首页
社区
课程
招聘
[原创].NET程序对付CFF的一个方法!!
发表于: 2009-9-3 18:04 8666

[原创].NET程序对付CFF的一个方法!!

2009-9-3 18:04
8666

偶然间发现的,发出来和大家共享!!!

CFF  在加载 #- 格式的元数据的时候, 存在一个BUG。 也就是压缩元数据的时候。 CFF不能解析MethodPtr , 等在压缩元数据中才会出现的表。  

接下来, 不用我说了吧。 。  

动态的加一些无用的MethodPtr元数据表项, CFF就over了!!!!!


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 7
支持
分享
最新回复 (9)
雪    币: 93
活跃值: (11)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
太牛了,这都被你挖出来了,回去试一试。嘿嘿
2009-9-3 18:15
0
雪    币: 88
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
好久不曾写.NET程序了
2009-9-4 16:17
0
雪    币: 225
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
请教楼主,一个混合模式编译的程序,如何修改托管部分的IL代码
2009-9-13 10:02
0
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
IL代码想修改的话,直接就可修改啊, 不过有签名的需要重新签名。  前提是你熟悉IL指令。
2009-10-15 17:44
0
雪    币: 225
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
用RF的插件修改sqlite的动态库(混合编译)的,提示无法修改,有办法不
2009-10-16 09:03
0
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
二进制修改用UE啊,或者HEX
2009-10-16 09:32
0
雪    币: 1137
活跃值: (10)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
8
有时候在用CFF打开一个dll文件时..点击#- 中的Tables时,CFF崩溃是什么原因呢?

我从Tables Header 的MaskValid的值查看也没有对应的MethodPtr表.

还请朋友指点

..............................................................................................................................

晕..把#-改成#~后.用CLI PE Viewer在查看却发现真的存在MethocPtr,这是怎么一回事呢?
(不明白的地方:MaskValid中并没有说明有MethodPtr,这个动态添加MethodPtr,CFF是表态的查看文件..怎么崩溃的呢???)
2009-11-8 01:55
0
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
有几个概念你还是不太明白

1>CFF就我目前能接触到的版本,还不支持#-(未压缩的元数据)格式的文件。
2>没有MethodPtr不代表没有FieldPtr等
3>崩溃的原因,无非是越界、内存溢出等。 都是些小伎俩,不过很有用。如果这种小伎俩很多很多。 那就起大作用了。
4>DNG**rd 就使用了这种未经压缩的元数据,不过是自己构的。 推荐你使用一个开源的 Asmex.exe 查看器。

-------------------------------------------------------------------------------------------
关于<1>
你可以发现MethodPtr后就是Method表,MaskValid确实显示存在MethodPtr,但是Tables显示不支持,所以CFF就会将MethodPtr的表按Method来解析,所以就全乱套了。


楼上的仁兄2点了都在工作,值得学习啊。 佩服
2009-11-8 10:03
0
雪    币: 1137
活跃值: (10)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
10
谢谢dotNetSafe的指点..这让我明白了不少.

呵呵..昨天心情不太好..睡不着,就看在坛子里下了个dll慢慢整着,一会就把烦心事给忘了

谢谢dotNetSafe 学习了
2009-11-8 11:56
0
游客
登录 | 注册 方可回帖
返回
//