-
-
[结束]2008看雪论坛读书月第二题[7.18~7.27]
-
发表于: 2008-7-18 19:13
-
|
|
|---|---|
|
|
|
|
|
 断断续续跟了几天.... 除了发现几个关键的地方外其他一无所获...... 中途死机N次....... 期待沙金与mstwugui两DX的破文...... |
|
|
同上
哎 功力不足,感叹一下。然后膜拜一下LS的大虾。 不过我还是来凑凑热闹谈感想。这个Crackme,理论上面来讲是存在兼容性问题的,至于存在的原因没有跟出来。不过只要把抛异常的线程暂停掉,貌似就不会出错了。。而且比较诡异的是我开OD就不会出错,直接启动反而异常。 其次是我感觉玩这个CM有两种思路,一是纯native调试,二是静态IL,附带调试。 先说说纯native来,这个方式无论是OD也好,还是PEBrowseDbg 也好都可以直接调试,当然明显的是后者可以直接在NET方法下面下断点,缺点当然是反调试力度有限,需要bypassing很多东西。。很faint。 而玩纯OD的大牛功力了得,主要是偶对net 的win32结构不熟悉,而且如果不可以解析托管数据,就很痛苦,虽然用GuiDbg.exe带上PDB要好很多,但是兼容性是在太差。。。  (其实把noinline 选项给去掉 ,把JIT优化打开实际上可以把大部分混淆出来的IL给吃掉,只是patch。是一个麻烦事情,虽然感觉最终跟native 应该不算很复杂,因为代码不算很多,而且代码也算干净,至少比起vmp,themida这些看两句脑壳就可以放到床上躺着了。。) 我的PEBrowseDbg 被反了调试,大概是对窗体名称的检查上,因为我看到有Process类的调用,MainWindowTitle 方法的调用以后不久就exception了。但是我感觉这个CM本来的意思应该是考察玩家对.net变形头部的标准化工作,以及变形代码清理,因为很明显这个CM 没有用win32壳,而且.net数据其实也是原原本本的在那里放着的得,之所以不认识我想有很多原因。。。不过我的maxtocode好像也用过这个伎俩。 可运行和可反射meta 头好像可以有些区别嘿嘿,不过我也不太清楚,不过总的来说大概有这个几个办法看method数据,一是用ildasm,然后再用ilasm编译回去,注意把不可见字符替换一下(主要是那几个resource) 经过这个方法以后就可以直接用reflector看了,看着上面的讨论这个问题 我也顺便说了两句。 据说ilasm和实际jit用的读取meta的库是一个,所以后者可以读出来自然前者也不能够落下,而且本来method的IL 还有metadata就存在。。所以。。所以。。 其次用Phoenix 这个库也可以读出来的。这两个方法我均实践过。 而之后就是清理变形代码的过程。这个过程用很多库都可以 比如cecil,phoenix。。其实这两个库我都写了一大段代码来清理。。效果一般,因为那个包含WriteProcessMemory的依然不能够反成C#(因为貌似每一个ctor都要走这里过),这个方法比较关键,因为貌似好像这个CM把一些代码加密后放到了资源中? ,没有跟踪完不知道,其次就是用ctor来启动代码,把我麻痹了一下,因为最先我直接在EntryPoint下断点跟随包括静态汇编都没有得出什么结论来。 这个CM的变形代码太强了。。。不知道我是不是很久没有弄dotNet的原因 感觉流程混淆比其他好多软件都强很多倍。能够把一个原本仅数百行的WinForm小软体弄成100KB。。。,,,功力了得啊,不过为什么我用phoenix无法自动优化这些代码呢,不知道是不是后期的库无法对MSIL进行自动优化了,因为感觉如果调用这个引擎变形代码应该会迅速消失?。。手动弄了好久也只是清理了一个大概,关于数组操作(byte[]),还有重复赋值问题感觉清理起来好困难。。。哎。。 老了老了。 胡话乱说了一通,马上就要结束比赛了。嘿嘿,发点感想不算违规吧。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
