首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 编程技术
    3. 发新帖
[原创].net wpf程序 移花接木
2016-9-11 20:27 8197

[原创].net wpf程序 移花接木

mudebug 活跃值
2016-9-11 20:27
8197
最近在研究C# .net桌面程序。非常有趣
软件是国外作者写的 公司要求修改翻译
从最初的开源变成闭源再到加壳. 一路让我这个小小的职员好蛋疼.
软件是VS2015 C# WPF 程序 在不脱壳的情况下 实现挂钩类托管函数 遍历WPF控件汉化

首先通过各种手段脱壳目标程序,哪怕是不能运行都没关系。只要找到程序main函数。,找到Main的命名空间,然后自己创建一个一样的WPF程序 和他的命名空间一样就可以
这里我的目标程序命名空间是 MainApp



生成以后把文件后缀改成DLL
之后我们创建一个 C# winform 程序删除程序中默认的对话框 添加引用上面生成的文件
因为目标程序是WPF 程序 所以还得添加默认程序集
WindowsBase 和 PresentationFramework
下面开始写代码

using HookDetour;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Reflection;
using System.Runtime.CompilerServices;
using System.Threading.Tasks;
using System.Windows.Forms;

namespace Load
{
    //这里是一个开源的hook库 根据名字自己google
    class hookClass : IMethodMonitor
    {
        [MethodImpl(MethodImplOptions.NoInlining)]
        [Monitor("System.Windows", "Application")] //目标方法的名称空间,类名
        public static void LoadComponent(Uri resourceLocator,bool b)
        {
            Console.WriteLine(resourceLocator);
            //mainwindow.baml
            var uri = new System.Uri(@"pack://application:,,,/MainApp;component/MainWindow.xaml");
            old_LoadComponent(uri, b);
        }

        [MethodImpl(MethodImplOptions.NoInlining)]
        [Original] //原函数标记
        public static void old_LoadComponent(Uri resourceLocator, bool b)
        {
            Console.WriteLine("null");
        }
    }

    static class Program
    {
        static MainApp.App pMainApp;

        private static void AppRun(object sender, object args)
        {
            //在这里开始干坏事
            Console.WriteLine("程序已经启动");
        }

        [STAThread]
        static void Main()
        {
            //建立目标程序导出的类 储存起来,方便找对应方法和变量
            pMainApp = new MainApp.App();
            //需要程序托管之类的操作需要初始化以后才能干,这里监听 Startup
            pMainApp.Startup += new System.Windows.StartupEventHandler(AppRun);

            //部分.net 程序查找不到自身目录资源,需要HOOK添加空间名
            //这个HOOK 不一定需要,有些程序加壳以后会自行修复这个问题,
            //hook LoadComponent 这个函数
            hookClass hk = new hookClass();
            var hookfun = hk.GetType().GetMethod("LoadComponent");
            var hookori = hk.GetType().GetMethod("old_LoadComponent");
            //通过 MainApp.App 得到父类 ,根据父类查找 LoadComponent函数
            MethodInfo LoadComponentFunction = pMainApp.GetType().BaseType.GetMethod("LoadComponent", BindingFlags.NonPublic | BindingFlags.Public | BindingFlags.Instance | BindingFlags.Static, System.Type.DefaultBinder, new Type[] { typeof(Uri),typeof(bool) },null);
            IDetour engine = DetourFactory.CreateDetourEngine();
            engine.Patch(LoadComponentFunction, hookfun, hookori);

            pMainApp.InitializeComponent();
            pMainApp.Run();
        }
    }
}


到了这里程序已经启动好了。把目标程序启动了以后 程序进程看见的就是自己的进程,
运行内容就是目标程序内容
然后根据反射调用和获取目标程序的函数和变量

这里需要注意的是有些.net壳会导致无法 Assembly.LoadFrom 失败,
但是你编写的程序是VS已经帮你加载到程序里面了。所以可以通过遍历获取到Assembly
目标程序包含的程序集也可以通过这个方式查找,然后根据Assembly获取对应类的函数

        //这里节省资源,我就把Assembly储存起来了
        public static Assembly GetAssembly()
        {
            if (m_MainAppAssembly == null)
            {
                foreach (Assembly ay in AppDomain.CurrentDomain.GetAssemblies())
                {
                    if (ay.FullName.IndexOf("AppMain") > -1)
                    {
                        m_CatchemAssembly = ay;
                        break;
                    }
                }
            }
            return m_MainAppAssembly ;
        }


获取到Assembly 基本上你可以控制整个程序的流程了


//根据Assembly得到MianApp.MainWindow类 然后在类里找到 GlobalValue 变量
Assembly amy = GetAssembly();
var GlobalValue = amy.GetType("MianApp.MainWindow").GetField("GlobalValue");
//得到变量内容,参数是对应的对象
GlobalValue.GetValue(null);
//设置变量内容
GlobalValue.SetValue(null, "GGGG");


剩下的就是挂钩了  当然建议你还是使用第三方的库
pMainApp.GetType().GetMethod("LoadComponent").MethodHandle.GetFunctionPointer();

这样就可以获取 LoadComponent 的函数地址, 如果你不知道目标类有什么函数的话可以通过
GetMethods 来获取到,记得查看参数BindingFlags 选项,这个选项可以影响到你获取的结果
如果函数名有相同的 需要自己定义参数类型获取,不然会抛异常

这里值得注意的是 GetFunctionPointer 函数不一定就能返回正确的结果,在加壳的程序里
你有可能获取的地址是错误的,因为程序没执行过这个函数。所以你可以选择等待程序调用过
这个函数你再去挂钩,或者自己手动调用一次,随便传入参数。捕获一下异常,然后再挂钩。

遍历WPF控件 获取到主窗口对象然后 VisualTreeHelper 这个类可以帮助你获取控件对象

多年不打字不吹牛逼都不会发贴了。文字描述的不好见谅

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

最后于 2019-9-15 10:12 被kanxue编辑 ,原因:
收藏
点赞4
打赏
分享
最新回复 (10)
不追浮云的人
雪    币: 133
活跃值: (233)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
不追浮云的人 2016-9-11 22:17
2
0
Good job,
bambooqj
雪    币: 797
活跃值: (1056)
能力值: ( LV5,RANK:78 )
在线值:
发帖
回帖
粉丝
私信
bambooqj 2016-9-12 04:02
3
0
这个思路很牛逼啊...我都没想到.
古月亮
雪    币: 213
活跃值: (230)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
古月亮 2016-9-12 08:24
4
0
屌还是屌的,可是主窗口要不是 MainWindos.xaml呢,还有一些Field是怎么知道的呢?
OnlyForU
雪    币: 346
活跃值: (25)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
OnlyForU 2016-9-12 10:13
5
0
.net hook还是第一次见识,以前只是听说过。
mudebug
雪    币: 7960
活跃值: (5165)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
mudebug 2016-9-12 13:06
6
0
LoadComponent hook这个函数可以看到程序加载的是哪个xam 自己输出一下就好了
GetFields 可以获取到对象的所有变量
bambooqj
雪    币: 797
活跃值: (1056)
能力值: ( LV5,RANK:78 )
在线值:
发帖
回帖
粉丝
私信
bambooqj 2016-9-12 13:48
7
0
师傅请务必收我为徒.....
Mradxz
雪    币: 122
活跃值: (117)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
Mradxz 2021-4-4 21:53
8
0
这里的 MainApp 是不是,相当于目标程序了,还是说目标程序要另外 Assembly.LoadFrom
mudebug
雪    币: 7960
活跃值: (5165)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
mudebug 2021-4-5 01:43
9
0
Mradxz 这里的 MainApp 是不是,相当于目标程序了,还是说目标程序要另外 Assembly.LoadFrom[em_4]
目標程序不用加載,已經在引用中添加了
Mradxz
雪    币: 122
活跃值: (117)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
Mradxz 2021-4-6 13:46
10
0

  

最后于 2021-4-8 15:56 被Mradxz编辑 ,原因:
chinasmu
雪    币: 5337
活跃值: (2453)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
chinasmu 2022-3-3 23:22
11
0
挂钩函数那一步,貌似静态方法没问题,如果挂的是类的非静态方法就有问题了,实例调用这个方法的时候会进入hook,但是hook结束后无法返回原来地方了吧。
我hook库用的是IL层的,不知道大佬是不是直接hook的编译好的asm代码,请指点下
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回