MFC,但我在执行到加载mscorjit.dll仍不成功,貌似找不到,把mscorjit.dllCOPY到当前目录下可以了,跟了下,没有发现执行my_compileMethod方法,怀疑楼主的例子真的与挂勾没有半毛钱关系 2011-1-24 16:47 0
听雨前缘雪币： 244 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 71 粉丝 0 关注私信	听雨前缘 25 楼收藏了，！~ 2011-5-31 11:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复